《数据安全法》提出,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
近日,《数据安全风险评估实务:问题剖析与解决思路》(下文简称“报告”)正式发布。
报告由数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA TC601),携手业内企业和百余名专家撰写。奇点云(杭州比智科技有限公司)专家参与报告编制。
加速推进的产业数字化转型,和不断发展完善的数据安全与隐私保护法规,都对广大数据处理者的风险防范能力提出了新要求。
因此,报告在对数据安全形势、风险评估工作现状进行剖析和盘点后,提炼了数据安全风险评估工作的具体实施流程,系统性地梳理了组织在“评估准备”、“评估实施”、“评估总结”三大阶段面临的七大实务问题,并针对性提出解决思路,总结三项工作建议,为数据处理者、评估机构提供参考。
七大实务问题
1. 如何确定评估触发条件?
许多数据处理者正面临评估触发条件不明确的“0号困境”,报告梳理了适用情形,以便各组织对照判断。
2. 如何制定评估工作目标?
风险评估通常有三层目标:落实监管要求;摸底数据现状;提升安全能力。
报告指出,许多组织仅把“落实监管要求”作为开展风险评估的唯一目标,意愿与动力不足,可能产生隐患。
3. 如何规划评估实施范围?
报告建议充分应用分类分级结果,识别重点对象。
4. 如何获取有效评估信息?
报告建议从评估执行人员、受访人员两个维度完善协作机制。
5. 如何应用风险评估工具?
市面上数据安全产品种类繁多且功能各异,同时,许多组织仍倾向于沿用传统的信息安全风险评估工具,在数据业务场景可能存在遗漏。
《数据安全产品与服务观察报告》能帮助各组织认识工具功能。(点我查看关联阅读)
6. 如何开展风险评估分析?
报告建议采用定性、定量分析结合的方式,避免因过于依赖执行人员经验而导致的过高主观性,以及因单纯定量而过度简化复杂风险的问题。
7. 如何充分应用评估结果?
相关方可能对风险的真实性、紧迫性缺乏认知,导致在完成风险评估后未采取行动,陷入新的僵局。
报告建议将“数据安全风险清单”和“安全声明”结合发布,明确评估执行方与风险处置方的责任,推动评估结果的充分应用。
下图扫码,即可下载并查阅完整报告↓
*本文中《数据安全风险评估实务:问题剖析与解决思路》相关图片及观点,引用自数据安全推进计划(点击看发布官宣)。
在国家数据局等部门印发的《“数据要素×”三年行动计划(2024—2026年)》中,数据安全再次被强调:“坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线”。
奇点云认同数据安全是数据要素发挥价值的前提,并自创立起,就始终践行数据安全准则,从数据采集、数据存储计算、数据加工到数据应用,帮助客户完成全链路、全场景、全智能的数据全生命周期安全管控。
奇点云的数据产品曾入选信通院发布的《数据安全产品与服务图谱2.0》数据安全通用类产品、数据安全综合类产品双领域。其中,全域数据安全管理平台DataBlack能覆盖98%以上的企业安全场景,达到接入零信任环境的标准。
期待与更多企业客户携手,为企业数据要素创造可靠、可信、可控的流动空间。
