在數(shù)字經(jīng)濟高速發(fā)展的今天,數(shù)據(jù)已成為驅(qū)動社會進步的新型生產(chǎn)要素。然而,數(shù)據(jù)泄露、濫用、篡改等安全事件頻發(fā),不僅威脅國家安全與公共利益,更直接侵害個人權(quán)益。為應對這一挑戰(zhàn),《數(shù)據(jù)安全法》《個人信息保護法》和《網(wǎng)絡數(shù)據(jù)安全管理條例》等法規(guī)相繼出臺,為數(shù)據(jù)安全治理構(gòu)筑了法律框架。在此背景下,2025年4月25日,國家市場監(jiān)督管理總局與國家標準化管理委員會聯(lián)合發(fā)布《數(shù)據(jù)安全技術 數(shù)據(jù)安全風險評估方法》(GB/T 45577-2025)(以下簡稱“標準),系統(tǒng)化明確了數(shù)據(jù)安全風險評估的實施路徑,標志著我國數(shù)據(jù)安全管理再邁新階段。
標準明確了數(shù)據(jù)安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內(nèi)容、分析評價方法等,適用于指導數(shù)據(jù)處理者、第三方評估機構(gòu)開展數(shù)據(jù)安全風險評估,也可供有關主管監(jiān)管部門實施數(shù)據(jù)安全檢查評估時參考。
為幫助數(shù)據(jù)處理者及監(jiān)管部門、第三方評估機構(gòu)更高效地落實標準要求,本文針對實際應用中可能存在的關鍵問題,結(jié)合標準核心條款進行深度解讀。以下從“評估場景”“要素關系”“實施流程”等維度,逐一解答風險評估落地的核心疑問。
標準明確規(guī)定了五類必須開展數(shù)據(jù)安全風險評估的情形,主要涉及重要數(shù)據(jù)、核心數(shù)據(jù)、大規(guī)模個人信息處理等高風險場景。除強制性要求以外,還列出三類“宜”(推薦性)開展風險評估的情形。數(shù)據(jù)處理者需要判斷是否屬于“必須評估”的范疇,落實數(shù)據(jù)安全風險評估。
數(shù)據(jù)安全風險評估涉及數(shù)據(jù)、數(shù)據(jù)處理活動、業(yè)務、信息系統(tǒng)、安全措施、風險源等基本要素,也說明數(shù)據(jù)安全風險評估需要圍繞數(shù)據(jù)、數(shù)據(jù)處理活動展開,以全面發(fā)現(xiàn)數(shù)據(jù)安全隱患。
數(shù)據(jù)安全風險評估工作劃分為五個階段,包括前期評估準備、評估信息調(diào)研、安全風險識別、風險分析與評價以及風險評估總結(jié),每個階段都需要完成相關工作,以及輸出主要產(chǎn)出物,以支撐下一階段工作的開展。例如“信息調(diào)研”階段需要完成數(shù)據(jù)處理者調(diào)研、業(yè)務和信息系統(tǒng)調(diào)研、數(shù)據(jù)資產(chǎn)調(diào)研、數(shù)據(jù)處理活動調(diào)研、安全措施調(diào)研,輸出相關的調(diào)研報告,才能支撐“風險識別”階段對數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術、個人信息保護等方面進行數(shù)據(jù)安全風險識別,發(fā)現(xiàn)可能存在的數(shù)據(jù)安全風險源。
數(shù)據(jù)安全風險評估時,以信息調(diào)研為基礎支撐,圍繞數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術、個人信息保護四大核心領域開展數(shù)據(jù)安全風險評估。在數(shù)據(jù)安全技術方面,以網(wǎng)絡安全防護為基礎,重點評估風險監(jiān)測、數(shù)據(jù)脫敏、訪問控制、安全認證、數(shù)據(jù)接口安全等技術應用情況。
數(shù)據(jù)安全風險評估可綜合采用人員訪談、文檔查驗、安全核查、技術測試等手段。
數(shù)據(jù)安全風險分析,主要從影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性角度分析各項風險源可能引發(fā)的數(shù)據(jù)安全風險,及風險危害程度和發(fā)生的可能性方面展開。
數(shù)據(jù)安全風險危害程度分析主要考慮數(shù)據(jù)價值、風險源嚴重程度等因素,結(jié)合數(shù)據(jù)級別、規(guī)模、種類、處理目的、方式、范圍等情況,綜合分析數(shù)據(jù)安全風險一旦發(fā)生,對國家安全、公共利益、組織或者個人合法權(quán)益造成的危害程度,將風險危害程度從低到高劃分為低、中、較高、高、很高5個等級。
風險發(fā)生可能性分析主要依據(jù)風險源發(fā)生頻率、安全措施有效性和完備性、風險源關聯(lián)性等因素綜合評估,將數(shù)據(jù)安全風險發(fā)生可能性從低到高分為低、中、高3個等級,等級越高代表措施完備性、有效性越低,風險越可能發(fā)生。
數(shù)據(jù)安全風險評價需結(jié)合數(shù)據(jù)安全風險危害程度和風險發(fā)生可能性進行綜合分析,實現(xiàn)對數(shù)據(jù)安全風險全面、準確判斷,有定性和定量兩種評價方法,數(shù)據(jù)處理者可根據(jù)自身情況,選擇適宜的評價方法。
1)數(shù)據(jù)安全風險定性評估方法
數(shù)據(jù)處理者可根據(jù)自身情況,將僅影響組織權(quán)益、個人權(quán)益等的風險自行定為或調(diào)整為“重大”“高”等級別,及時進行風險處置。
2)數(shù)據(jù)安全風險定量評估方法
先按照百分制對數(shù)據(jù)安全風險危害程度、數(shù)據(jù)安全風險發(fā)生可能性進行量化,得分越高代表風險危害程度、風險發(fā)生可能性越高。
再根據(jù)量化結(jié)果計算風險分值,得分越高代表風險等級越高。
在數(shù)據(jù)安全風險評估報告中應該詳細包含信息調(diào)研情況、數(shù)據(jù)安全風險識別情況、風險分析與評價,并給出整改建議,指導數(shù)據(jù)處理者對相關風險進行整改。
在數(shù)字化浪潮席卷全球的當下,數(shù)據(jù)安全已成為國家安全與經(jīng)濟發(fā)展的戰(zhàn)略基石。此標準的發(fā)布,不僅為行業(yè)提供了科學的風險評估框架,更標志著我國數(shù)據(jù)安全治理從“合規(guī)驅(qū)動”邁向“能力驅(qū)動”的新篇章。作為這一進程的重要參與者,昂楷科技擁有16年數(shù)據(jù)安全的技術積淀,從Database到API、從產(chǎn)品到服務,憑借自主研發(fā)的20余款數(shù)據(jù)安全產(chǎn)品及“四核四擴”數(shù)據(jù)安全服務體系,昂楷多行業(yè)、多場景的數(shù)據(jù)安全解決方案幫助客戶構(gòu)建了從風險評估到長效防護的閉環(huán)能力。
未來,昂楷科技將持續(xù)依托新國標的技術指引,結(jié)合自身豐富的風險評估實踐經(jīng)驗,協(xié)助客戶精準識別數(shù)據(jù)安全隱患,高效落實標準中的技術要求與流程規(guī)范,助力構(gòu)建覆蓋數(shù)據(jù)全生命周期的安全防護體系。
