数据安全风险评估实施⽅法⼀.术语风险评估:风险识别、风险分析和风险评价的全过程。风险识别:发现、认识和描述风险的过程。风险分析:理解风险的本质和确定风险⽔平的过程。风险评价:将风险分析结果与风险准则进⾏⽐较,已确定风险和/或其⼤⼩是否可以接受或可容忍的过程。数据可控性:组织对向外传输、共享的数据具有控制能⼒,对数据接收⽅组织的数据保护能⼒可衡量,对接 收⽅接收数据后的活动及其再转移⾏为可约束、可监控、可撤消。⼆.数据安全风险评估概述1.数据安全风险评估原则2.风险评估各要素之间的关系3.风险评估原理风险识别阶段:(1)识别数据资产并分析其重要程度(2)对数据应⽤场景进⾏识别(3)识别数据应⽤场景中数据威胁,并判断数据威胁发⽣可能性(4)识别数据应⽤场景中脆弱性,与具体安全措施关联分析后,判断脆弱性可利⽤程度和脆弱性对数据资产影响的严重程度风险分析阶段:(1)根据数据威胁与脆弱性利⽤关系,结合数据威胁发⽣可能性与脆弱性可利⽤性判断安全事件发⽣的可能性。(2)根据脆弱性影响严重程度及数据重要程度计算安全事件影响严重程度(3)根据安全事件发⽣的可能性以及安全事件影响严重程度,判断风险值。风险评价阶段:(1)根据风险接受准则判定风险是否可以接受 4.数据安全风险评估流程三 .数据安全风险评估实施1 .评估⼯作准备(1 )确定评估⽬标 数据安全风险评估专注于被评估业务的数据安全风险,保障被评估业务的数据资产(包含个⼈信息) 的机密性、完整性、可⽤性及可控性。评估内容包括数据资产、数据应⽤场景、⾯临威胁、脆弱性以及 已有安全措施等各⽅⾯。(2 )确定评估范围 数据安全风险评估⼯作范围可能是组织全部的业务及业务相关的各类信息系统,也可能是某个独⽴ 的业务及相关信息系统等,评估对象为根据关键数据原则确定的业务的数据资产。(3 )组建评估团队(4 )组织数据安全相关⼯作调研(5 )确定评估依据2 .数据资产识别(本阶段⼯作输出件为数据资产清单)(1 )数据调研(2 )数据重要程度分析与赋值(3 )确定待评估的数据资产范围3 .数据应⽤场景识别4 .数据威胁识别(本阶段应输出数据威胁报告)(1 )数据威胁分类识别表 ( 2) 数据威胁源动⼒及其能⼒ ( 3 ) 数据威胁频率数据威胁频率赋值表5.脆 弱 性 识 别 脆 弱 性 识 别 所 采 ⽤ 的 的 ⽅ 法 主 要 有 : 问 卷 调 查 、 ⼯ 具 检 测 、 ⼈ ⼯...
