一、如何確定評估觸發(fā)條件

《網(wǎng)絡安全法》提出網(wǎng)絡運營者應開展網(wǎng)絡安全認證、檢測、風險評估等活動，并通過網(wǎng)絡安全等級保護、信息安全風險評估等一系列標準對組織的網(wǎng)絡、信息安全風險評估工作進行落地指導。相較于網(wǎng)絡、信息安全風險評估，數(shù)據(jù)安全風險評估的工作要求、標準依據(jù)或正在征求意見，或尚未正式發(fā)布——這導致許多數(shù)據(jù)處理者的數(shù)據(jù)安全風險評估工作仍處于起步階段，面臨著評估觸發(fā)條件不明確的“0號困境”。

部分組織將同地區(qū)、同行業(yè)的組織遭遇數(shù)據(jù)安全事件或受到監(jiān)管部門處罰作為自身開展風險評估的觸發(fā)條件：通過將這些公開的事件或處罰信息內(nèi)化形成風險信息檢查表單，對業(yè)務部門逐個開展數(shù)據(jù)安全風險排查專項工作。然而，此類專項排查工作投入高、收效低：不同的組織對數(shù)據(jù)安全風險的承受能力與管理需求存在較大的差異，公開的信息披露有限且存在一定的滯后性，導致組織難以有規(guī)劃地開展數(shù)據(jù)安全風險評估工作，評估內(nèi)容參考性較低，對組織的風險啟示性不足。

解決思路：梳理適用情形

針對這一問題，組織或評估機構可以參考國家標準《數(shù)據(jù)安全風險評估方法（征求意見稿）》的“5.4 評估適用情形”。評估適用情形列出了數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估的一些具體適用情形。這些情形一是引述了國家法律法規(guī)中有關開展風險評估的要求與場景（例如：數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理之前），在明確數(shù)據(jù)安全風險評估活動開展的必要性的同時，也提供了評估活動開展的法規(guī)依據(jù)；二是總結了組織常見的高風險數(shù)據(jù)處理活動（例如：基于不同業(yè)務目的的數(shù)據(jù)匯聚融合），為組織或評估機構提供了更為明確、直接的工作指引與建議；三是回應了如何持續(xù)開展評估的關切，已開展過風險評估的數(shù)據(jù)和數(shù)據(jù)處理活動一旦發(fā)生重大變更或變化，組織或評估機構應重新實施風險評估，將風險評估融入組織的數(shù)據(jù)安全運營機制。實務操作上，組織或評估機構可通過持續(xù)梳理數(shù)據(jù)安全風險評估的適用情形，從評估要求的來源、內(nèi)容等角度入手，分析、判斷自身適宜開展評估活動的觸發(fā)條件、實施時機以及具體評估項的必要性，推動數(shù)據(jù)安全風險評估工作的常態(tài)化開展。

二、如何制定評估工作目標

數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估工作的主要目標可以被分為三層：一是落實監(jiān)管要求，滿足國家法律法規(guī)關于開展風險評估的要求；二是摸底數(shù)據(jù)現(xiàn)狀，摸清自身數(shù)據(jù)和數(shù)據(jù)處理活動基本情況；三是提升安全能力，檢查重要的數(shù)據(jù)處理活動中是否存在管理、技術風險隱患，推動完善數(shù)據(jù)安全保護措施。三層目標共同促進數(shù)據(jù)處理者履行法定義務、建立健全數(shù)據(jù)安全制度、排查解決漏洞隱患，使數(shù)據(jù)處于有效保護和合法利用、持續(xù)安全的狀態(tài)。

然而，大量組織未能正確、全面地認識數(shù)據(jù)安全風險評估的價值與目標：多數(shù)組織將第一層目標作為開展風險評估或其他風險治理工作的唯一目標——這導致一旦缺少了國家法規(guī)或監(jiān)管部門的強制性要求，這些組織開展數(shù)據(jù)安全風險評估工作的意愿與動力也會隨之喪失。

此外，由于大量組織前期未能全面掌握業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動的特點以及潛在的漏洞隱患，其制定的數(shù)據(jù)安全風險管理策略無法反映組織的風險管理需求與準則，這也導致組織即使開展了數(shù)據(jù)安全風險評估工作，也無法基于評估結果準確地衡量風險問題整改措施的投入產(chǎn)出比、實施優(yōu)先級，甚至產(chǎn)生內(nèi)部多方對風險評估結果難以達成共識、風險問題整改推進困難等問題，長遠來看，不利于組織數(shù)據(jù)安全風險的防范與治理。

解決思路：建立風險準則

針對這一問題，組織可以參考數(shù)據(jù)安全推進計劃發(fā)布的《數(shù)據(jù)安全治理實踐指南3.0》（以下簡稱《實踐指南3.0》），開展數(shù)據(jù)安全風險評估及治理專項，通過系統(tǒng)化的數(shù)據(jù)安全風險治理，建立組織的數(shù)據(jù)安全風險準則。

數(shù)據(jù)安全風險治理是以風險為中心的方法論，提煉了組織管理數(shù)據(jù)安全風險時需要重點關注的五大環(huán)節(jié)，即：風險準則建立、風險要素識別、風險評估分析、風險處置解決、風險治理改進。其中，風險準則建立是指通過分析組織數(shù)據(jù)安全風險需求，識別組織的關鍵業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動，形成風險治理準則，幫助組織將注意力與資源集中在那些超出自身承受能力的數(shù)據(jù)安全風險，在明確了風險治理重點對象的同時，也為風險評估、整改等具體活動提供了判斷與執(zhí)行標準。

實務操作上，組織一是通過分析風險需求，具體任務包括收集、整理自身適用的數(shù)據(jù)安全、隱私保護法律法規(guī)，識別組織的關鍵業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動，明確數(shù)據(jù)安全風險治理的范圍與重點對象；二是創(chuàng)建數(shù)據(jù)安全風險治理愿景、使命，這一步需要與組織高層人員進行溝通、協(xié)商，在獲得其批準與支持之后，形成基本的風險準則，明確組織的風險管理偏好；三是制定數(shù)據(jù)安全風險治理政策，這一步需要與內(nèi)部相關方（例如：人力資源、法務、安全、營銷、IT團隊）進行商議，在充分了解相關方的業(yè)務與合規(guī)需求之后，制定風險管理政策，為后續(xù)風險評估以及其他風險治理相關的工作提供實施方針、標準。

此外，針對組織或內(nèi)部相關方無法正確理解風險評估的價值與目標這一問題，組織還可以通過工作動員會、研討會、培訓講座等方式，宣貫組織的風險治理政策，解讀評估標準，討論評估方案，加強業(yè)務部門對數(shù)據(jù)安全風險評估及其目標、價值的認知與理解，提升內(nèi)部相關方對風險評估工作的參與程度，持續(xù)強化各方在數(shù)據(jù)安全風險評估以及治理工作的協(xié)同能力。

三、如何規(guī)劃評估實施范圍

組織數(shù)據(jù)安全風險的邊界持續(xù)擴展：傳統(tǒng)的安全防護通常采用邊界防護策略保障靜態(tài)數(shù)據(jù)的安全。然而，一方面，組織的業(yè)務活動必然伴隨著數(shù)據(jù)的流動，而數(shù)據(jù)廣泛存在于數(shù)據(jù)中心、云端、終端等位置，數(shù)據(jù)資源暴露面的擴大意味著其面臨的威脅也成倍增加；另一方面，組織數(shù)據(jù)在多個業(yè)務、數(shù)據(jù)處理活動中與大量設備、人員產(chǎn)生交互，異常的行為隱匿于海量的數(shù)據(jù)訪問行為中，不僅變得更加隱蔽、難以識別，也無形中擴大了數(shù)據(jù)安全風險可波及的范圍。

因此，組織如何在日益復雜的業(yè)務及數(shù)據(jù)處理活動中，規(guī)劃數(shù)據(jù)安全風險評估的范圍，在既定的評估時間、范圍內(nèi)識別出組織最為關注的數(shù)據(jù)安全風險，是廣大數(shù)據(jù)處理者、評估機構在籌備評估工作過程中需要重點思考的問題。

解決思路：識別重點對象

為了避免風險邊界過大導致的評估“失焦”問題，提高數(shù)據(jù)安全風險評估的投入產(chǎn)出比，針對這一問題，組織可以參考《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》，在規(guī)劃評估范圍時，首先明確評估工作中的重點評估對象。

實務操作上，組織可以參考數(shù)據(jù)分類分級的成果，將個人信息、重要數(shù)據(jù)、核心數(shù)據(jù)以及這些數(shù)據(jù)的處理活動作為重點評估對象，并抽樣選取一般數(shù)據(jù)及其數(shù)據(jù)處理活動，一并納入本次風險評估的范圍，在確保識別出重點評估對象面臨的風險的同時，也保障了評估的全面性。由于一般數(shù)據(jù)涵蓋范圍較廣，數(shù)據(jù)處理者可結合組織自身安全需求，對一般數(shù)據(jù)進行細化分級，本報告將一般數(shù)據(jù)從低到高分為1級、2級、3級。

如果組織尚未開展數(shù)據(jù)分類分級工作，則可以參考信息系統(tǒng)等級保護的相關要求，根據(jù)業(yè)務、信息系統(tǒng)的重要程度，選取核心業(yè)務系統(tǒng)或內(nèi)部的重要信息系統(tǒng)（例如：大數(shù)據(jù)平臺、人力資源系統(tǒng)、供應鏈系統(tǒng)）的數(shù)據(jù)和數(shù)據(jù)處理活動作為重點評估對象，重點評估其承載的數(shù)據(jù)和數(shù)據(jù)處理活動面臨的風險。這一解決思路目前已應用于許多組織的數(shù)據(jù)安全風險評估實踐：組織選取某一重要的信息系統(tǒng)作為評估實施的“原點”，將其數(shù)據(jù)的來源、去向系統(tǒng)作為評估的范圍邊界，梳理該系統(tǒng)涉及的數(shù)據(jù)、數(shù)據(jù)處理活動并繪制數(shù)據(jù)流向圖，識別數(shù)據(jù)流轉過程中的操作人員、操作行為以及操作結果等信息，從而分析潛在的數(shù)據(jù)安全風險問題。

轉載自：數(shù)據(jù)安全推進計劃