在數(shù)字經(jīng)濟(jì)高速發(fā)展的今天,數(shù)據(jù)已成為驅(qū)動(dòng)社會(huì)進(jìn)步的新型生產(chǎn)要素。然而,數(shù)據(jù)泄露、濫用、篡改等安全事件頻發(fā),不僅威脅國(guó)家安全與公共利益,更直接侵害個(gè)人權(quán)益。為應(yīng)對(duì)這一挑戰(zhàn),《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法規(guī)相繼出臺(tái),為數(shù)據(jù)安全治理構(gòu)筑了法律框架。在此背景下,2025年4月25日,國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》(GB/T 45577-2025)(以下簡(jiǎn)稱“標(biāo)準(zhǔn)),系統(tǒng)化明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施路徑,標(biāo)志著我國(guó)數(shù)據(jù)安全管理再邁新階段。
標(biāo)準(zhǔn)明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程、評(píng)估內(nèi)容、分析評(píng)價(jià)方法等,適用于指導(dǎo)數(shù)據(jù)處理者、第三方評(píng)估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,也可供有關(guān)主管監(jiān)管部門實(shí)施數(shù)據(jù)安全檢查評(píng)估時(shí)參考。
為幫助數(shù)據(jù)處理者及監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)更高效地落實(shí)標(biāo)準(zhǔn)要求,本文針對(duì)實(shí)際應(yīng)用中可能存在的關(guān)鍵問題,結(jié)合標(biāo)準(zhǔn)核心條款進(jìn)行深度解讀。以下從“評(píng)估場(chǎng)景”“要素關(guān)系”“實(shí)施流程”等維度,逐一解答風(fēng)險(xiǎn)評(píng)估落地的核心疑問。
標(biāo)準(zhǔn)明確規(guī)定了五類必須開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的情形,主要涉及重要數(shù)據(jù)、核心數(shù)據(jù)、大規(guī)模個(gè)人信息處理等高風(fēng)險(xiǎn)場(chǎng)景。除強(qiáng)制性要求以外,還列出三類“宜”(推薦性)開展風(fēng)險(xiǎn)評(píng)估的情形。數(shù)據(jù)處理者需要判斷是否屬于“必須評(píng)估”的范疇,落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估涉及數(shù)據(jù)、數(shù)據(jù)處理活動(dòng)、業(yè)務(wù)、信息系統(tǒng)、安全措施、風(fēng)險(xiǎn)源等基本要素,也說明數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估需要圍繞數(shù)據(jù)、數(shù)據(jù)處理活動(dòng)展開,以全面發(fā)現(xiàn)數(shù)據(jù)安全隱患。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作劃分為五個(gè)階段,包括前期評(píng)估準(zhǔn)備、評(píng)估信息調(diào)研、安全風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析與評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估總結(jié),每個(gè)階段都需要完成相關(guān)工作,以及輸出主要產(chǎn)出物,以支撐下一階段工作的開展。例如“信息調(diào)研”階段需要完成數(shù)據(jù)處理者調(diào)研、業(yè)務(wù)和信息系統(tǒng)調(diào)研、數(shù)據(jù)資產(chǎn)調(diào)研、數(shù)據(jù)處理活動(dòng)調(diào)研、安全措施調(diào)研,輸出相關(guān)的調(diào)研報(bào)告,才能支撐“風(fēng)險(xiǎn)識(shí)別”階段對(duì)數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別,發(fā)現(xiàn)可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)源。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估時(shí),以信息調(diào)研為基礎(chǔ)支撐,圍繞數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)安全、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)四大核心領(lǐng)域開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。在數(shù)據(jù)安全技術(shù)方面,以網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ),重點(diǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)脫敏、訪問控制、安全認(rèn)證、數(shù)據(jù)接口安全等技術(shù)應(yīng)用情況。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估可綜合采用人員訪談、文檔查驗(yàn)、安全核查、技術(shù)測(cè)試等手段。
數(shù)據(jù)安全風(fēng)險(xiǎn)分析,主要從影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性角度分析各項(xiàng)風(fēng)險(xiǎn)源可能引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn),及風(fēng)險(xiǎn)危害程度和發(fā)生的可能性方面展開。
數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度分析主要考慮數(shù)據(jù)價(jià)值、風(fēng)險(xiǎn)源嚴(yán)重程度等因素,結(jié)合數(shù)據(jù)級(jí)別、規(guī)模、種類、處理目的、方式、范圍等情況,綜合分析數(shù)據(jù)安全風(fēng)險(xiǎn)一旦發(fā)生,對(duì)國(guó)家安全、公共利益、組織或者個(gè)人合法權(quán)益造成的危害程度,將風(fēng)險(xiǎn)危害程度從低到高劃分為低、中、較高、高、很高5個(gè)等級(jí)。
風(fēng)險(xiǎn)發(fā)生可能性分析主要依據(jù)風(fēng)險(xiǎn)源發(fā)生頻率、安全措施有效性和完備性、風(fēng)險(xiǎn)源關(guān)聯(lián)性等因素綜合評(píng)估,將數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生可能性從低到高分為低、中、高3個(gè)等級(jí),等級(jí)越高代表措施完備性、有效性越低,風(fēng)險(xiǎn)越可能發(fā)生。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)需結(jié)合數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度和風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行綜合分析,實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)全面、準(zhǔn)確判斷,有定性和定量?jī)煞N評(píng)價(jià)方法,數(shù)據(jù)處理者可根據(jù)自身情況,選擇適宜的評(píng)價(jià)方法。
1)數(shù)據(jù)安全風(fēng)險(xiǎn)定性評(píng)估方法
數(shù)據(jù)處理者可根據(jù)自身情況,將僅影響組織權(quán)益、個(gè)人權(quán)益等的風(fēng)險(xiǎn)自行定為或調(diào)整為“重大”“高”等級(jí)別,及時(shí)進(jìn)行風(fēng)險(xiǎn)處置。
2)數(shù)據(jù)安全風(fēng)險(xiǎn)定量評(píng)估方法
先按照百分制對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度、數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行量化,得分越高代表風(fēng)險(xiǎn)危害程度、風(fēng)險(xiǎn)發(fā)生可能性越高。
再根據(jù)量化結(jié)果計(jì)算風(fēng)險(xiǎn)分值,得分越高代表風(fēng)險(xiǎn)等級(jí)越高。
在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)該詳細(xì)包含信息調(diào)研情況、數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別情況、風(fēng)險(xiǎn)分析與評(píng)價(jià),并給出整改建議,指導(dǎo)數(shù)據(jù)處理者對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行整改。
在數(shù)字化浪潮席卷全球的當(dāng)下,數(shù)據(jù)安全已成為國(guó)家安全與經(jīng)濟(jì)發(fā)展的戰(zhàn)略基石。此標(biāo)準(zhǔn)的發(fā)布,不僅為行業(yè)提供了科學(xué)的風(fēng)險(xiǎn)評(píng)估框架,更標(biāo)志著我國(guó)數(shù)據(jù)安全治理從“合規(guī)驅(qū)動(dòng)”邁向“能力驅(qū)動(dòng)”的新篇章。作為這一進(jìn)程的重要參與者,昂楷科技擁有16年數(shù)據(jù)安全的技術(shù)積淀,從Database到API、從產(chǎn)品到服務(wù),憑借自主研發(fā)的20余款數(shù)據(jù)安全產(chǎn)品及“四核四擴(kuò)”數(shù)據(jù)安全服務(wù)體系,昂楷多行業(yè)、多場(chǎng)景的數(shù)據(jù)安全解決方案幫助客戶構(gòu)建了從風(fēng)險(xiǎn)評(píng)估到長(zhǎng)效防護(hù)的閉環(huán)能力。
未來,昂楷科技將持續(xù)依托新國(guó)標(biāo)的技術(shù)指引,結(jié)合自身豐富的風(fēng)險(xiǎn)評(píng)估實(shí)踐經(jīng)驗(yàn),協(xié)助客戶精準(zhǔn)識(shí)別數(shù)據(jù)安全隱患,高效落實(shí)標(biāo)準(zhǔn)中的技術(shù)要求與流程規(guī)范,助力構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全防護(hù)體系。