大數(shù)據(jù)安全評(píng)估與測(cè)評(píng)技術(shù)

大數(shù)據(jù)安全評(píng)估與測(cè)評(píng)技術(shù)全球數(shù)據(jù)安全政策匯總數(shù)據(jù)安全法律法規(guī)《工業(yè)數(shù)據(jù)安全評(píng)估指南（草案）》《數(shù)據(jù)出境安全評(píng)估辦法》《工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別規(guī)則（草案）》《工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別規(guī)則（草案）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》中華人民共和國(guó)數(shù)據(jù)安全法中華人民共和國(guó)數(shù)據(jù)安全法-重要條款總結(jié)中華人民共和國(guó)個(gè)人信息保護(hù)法網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求（征求意見(jiàn)稿）第二章數(shù)據(jù)分類分級(jí)管理第四章數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理日志留存第二章數(shù)據(jù)分類分級(jí)管理第四章數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理日志留存2022年12月，文件再次公開(kāi)征求意見(jiàn)：新增無(wú)線電數(shù)據(jù)、個(gè)人信息保護(hù)相關(guān)要求。第一章總則第三章數(shù)據(jù)全生命周期安全管理第三章數(shù)據(jù)全生命周期安全管理第五章數(shù)據(jù)安全檢測(cè)、認(rèn)證、評(píng)估管理第六章監(jiān)督檢查第六章監(jiān)督檢查第七章法律責(zé)任工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）?安全檢測(cè)與認(rèn)證：鼓勵(lì)、引導(dǎo)具有相應(yīng)資質(zhì)的機(jī)構(gòu)，依據(jù)相關(guān)標(biāo)準(zhǔn)開(kāi)展行業(yè)數(shù)據(jù)安全檢測(cè)、認(rèn)證工作；?安全評(píng)估：?工業(yè)和信息化部：制定評(píng)估機(jī)構(gòu)管理制度和規(guī)范，指導(dǎo)評(píng)估機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、合規(guī)評(píng)估、能力評(píng)估、出境評(píng)估等工作；?地方工業(yè)和信息化主管部門(mén)、通信管理局和無(wú)線電管理機(jī)構(gòu)：組織開(kāi)展本地區(qū)數(shù)據(jù)評(píng)估工作；?工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者：自行或委托第三方評(píng)估機(jī)構(gòu)，每年至少開(kāi)展一次安全評(píng)估，及時(shí)整改風(fēng)險(xiǎn)問(wèn)題，并報(bào)送評(píng)估報(bào)告。行業(yè)（領(lǐng)域）督促指導(dǎo)下級(jí)單位和信息化主管部門(mén)地方通信管理局地方通信管理局地方無(wú)線電管理機(jī)構(gòu)地方無(wú)線電管理機(jī)構(gòu)1未公開(kāi)的政務(wù)數(shù)據(jù)情報(bào)數(shù)據(jù)和執(zhí)法司1未公開(kāi)的政務(wù)數(shù)據(jù)情報(bào)數(shù)據(jù)和執(zhí)法司5達(dá)到國(guó)家有關(guān)部門(mén)規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國(guó)家基礎(chǔ)3國(guó)家法律、行政法規(guī)、部門(mén)規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國(guó)家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計(jì)數(shù)4能源交通、水防科技工業(yè)、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)運(yùn)行的數(shù)據(jù)，關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)6國(guó)家基礎(chǔ)設(shè)施、7其他可能影響國(guó)家政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地深海等《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第七十三條（四核心數(shù)據(jù)是指關(guān)系國(guó)家安全、國(guó)家經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)；第七十三條（三重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。22出口管制數(shù)據(jù)，出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)電子信息、人工智能等領(lǐng)域?qū)?guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成重要數(shù)據(jù)識(shí)別規(guī)則重要數(shù)據(jù)描述格式《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第三十二條：企業(yè)開(kāi)展數(shù)據(jù)安全評(píng)估市級(jí)網(wǎng)信部門(mén)于1月31日前提報(bào)上一年度數(shù)據(jù)安全評(píng)估報(bào)告評(píng)估認(rèn)為可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向基于風(fēng)險(xiǎn)控制的數(shù)據(jù)安全管理體系基于風(fēng)險(xiǎn)控制的思想是建立自我持續(xù)改進(jìn)和發(fā)展的數(shù)據(jù)安全管理體系，使用合理成本投入達(dá)到可接受的數(shù)據(jù)安全目標(biāo)。保護(hù)數(shù)據(jù)資產(chǎn)，將安全事件的損失和影響降到可接受程度。資產(chǎn)所在系統(tǒng)安全，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估資產(chǎn)所在系統(tǒng)安全，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估在原有信息安全風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)上，更多關(guān)注于數(shù)據(jù)資產(chǎn)本身的安全性，呈現(xiàn)出圍繞數(shù)據(jù)資產(chǎn)、強(qiáng)調(diào)數(shù)據(jù)應(yīng)用場(chǎng)景的特點(diǎn)。其核心是對(duì)潛在風(fēng)險(xiǎn)進(jìn)行發(fā)現(xiàn)，包括數(shù)據(jù)資產(chǎn)類型識(shí)別、處理活動(dòng)合規(guī)點(diǎn)識(shí)別、已有合規(guī)措施識(shí)別、數(shù)據(jù)價(jià)值識(shí)別、已有技術(shù)安全措施識(shí)別、脆弱性識(shí)別、威脅識(shí)別等。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估能夠幫助企業(yè)發(fā)現(xiàn)自身數(shù)據(jù)安全問(wèn)題和短板，明確數(shù)據(jù)安全保護(hù)需求，為建設(shè)數(shù)據(jù)安全管理和技術(shù)手段指明方向。評(píng)估過(guò)程關(guān)注數(shù)據(jù)所在應(yīng)用場(chǎng)景，文檔查驗(yàn)查驗(yàn)安全管理制度、風(fēng)險(xiǎn)評(píng)估報(bào)告、等保測(cè)評(píng)報(bào)告等有關(guān)材料及制度落實(shí)情況的證明材料技術(shù)測(cè)試應(yīng)用技術(shù)工具、滲透測(cè)試等手段查看數(shù)據(jù)資產(chǎn)情況、檢測(cè)防護(hù)措施有效性數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估-評(píng)估手段文檔查驗(yàn)查驗(yàn)安全管理制度、風(fēng)險(xiǎn)評(píng)估報(bào)告、等保測(cè)評(píng)報(bào)告等有關(guān)材料及制度落實(shí)情況的證明材料技術(shù)測(cè)試應(yīng)用技術(shù)工具、滲透測(cè)試等手段查看數(shù)據(jù)資產(chǎn)情況、檢測(cè)防護(hù)措施有效性人員訪談對(duì)相關(guān)人員訪談，核查制度規(guī)章、防護(hù)措施、安全責(zé)任落實(shí)情況安全核查核查網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)庫(kù)和大數(shù)據(jù)平臺(tái)等相關(guān)系統(tǒng)和設(shè)備安全策略、配置、防護(hù)措施情況數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估技術(shù)靜態(tài)分析符號(hào)執(zhí)行污點(diǎn)分析模糊測(cè)試機(jī)器學(xué)習(xí)通過(guò)符號(hào)表達(dá)式來(lái)模擬程序?qū)⑼獠康妮斎霐?shù)據(jù)標(biāo)記為污通過(guò)向目標(biāo)系統(tǒng)構(gòu)建非常規(guī)執(zhí)行，根據(jù)不同的分支條件點(diǎn)，通過(guò)跟蹤和污點(diǎn)數(shù)據(jù)相輸入數(shù)據(jù)，通過(guò)不斷的變異收集路徑約束信息，求解出關(guān)的信息流向，監(jiān)測(cè)他們是和調(diào)整，在執(zhí)行過(guò)程中監(jiān)控否會(huì)影響某些關(guān)鍵的程序操目標(biāo)程序的異常行為來(lái)發(fā)現(xiàn)不斷沿著不同分支進(jìn)行路徑建立大數(shù)據(jù)安全評(píng)估法建立數(shù)據(jù)質(zhì)量管理；?數(shù)據(jù)傳輸階段：數(shù)據(jù)傳輸加密、網(wǎng)絡(luò)可用性管理；?數(shù)據(jù)存儲(chǔ)階段：存儲(chǔ)媒體安全、邏輯存儲(chǔ)安全、數(shù)據(jù)備份和恢復(fù)；?數(shù)據(jù)處理階段：數(shù)據(jù)脫敏、數(shù)據(jù)分析安全、數(shù)據(jù)正當(dāng)使用、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)導(dǎo)入導(dǎo)出安全；?數(shù)據(jù)交換階段：數(shù)據(jù)共享安全、數(shù)據(jù)發(fā)布安全、數(shù)據(jù)接口安全；?數(shù)據(jù)銷毀階段：數(shù)據(jù)銷毀處置、存儲(chǔ)媒體銷毀處置；在數(shù)據(jù)通用過(guò)程中，加強(qiáng)數(shù)據(jù)安全策略、組織和人員管理、數(shù)安全、元數(shù)據(jù)安全、終端數(shù)據(jù)安全、監(jiān)控與內(nèi)部審計(jì)、鑒別與訪最小授權(quán)、賬號(hào)及時(shí)回收、行為內(nèi)部審計(jì)、定期賬號(hào)稽核等方式控制；?數(shù)據(jù)使用過(guò)程的訪問(wèn)權(quán)限管理：建議批量操作審批、高敏感數(shù)據(jù)訪問(wèn)審批、批量操作和高敏感數(shù)據(jù)訪問(wèn)的指定設(shè)備、地點(diǎn)、訪問(wèn)過(guò)程內(nèi)部審計(jì)記試訪問(wèn)模糊化、訪問(wèn)行為定期稽核等方式控制；?數(shù)據(jù)共享（提?。?quán)限管理：通過(guò)最小共享和泛化、共享（提?。徟?、最小使用范圍、責(zé)任傳遞、定期稽核等方式控制；?定期權(quán)限稽核：主要通過(guò)數(shù)據(jù)安全的合規(guī)性檢查、操作監(jiān)管或稽核、數(shù)據(jù)訪問(wèn)賬號(hào)和權(quán)限的監(jiān)管與稽核、業(yè)務(wù)單位和運(yùn)維的數(shù)據(jù)訪問(wèn)過(guò)程的合法核、日志風(fēng)險(xiǎn)分析與數(shù)據(jù)安全性測(cè)試等方式控制；?數(shù)據(jù)存儲(chǔ)管理：通過(guò)涉密數(shù)據(jù)存儲(chǔ)的網(wǎng)絡(luò)區(qū)隔、敏感數(shù)據(jù)存儲(chǔ)加密、備份訪問(wèn)?建立風(fēng)險(xiǎn)差距矩陣：明確數(shù)據(jù)流的業(yè)務(wù)目的、涉及系統(tǒng)和業(yè)務(wù)流程的數(shù)據(jù)安全、保密和合規(guī)要求；?執(zhí)行安全威脅建模：識(shí)別數(shù)據(jù)流的機(jī)密數(shù)據(jù)所需跨越的信任邊界，應(yīng)對(duì)數(shù)據(jù)安全性、策略、流程或?qū)嵤┮蟮目赡茏兓?分析數(shù)據(jù)安全風(fēng)險(xiǎn)：針對(duì)現(xiàn)有數(shù)據(jù)安全的保護(hù)控制、技術(shù)和行為進(jìn)行風(fēng)險(xiǎn)/差距分析，識(shí)別現(xiàn)有保護(hù)措施未能解決的威脅，評(píng)估相關(guān)風(fēng)險(xiǎn)；?確定風(fēng)險(xiǎn)消除措施：列出使各項(xiàng)風(fēng)險(xiǎn)達(dá)到可接受水平所需額外控制措施、技術(shù)和活動(dòng)，評(píng)估每項(xiàng)風(fēng)險(xiǎn)成本/收益，決定是否以及如何降低、轉(zhuǎn)移確定風(fēng)險(xiǎn)；?評(píng)估消除措施有效性：如存在不可接受風(fēng)險(xiǎn)，審查前述結(jié)果并重新啟動(dòng)整個(gè)風(fēng)險(xiǎn)評(píng)估周期數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估框架數(shù)據(jù)安全管理數(shù)據(jù)安全管理數(shù)據(jù)安全技術(shù)數(shù)據(jù)處理活動(dòng)安全個(gè)人信息保護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)-數(shù)據(jù)資產(chǎn)識(shí)別數(shù)據(jù)資產(chǎn)識(shí)別是一個(gè)“摸清家底”的過(guò)程，從而建立企業(yè)數(shù)據(jù)資產(chǎn)臺(tái)賬，掌握數(shù)據(jù)重要程度，是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，也是數(shù)據(jù)分類分級(jí)管理的基礎(chǔ)。數(shù)據(jù)資產(chǎn)評(píng)估數(shù)據(jù)資產(chǎn)評(píng)估大數(shù)據(jù)時(shí)代在應(yīng)用場(chǎng)景中分析數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的主線-數(shù)據(jù)應(yīng)用場(chǎng)景大數(shù)據(jù)時(shí)代在應(yīng)用場(chǎng)景中分析數(shù)據(jù)應(yīng)用場(chǎng)景與數(shù)據(jù)生命周期息息相關(guān)，不僅包括數(shù)據(jù)收集/產(chǎn)生、傳輸、存儲(chǔ)等過(guò)程，還包括數(shù)據(jù)調(diào)取、加工分析、外發(fā)等處理活動(dòng)。每個(gè)數(shù)據(jù)類型都對(duì)應(yīng)著多個(gè)數(shù)據(jù)應(yīng)用場(chǎng)景，隨之而來(lái)潛在的安全風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)。數(shù)據(jù)授權(quán)數(shù)據(jù)授權(quán)數(shù)據(jù)流向數(shù)據(jù)流向風(fēng)險(xiǎn)評(píng)估輸出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果支撐數(shù)據(jù)安全分類分級(jí)管理風(fēng)險(xiǎn)評(píng)估輸出根據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果，針對(duì)每一個(gè)數(shù)據(jù)安全風(fēng)險(xiǎn)，結(jié)合被影響的數(shù)據(jù)資產(chǎn)重要程度，選擇適當(dāng)?shù)臄?shù)據(jù)安全控制措施，實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)管理與保護(hù)。風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)數(shù)據(jù)安全風(fēng)險(xiǎn)得到有效控制數(shù)據(jù)安全風(fēng)險(xiǎn)得到有效控制數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估-評(píng)估方式數(shù)據(jù)處理者可根據(jù)相關(guān)法律法規(guī)及相應(yīng)標(biāo)準(zhǔn)自行開(kāi)展評(píng)估工作。第三方評(píng)估數(shù)據(jù)處理者委托第三方具有數(shù)據(jù)安全測(cè)評(píng)服務(wù)資質(zhì)的機(jī)構(gòu)進(jìn)行評(píng)估工作。分析總結(jié)綜合分析數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-評(píng)估流程分析總結(jié)綜合分析信息調(diào)研風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估-具體工作和主要產(chǎn)出物數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟涵蓋評(píng)估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識(shí)別（數(shù)據(jù)應(yīng)用場(chǎng)景識(shí)別、數(shù)據(jù)威脅識(shí)別、脆弱性識(shí)別、已有安全措施識(shí)別）綜合分析和評(píng)估總結(jié)5大步驟。最終分別輸出數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)應(yīng)用場(chǎng)景分析報(bào)告、數(shù)據(jù)威脅報(bào)告、脆弱性報(bào)告和風(fēng)險(xiǎn)分析報(bào)告。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-數(shù)據(jù)應(yīng)用場(chǎng)景識(shí)別數(shù)據(jù)應(yīng)用場(chǎng)景識(shí)別包括業(yè)務(wù)流程或使用流程、相關(guān)數(shù)據(jù)活動(dòng)、參與主體。數(shù)據(jù)應(yīng)用場(chǎng)景包括主業(yè)務(wù)調(diào)用數(shù)據(jù)的場(chǎng)景、數(shù)據(jù)被其數(shù)據(jù)應(yīng)用場(chǎng)景包括主業(yè)務(wù)調(diào)用數(shù)據(jù)的場(chǎng)景、數(shù)據(jù)被其統(tǒng)調(diào)取的場(chǎng)景、對(duì)組織外部提供數(shù)據(jù)的場(chǎng)景（合作工訪問(wèn)數(shù)據(jù)的場(chǎng)景、第三方服務(wù)人員訪問(wèn)數(shù)據(jù)數(shù)據(jù)活動(dòng)包括但不限于數(shù)據(jù)提取、數(shù)據(jù)獲取、數(shù)據(jù)整數(shù)據(jù)活動(dòng)包括但不限于數(shù)據(jù)提取、數(shù)據(jù)獲取、數(shù)據(jù)整數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-數(shù)據(jù)威脅識(shí)別主要分析數(shù)據(jù)在應(yīng)用場(chǎng)景流轉(zhuǎn)過(guò)程中，可能影響數(shù)據(jù)機(jī)密性、完整性、可用性及可控性的威脅類型，并進(jìn)一步分析其屬性，包括攻擊動(dòng)機(jī)、攻擊能力、威脅發(fā)生概率，并對(duì)其屬性進(jìn)行賦能數(shù)據(jù)威脅報(bào)告數(shù)據(jù)威脅報(bào)告通過(guò)分析脆弱性對(duì)數(shù)據(jù)機(jī)密性、完整性、可用性、可控性影響，判斷對(duì)數(shù)據(jù)影響的嚴(yán)重程度。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、通過(guò)分析脆弱性對(duì)數(shù)據(jù)機(jī)密性、完整性、可用性、可控性影響，判斷對(duì)數(shù)據(jù)影響的嚴(yán)重程度。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、脆弱性報(bào)告技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界防護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別已有安全措施分析報(bào)告數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-已有安全措施識(shí)別已有安全措施分析報(bào)告預(yù)防性安全措施可以降低數(shù)據(jù)威脅，利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如威脅情報(bào)系統(tǒng)、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等。保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)數(shù)據(jù)、業(yè)務(wù)或組織造成的影響。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-數(shù)據(jù)威脅與脆弱性的關(guān)系物理環(huán)境變化/自然災(zāi)害/硬件故障云計(jì)算等第二方平臺(tái)缺乏安全保障機(jī)制，人員或其他業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限粒度太粗、訪問(wèn)在數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、員工終端等存儲(chǔ)系統(tǒng)上執(zhí)行后門(mén)、病毒、木馬、蠕蟲(chóng)、竊聽(tīng)軟件、謀軟件等惡意工數(shù)據(jù)失效或業(yè)務(wù)關(guān)閉后，遺留了敏感數(shù)據(jù)仍然可以被訪問(wèn)或數(shù)據(jù)銷毀不徹底，可被技術(shù)性恢復(fù);內(nèi)部員工或第三方合作權(quán)獲取;關(guān)鍵崗位員工被收買(mǎi)竊取數(shù)據(jù)，安全意識(shí)培訓(xùn)機(jī)制、考核機(jī)制、數(shù)據(jù)行為審核手段、審計(jì)監(jiān)控措施存在漏對(duì)第三方合作機(jī)構(gòu)缺少協(xié)議或數(shù)據(jù)安全相關(guān)條 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-風(fēng)險(xiǎn)分析 評(píng)估后果–輸入：應(yīng)用場(chǎng)景內(nèi)已識(shí)別的相關(guān)事件情景，包括威脅、脆弱點(diǎn)、數(shù)據(jù)資產(chǎn)、已有和計(jì)劃的控制措施。–活動(dòng)：應(yīng)用場(chǎng)景中脆弱性與具體安全措施關(guān)聯(lián)分析后，判斷脆弱性可利用程度和脆弱性對(duì)數(shù)據(jù)資產(chǎn)影響的嚴(yán)重程度；根據(jù)脆弱性對(duì)數(shù)據(jù)影響嚴(yán)重程度及數(shù)據(jù)重要程度計(jì)算安全事件后果。評(píng)估事件可能性–輸入：應(yīng)用場(chǎng)景內(nèi)已識(shí)別的相關(guān)事件情景，包括威脅、暴露的脆弱點(diǎn)、現(xiàn)有和計(jì)劃的控制措施數(shù)據(jù)。–活動(dòng)：根據(jù)應(yīng)用場(chǎng)景中數(shù)據(jù)威脅與脆弱性利用關(guān)系，結(jié)合數(shù)據(jù)威脅發(fā)生可能性與脆弱性可利用性判斷安全事件發(fā)生的可能性。估算風(fēng)險(xiǎn)級(jí)別–活動(dòng)：根據(jù)應(yīng)用場(chǎng)景中安全事件發(fā)生的可能性以及安全事件后果，判斷風(fēng)險(xiǎn)值。脆弱性可利用性脆弱性可利用性數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟-殘余風(fēng)險(xiǎn)評(píng)估被評(píng)估組織按照風(fēng)險(xiǎn)安全整改建議全部或部分實(shí)施整改工作后，對(duì)仍然存在的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、控制和管理的降低風(fēng)險(xiǎn)定期開(kāi)展降低風(fēng)險(xiǎn)增加管控措施依據(jù)組織的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則進(jìn)行殘余風(fēng)險(xiǎn)評(píng)估，判斷是否已經(jīng)將至可接受水平 ,為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，則應(yīng)由管理層依據(jù)風(fēng)險(xiǎn)接受原則考慮是否接受此類風(fēng)險(xiǎn)或增加更多的風(fēng)險(xiǎn)控制措施。應(yīng)定期開(kāi)展殘余風(fēng)險(xiǎn)再評(píng)估，評(píng)估結(jié)果應(yīng)作為風(fēng)險(xiǎn)管理重要輸入。數(shù)據(jù)安全合規(guī)評(píng)估行業(yè)實(shí)踐數(shù)據(jù)分類