5月29日，全國信息安全標準化技術委員會秘書處發(fā)布了《網絡安全標準實踐指南——網絡數(shù)據(jù)安全風險評估實施指引》（以下簡稱《實施指引》），作為數(shù)據(jù)安全領域的一項重磅級指引，其明確了網絡數(shù)據(jù)安全風險評估思路、工作流程以及評估內容，旨在指導數(shù)據(jù)處理者、第三方機構開展數(shù)據(jù)安全評估，并為有關主管監(jiān)管部門組織開展檢查評估提供參考。

《實施指引》解讀

“評估思路”解讀

《實施指引》指出：“網絡數(shù)據(jù)安全風險評估堅持預防為主、主動發(fā)現(xiàn)、積極防范，對數(shù)據(jù)處理者數(shù)據(jù)安全保護和數(shù)據(jù)處理活動進行風險評估，旨在掌握數(shù)據(jù)安全總體狀況，發(fā)現(xiàn)數(shù)據(jù)安全隱患，提出數(shù)據(jù)安全管理和技術防護措施建議，提升數(shù)據(jù)安全防攻擊、防破壞、防竊取、防泄露、防濫用能力?！?/span>

分析《實施指引》的評估思路，可以看出數(shù)據(jù)安全風險評估是一項圍繞“數(shù)據(jù)安全保護和數(shù)據(jù)安全處理活動”開展的重要業(yè)務，對于數(shù)據(jù)處理者和第三方機構來說通常是風險評估，對監(jiān)管部門來說通常是安全檢查評估。數(shù)據(jù)安全風險評估遵循預防為主、主動發(fā)現(xiàn)、積極防范的原則，評估輸出結果包括安全總體狀況、數(shù)據(jù)安全隱患、數(shù)據(jù)安全建議三大方面內容。

“評估內容”解讀

《實施指引》指出：“網絡數(shù)據(jù)安全風險評估，在信息調研基礎上，圍繞數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術、個人信息保護等方面開展評估?！?/span>

如上圖所示，《實施指引》在評估內容方面提出了4個大類型31個子類型，這些評估內容涵蓋了數(shù)據(jù)全生命周期處理活動，例如數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸?shù)?，也涵蓋了數(shù)據(jù)安全管理細分維度及數(shù)據(jù)安全技術細分子類，是一套非常全面細化的評估內容集合。

“評估流程”解讀

《實施指引》提出：“數(shù)據(jù)安全風險評估流程，主要包括評估準備、信息調研、風險識別、綜合分析、評估總結五個階段。”

如上圖所示，《實施指引》不但明確了數(shù)據(jù)安全風險評估流程由五個階段組成，同時將每個階段的具體工作以及工作主要產物進行了細化。

注：參考來源 www.tc260.org.cn 《網絡安全標準實踐指南-網絡數(shù)據(jù)安全風險評估實施指引》(V1.0-202305)

天融信數(shù)據(jù)安全風險評估方案

《實施指引》針對數(shù)據(jù)安全風險評估業(yè)務給出了全面詳細的實施指導，據(jù)此，天融信提出數(shù)據(jù)安全風險評估方案。該方案以建設全面化的數(shù)據(jù)安全檔案庫、豐富智能化的調研評估知識體系、實用化的評估流程為核心理念，旨在幫助客戶打造數(shù)據(jù)安全風險評估支撐工具，提升數(shù)據(jù)安全風險評估效率。

天融信數(shù)據(jù)安全風險評估方案具備數(shù)據(jù)安全檔案庫、信息調研知識庫、信息調研流程、風險評估、評估報告五大能力。該方案通過與被評估單位對接建立完整的數(shù)據(jù)安全檔案庫，依托豐富智能的調研評估知識體系，智能自動生成評估問卷，高效開展自評估與檢查評估工作，及時掌握數(shù)據(jù)安全風險及隱患，并根據(jù)評估報告匯總評估結果，最終給出修復意見，實現(xiàn)數(shù)據(jù)安全評估的有效支撐。方案特點如下：

線上線下檔案庫

為了保證評估的正確性與準確性，該方案提供線上、線下兩種信息調研方式全面收集相關數(shù)據(jù)，線下收集數(shù)據(jù)資產，線上自動探測并與檔案庫信息進行對比，及時發(fā)現(xiàn)數(shù)據(jù)缺失及不一致問題，確保數(shù)據(jù)安全檔案庫完整、真實有效。

智能化知識體系

該方案提供行業(yè)覆蓋面大、適用組織全、數(shù)據(jù)種類多、業(yè)務場景廣的數(shù)據(jù)安全調研評估知識庫，并將單位信息、調研信息、評估知識項相結合，支持自動化生成評估模板，從而高效開展評估工作。

專業(yè)化評估報告

該方案提供專業(yè)化評估報告，記錄評估工作的全過程，通過不同維度進行呈現(xiàn)與分析，從而概括評估總體情況、展示評估詳細過程、總結評估最終結果，最終給出專家級修復意見，指導風險處置。

天融信基于多年數(shù)據(jù)安全實踐經驗，為政府、金融、運營商、能源、醫(yī)療、教育等各行業(yè)客戶提供了全方位的數(shù)據(jù)資產梳理方案。通過對數(shù)據(jù)資產進行分級分類梳理，從業(yè)務角度識別不同行業(yè)數(shù)據(jù)，并提煉出相應的數(shù)據(jù)風險，從而提供相應的數(shù)據(jù)安全策略保障，并針對各行業(yè)業(yè)務系統(tǒng)全生命周期進行監(jiān)控。

天融信數(shù)據(jù)安全管理能力不僅在多個行業(yè)項目中得到了充分驗證，還接連獲得了權威機構的推薦與認可。近日，天融信獲中國計算機行業(yè)協(xié)會數(shù)據(jù)安全專業(yè)委員會和中國軟件評測中心頒發(fā)的數(shù)據(jù)安全服務能力評定資格雙證最高級別證書。2022年，中國信息通信研究院安全研究所發(fā)布數(shù)據(jù)安全產品能力驗證測評結果，天融信數(shù)據(jù)安全管理平臺順利通過數(shù)據(jù)安全管控平臺能力檢驗，榮獲《數(shù)據(jù)安全產品檢驗證書》。2023年1月，該平臺入選《IDC Perspective: 中國數(shù)據(jù)安全基礎設施管理平臺市場洞察，2022》典型數(shù)據(jù)安全基礎設施管理平臺和方案。

加強數(shù)據(jù)安全治理、保障數(shù)據(jù)安全已成為數(shù)字時代的重大課題。作為率先提出“以數(shù)據(jù)為中心的安全建設體系”建設思路的網絡安全專業(yè)廠商，天融信已構建起數(shù)據(jù)全生命周期的產品與服務體系。未來也將持續(xù)深耕數(shù)據(jù)安全領域，不斷賦能各行業(yè)數(shù)字化轉型。