数据安全风险评估项目服务复盘总结
一 背景概述
近年来,我国网络购物、移动支付、共享经济等数字经济新业态新模式蓬勃发展,数据要素成为企业的重要核心资产。当初的网络安全安全人们更加重视的是资产所存在的漏洞问题,以及漏洞的利用能力。但是在大数据时代, 数据泄露、数据滥用、数据篡改等各类安全风险的存在,网安人渐渐的意识到相比于漏洞利用保护资产的安全,数据资产的保护显得尤为重要。所以专注于数据安全的防护建设能力得到显著提升。同时,在国家监管层面,也推出了各类法律法规来要求企业加强对数据安全的建设和投入,特别是《数据安全法》对数据安全风险评估提出了明确要求:
(第二十一条):应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
(第二十二条):建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
(第三十条):重要数据的处理者应对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
数字化时代下,企业如何正当、有效、合理的使用数据、保护数据,发挥数据最大价值,成为了企业实现战略转型、效能提升等数字化转型过程中的关键、核心问题。
数据安全是推进数字化持续发展的根本保障。不论是企业业务数据、用户个人数据,还是数据跨境流动安全,企业都需要开展数据安全风险评估工作,确保风险可知、可控,进一步提升数据安全保障能力。
1.1 数据安全相关法律法规
《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》
二 数据安全的基本定义
数据安全是指通过采取必要的措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。结合定义,从广义和狭义两个角度理解数据安全的概念内涵。
广义地说,数据安全作为国家重要的战略基础资源时的安全要义,主要是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法窃取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,确定安全定义。
狭义地说,数据安全一是指数据本身及数据处理活动的安全性,主要包括数据本身保密性、完整性、和可用性,以及围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节的安全性考虑。二是数据支撑环境以及防护措施的安全,主要包括数据载体、防护设备、加解密算法等主动防护措施。
三 数据安全风险评估概述
3.1 数据面临的安全风险
数据安全合规性风险
可能存在潜在的数据泄露、数据丢失、数据篡改、数据滥用等安全风险。数据安全合规性评估是一种法规政策导向,是企业对数据进行处理的原则和底线。
关键信息基础设施数据安全风险
关键信息基础设施运营者(以下简称“运营者”)重要数据的全生命周期保护严重不足,未建立起有效的防护体系机制。在个人信息保护层面,未采取有效的数据防篡改和防外泄手段,一旦攻击者成功获取服务器权限后,可随意窃取、篡改和删除重要数据,造成大面积敏感信息泄露。(邮件信息泄露、公安信息泄露、OA系统供应链漏洞等)
数据处境安全风险
数据的跨境流动是数据价值最大化的必经之路,数据出境是必然趋势,其安全风险也是其派生的产物。(滴滴事件)
3.2 数据安全风险评估的现状
- 缺乏合规解读能力及体系建设规划指导
信息化时代,企业极度依赖信息化建设及信息化能力,重点关注于信息系统的网络攻击防御能力建设。当今,数字化时代的到来,数据安全成为一个新兴的技术领域,企业知道并了解数据对于企业自身的重要性,但数据安全人才的短缺,导致企业无法很好的开展数据安全合规建设,缺乏的必要的规范解读能力,无法评估其是否满足相应的合规要求。需要外部专业力量对其安全合规能力对标,指导、协助开展相应合规能力建设、技术培训、人员培训及其他数据安全管理体系的搭建工作。
缺乏实战环境下数据安全保障建设指引
合规是数据安全能力建设的基础,在满足标准合规的前提下,如何根据行业要求、企业战略及企业重点、核心业务面临的实际安全威胁,针对性的开展数据安全保护工作,降本增效的完成数字化安全转型,同时避免堆砌式的烟囱式、重复性建设等安全建设问题,需要结合当前实际攻防形势下成熟的、可落地的、经济实效的安全建设指引,指导其有序的开展数据安全保障体系的建设工作。
缺乏一套成熟的、可度量的风险评估方法
风险客观存在,漏洞不可避免。基于事件驱动的被动式安全建设带来高昂的成本,事件发生后带来严重的经济损失、品牌形象受损。如何真正摸清家底、认清风险、找出漏洞并进行整改,是企业当下面临的最紧迫的问题。一直以来,数据安全评估没有统一的度量手段和方法,需要一套成熟的、标准的评估方法,通过安全实践来对企业数据安全保护能力进行度量;
3.3 数据安全风险评估需求分析
数据安全法出台后的合法性评估
《数据安全法》的出台使得数据不仅拥有了“价值”属性,也具备了“法律”属性。数据安全合法合规建设将成为企业未来一段时间内的重点工作。
关键信息基础设施数据的评估需求
一是通过风评促进促进运营者开展数据分类分级制度体系建设和重点保护措施的落实,做到重要数据和核心数据重点保护,明确保护对象范围,厘清保护责任和保护主题;
二是通过风评找出可能导致重要数据失窃、泄露、破坏的安全隐患。
三是通过风评促进数据安全防御体系的改进提升,检验当前的数据安全防护措施是否有效,防护体系是否可以满足当下的网络安全形势。
数据处境的传输的安全评估需求
一是数据跨境传输安全评估,根据不同地区的监管要求、数据敏感度和数据使用情况,需要为数据传输、访问、监控、跟踪以及跨技术栈的存储等方面建立不同的技术控制措施 ,同时还需要具备报告和监测的能力, 对其安全防护措施有效性进行评估;
二是出境数据合规性评估,评估企业是否建立适当的控制措施,来应对跨境数据传输和数据本地化是否符合以上相关国内法律的要求。
3.4 数据安全风险评估的核心内容
数据识别安全评估
通过数据识别,确定数据在业务系统的内部分布、确定数据的访问路径、当前数据访问账号和授权情况。基于国家和行业标准要求,数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。
数据安全法律遵从性评估
依据国家、行业的法律法规及标准要求,重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况,包括个人信息保护情况、重要数据处境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况,以及其他法律法规、政策文件和标准规范落实情况等。
数据处理安全评估
数据处理安全评估主要围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节展开。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性开展评估。
数据环境安全评估
数据环境安全是指数据全生命周期安全的环境支撑,可以在多个生命周期环节内复用,主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等。
重要数据处境安全评估
数据安全风险评估所重点关注的风险场景,如果评估对象中包括数据出境业务,需要按此部分开展专项评估,重点评估出境数据发送方的数据出境约束力、监管情况、救济途经,以及出境数据接收方的主体资格和承诺履约情况。
四 数据安全风险评估的实施
4.1 实施规范与实施流程
项目准备
目标范围(合同、沟通记录)、工具(常用工具包)、人员(项目组成员)、文档(工作计划表、系统情况调查表、访谈表、风险评估模块)
项目启动阶段
进场前文档(保密协议、进场确认书、风险评估工作方案、风险评估实施方案、风险评估管理方案、风险评估实施管理规范、项目成员列表、资产调研表、项目前期需求书、会议记录、风险评估授权书)、项目启动(启动大会PPT)
项目实施阶段
资产识别/分析(访谈问卷、调查问卷、资产调查表、资产赋值表)、威胁识别/分析(威胁评估结果表)、脆弱性识别/分析(资产脆弱性表、物理安全脆弱性表)、风险分析(资产风险等级计算表)
项目成果输出:资产评估报告、威胁评估报告、脆弱评估报告、脆弱扫描报告、风险评估报告、风险控制报告
项目总结阶段
项目总结会(总结报告、总结大会PPT)
项目验收阶段
项目验收报告
4.1 准备阶段
风险评估准备是整个风险评估过程有效性的保证,从被评估单位收集各类有效信息,尽可能保证受评系统评估结果的准确性、有效性和合理性;
4.1.1 风险评估准备工作
1.与客户对接沟通
2.制定风险评估方案和内容
3.确定风险评估范围
4.组织适当的评估管理与实施团队
5.进行系统调研
6.制定项目启动会
4.1.2 项目文件产出
1.《评估系统资产调研表》
2.《项目实施计划表》
3.《数据安全风险评估服务方案》
4.《江苏省数据安全风险评估试点工作保密协议》
5.《脆弱性评估测试授权书》
6.《会议记录(启动会)》
4.2 资产识别
在确定评估范围基础上,针对评估范围内的每项业务,识别业务涉及的数据资产,基于行业标准规范指南进行相关数字资产梳理,形成资产清单。数据资产分类分级清单和数据应用场景识别
利用常用的数据资产识别工具或平台、元数据管理工具、数据分级分类工具、数据标识工具从(内部)网络或数据库、文件服务器、终端等扫描嗅探,自动梳理与评估对象有关的数据种类,数据流。
全面梳理组织以物理或电子形式记录的数据表、数据项、数据文件等数据内容:
数据基础信息
数据内容描述、数据资源类型、数据量、保存位置、保存期限、表/字段名称……
数据处理情况
数据处理目的、涉及信息系统、业务数据流量……
数据对外活动
共享交换活动、共享方式、公开披露、数据出境……
安全防护措施
访问控制策略、已有分级清单、安全防护手段…….
整理和识别已收集的全部数据资源,对数据进行合并统一,形成数据资源列表
数据处理活动识别
数据处理活动识别主要围绕数据收集、存储、传输、使用和加工、提供、公开、删除、出境等全生命周期,结合组织业务流程、系统功能实现等情况,识别处理活动以及个人信息处理活动,并进行记录。
4.3 威胁识别与分析
数据安全威胁识别主要包括威胁的来源、主体、种类、动机、频率、时机等。威胁来源包括环境、意外、人为三类,根据威胁来源不同,进一步划分威胁的种类与威胁来源的主体、动机,威胁频率应根据经验和有关的统计数据来进行判断。最终结合威胁的行为能力、威胁发生时机,通过威胁发生的频率给出威胁赋值。基于数据安全的全生命周期中所面临的各类数据威胁进行客观分析
4.4 脆弱性识别与分析
技术脆弱性识别
基于数据流转的全生命周期识别,基于人工访谈和制度建设审计查阅以及技术论证的方式验证。
管理脆弱性识别
数据安全管理、人员安全管理、数据安全应急管理
其他脆弱性识别
物理脆弱性识别
4.5 已有安全措施确认
1.数据识别能力建设情况;
2.操作审计能力建设情况;
3.数据防泄漏能力建设情况
4.接口安全管理;
5.个人信息保护;
4.6 风险分析与评价
风险分析与评价主要围绕数据、数据处理活动,对已识别的数据安全威胁、脆弱性、安全措施,综合运用数据安全风险分析与评价模型,给出定定性与定量相结合的风险分析与评价结果,并明确风险接受程度以及风险处理措施。
4.7 风险评估报告的编撰
编制《数据安全风险评估报告》,并按照要求报送有关主管部门,开展常态化数据安全风险评估管理工作。
数据的种类/级别、数量、涉及的业务(开展数据处理活动的情况)、涉及的角色、已采取的安全措施、风险分析过程、评估结果、风险处理措施等。其中,对业务的说明需要突出业务的特点,明确数据处理目的、处理方式、处理范围等。此外,对于评估依据、评估方法、评估周期等工作层面的介绍也可包含在评估报告内。
数据安全风险评估报告中,风险分析过程和评估结果的部分,可根据数据安全风险评估的主要目的来进一步确定,如开展的是重要数据安全风险评估,则可侧重于对国家安全、公共利益等方面的影响和风险。
组织应当关注数据安全风险评估报告上报主管部门的路径、报送的文件格式,并关注有关要求、模板的更新情况;对于涉及到与态势展示相关的数据,需尽可能采取一致的标准进行报送。
五 试点项目内部总结会
5.1 评估机构存在共性问题
- 评估单位对《江苏省数据安全风险评估规范》中“风险分析与评价”章节的理解不准确,导致风险计算存在偏差;
- 未按照规范要求编撰风险评估报告,报告编撰不完整;
- 评估单位对规范的理解存在偏差,理解不充分,认知不到位,对于脆弱性及风险分析偏向于传统信息系统安全风险评估,脆弱性多为传统安全漏洞的描述
- 对数据安全风险评估流程不明确,导致对资产识别、威胁识别、脆弱性识别、已有安全措施确认及风险计算评价间的逻辑关系不清晰,风险计算机评价脱离了整个评估流程;
- 未能按照规范中明确的风险分析与评价模型及风险计算方法,存在计算错误、判断错误等问题;
- 安全评估方法受限,专业工具欠缺:现在实施评估过程中,评估方法多为、人员访谈、文档审查、系统核查或辅助部分手动测试,数据安全风险评估方法受限。在技术测试验证过程中,缺乏数据安全评估专业性自动化工具的支撑;
5.2 试点单位存在的共性问题
技术层面
- 试点单位数据安全人才缺乏,配合程度不够。试点单位数据安全管理团队中 ,缺乏专业的数据安全人才,导致在评估实施过程中交流沟通存在障碍,配合程度不够。
- 试点单位在数据安全保障层面资金投入比例较少、投入不足,数据安全防护建设之后于业务功能建设,存在较多薄弱环节,数据安全风险防范处置能力较弱。
管理层面
数据安全意识较淡薄,数据分类分级较混乱
存在较大比例的试点单位没有建立明确的数据分类分级、数据安全防护指引等指导性文件,相关数据安全管理负责人员对数据分类分级安全管理认识不清,数据安全防护意识淡薄,分类分级管理较混乱安全管理制度不完善,落地执行可操作性低
数据安全管理制度不完善,没有针对性的数据安全管理体系建设,当前主要停留在通用管理制度层面即使建立了部分数据安全管理制度,但与实际运营管理活动存在偏差,落地执行可操作性较低应急响应机制不健全,处置工作水平待提高
应急响应机制不健全,缺乏专门的应急响应团队、专业人员及应急响应规则,导致数据安全事件发生无法统一协调,处置工作水平有待提高
数据安全风险评估项目服务复盘总结
