數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù)：?jiǎn)栴}剖析與解決思路

本報(bào)告版權(quán)屬于數(shù)據(jù)安全推進(jìn)計(jì)劃，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃”。違反上述聲明者，數(shù)據(jù)安全推進(jìn)計(jì)劃將追究其相關(guān)法律責(zé)任。報(bào)告愿景及目標(biāo)全球數(shù)字經(jīng)濟(jì)持續(xù)發(fā)展，我國(guó)數(shù)字化轉(zhuǎn)型加速推進(jìn)，數(shù)據(jù)要素市場(chǎng)化進(jìn)度加快。然而，數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，這嚴(yán)重危害了國(guó)家、社會(huì)公眾安全，數(shù)據(jù)安全風(fēng)險(xiǎn)防范的重要性日益凸顯。隨著網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域的法律法規(guī)相繼頒布，強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)依法依規(guī)開(kāi)展數(shù)據(jù)處理活動(dòng)，建立健全數(shù)據(jù)安全管理制度，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與防范，定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，數(shù)據(jù)安全風(fēng)險(xiǎn)的評(píng)估與治理已成為業(yè)內(nèi)各方最為關(guān)切的話題。然而，盡管大量的法規(guī)、標(biāo)準(zhǔn)提供了豐富的理論指引，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作實(shí)務(wù)中仍然存在諸多問(wèn)題。這些問(wèn)題分布在整個(gè)評(píng)估過(guò)程的各個(gè)階段，成因錯(cuò)綜復(fù)雜，嚴(yán)重影響了組織的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作落地，長(zhǎng)期來(lái)看不利于組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力的持續(xù)提升。在此背景下，數(shù)據(jù)安全推進(jìn)計(jì)劃（DSI）聯(lián)合中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會(huì)（CCSATC601），攜手業(yè)內(nèi)眾多專家撰寫了本報(bào)告。本報(bào)告旨在解決數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù)中的諸多問(wèn)題，介紹了當(dāng)前我國(guó)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的監(jiān)管要求、標(biāo)準(zhǔn)編制現(xiàn)狀以及評(píng)估實(shí)施方法，提煉了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的具體實(shí)施流程，并以評(píng)估實(shí)施流程為主線，系統(tǒng)性梳理了組織在評(píng)估準(zhǔn)備、評(píng)估實(shí)施、評(píng)估總結(jié)三大階段面臨的具體實(shí)務(wù)問(wèn)題，并提出問(wèn)題解決思路，為數(shù)據(jù)處理者、評(píng)估機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù)提供參考，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)紓難解惑，增強(qiáng)產(chǎn)業(yè)界信心。由于編制時(shí)間倉(cāng)促、水平有限，報(bào)告難免存在疏漏，歡迎大家批評(píng)指正。聯(lián)系方式：gongshiran@編制單位中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所、中國(guó)電信集團(tuán)有限公司、中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院、中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司、中國(guó)人壽保險(xiǎn)（集團(tuán)）公司、中國(guó)平安人壽保險(xiǎn)股份有限公司、華泰證券股份有限公司、天翼電子商務(wù)有限公司、西部證券股份有限公司、中國(guó)航天科工集團(tuán)航天情報(bào)與信息研究所、國(guó)家電網(wǎng)有限公司、重慶長(zhǎng)安汽車股份有限公司、賽力斯集團(tuán)股份有限公司、北京銀行股份有限公司、北京五八信息技術(shù)有限公司、杭州美創(chuàng)科技股份有限公司、奇安信科技集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、聯(lián)通數(shù)字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限責(zé)任公司、騰訊科技（深圳）有限公司、北京億賽通科技發(fā)展有限責(zé)任公司、北京塔斯數(shù)據(jù)技術(shù)有限公司、天道金科股份有限公司、杭州藪貓科技有限公司、深圳市聯(lián)軟科技股份有限公司、北京數(shù)字認(rèn)證股份有限公司、杭州數(shù)夢(mèng)工場(chǎng)科技有限公司、安徽辰圖大數(shù)據(jù)科技有限公司、北京數(shù)安行科技有限公司、北京煉石網(wǎng)絡(luò)技術(shù)有限公司、南京聚銘網(wǎng)絡(luò)科技有限公司、杭州安恒信息技術(shù)股份有限公司、阿里云計(jì)算有限公司、廈門服云信息科技有限公司、深圳市華傲數(shù)據(jù)技術(shù)有限公司、杭州極盾數(shù)字科技有限公司。編制工作組龔詩(shī)然、張亞蘭、李雪妮、李天陽(yáng)、張?jiān)?、郝志婧、劉雪花編制專家龔?shī)然、張亞蘭、溫暖、王勇、李冰、王志宇、周瑩、李文琦、劉飛龍、錢江洪、陳豪、曹咪、陶冶、吳璟、姬長(zhǎng)鵬、劉洋、張嘯雷、馬寧、張揚(yáng)、柯淑馨、江旺、張炎、周思佳、謝云鵬、洪雪蓮、許琛超、邢驍、姜娜、全曉東、李超、張立鵬、張強(qiáng)強(qiáng)、劉斌、蘇輝、葉樺、朱朔漫、楚赟、蘇文亭、梁偉、王瑋、艾龍、謝雄、馬明、趙寧、周莉、王笑晨、郭麗穎、胡嘉偉、甘長(zhǎng)華、翟培康、關(guān)中華、項(xiàng)宇欣、劉玉紅、趙倩、唐開(kāi)達(dá)、陳虎、高柱、徐道晨、李娜（阿里云）、楊智壟、何旭珩、查浩奇。一、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作背景(一)數(shù)據(jù)安全風(fēng)險(xiǎn)形勢(shì)日益嚴(yán)峻011.數(shù)據(jù)泄露：持續(xù)呈現(xiàn)高發(fā)態(tài)勢(shì)012.數(shù)據(jù)破壞：勒索攻擊危害顯著02(二)組織風(fēng)險(xiǎn)防范面臨監(jiān)管考驗(yàn)02(三)新技術(shù)應(yīng)用暗藏新型風(fēng)險(xiǎn)03二、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作現(xiàn)狀(一)風(fēng)險(xiǎn)評(píng)估已成業(yè)界焦點(diǎn)05(二)評(píng)估標(biāo)準(zhǔn)編制進(jìn)程加快07三、實(shí)務(wù)問(wèn)題剖析與解決思路1.如何確定評(píng)估觸發(fā)條件2.如何制定評(píng)估工作目標(biāo)153.如何規(guī)劃評(píng)估實(shí)施范圍161.如何獲取有效評(píng)估信息2.如何應(yīng)用風(fēng)險(xiǎn)評(píng)估工具193.如何開(kāi)展風(fēng)險(xiǎn)評(píng)估分析201.如何充分應(yīng)用評(píng)估結(jié)果四、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作建議(一)建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制25(二)構(gòu)建數(shù)據(jù)安全風(fēng)險(xiǎn)治理框架25(三)完善數(shù)據(jù)安全風(fēng)險(xiǎn)治理體系25附錄:中國(guó)信通院云大所實(shí)務(wù)索引27圖3數(shù)據(jù)風(fēng)險(xiǎn)治理基本框架26表目錄表1數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)發(fā)展、演進(jìn)一覽08表2數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程與產(chǎn)出物12表3數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估適用情形13一.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作背景全球數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，嚴(yán)重危害了國(guó)家、社會(huì)公眾安全。針對(duì)各國(guó)政府機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等違法活動(dòng)明顯增多，數(shù)據(jù)安全事件涉及的數(shù)據(jù)以及用戶體量也在持續(xù)加大。如何有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)與事件，是全球數(shù)字經(jīng)濟(jì)發(fā)展下的重點(diǎn)問(wèn)題。本章節(jié)將總結(jié)國(guó)際、國(guó)內(nèi)數(shù)據(jù)安全風(fēng)險(xiǎn)形勢(shì)，分析廣大組織面臨的各類數(shù)據(jù)安全風(fēng)險(xiǎn)以及日趨嚴(yán)格的監(jiān)管合規(guī)要求，闡述了組織加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)防范的必要性。全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。統(tǒng)計(jì)數(shù)據(jù)顯示，僅2021年全球范圍內(nèi)公開(kāi)披露的數(shù)據(jù)泄露事件已超過(guò)四千起，涉及超過(guò)200億條數(shù)據(jù)。進(jìn)入2023年，數(shù)據(jù)泄露的趨勢(shì)似乎并未得到緩解：2023年4月，威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報(bào)告》顯示，僅2023年第一季度就已發(fā)生近千余起數(shù)據(jù)泄露事件，這些事件涉及上千家組織、近四十個(gè)行業(yè)。例如，Twitter在2023年1月遭遇了數(shù)據(jù)泄露事件，包括用戶電子郵件地址、姓名等2億條個(gè)人信息被泄露。2023年2月，全美最大的綜合醫(yī)療服務(wù)網(wǎng)絡(luò)HeritageP個(gè)醫(yī)療機(jī)構(gòu)大量敏感信息泄露。2023年2月，Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機(jī)器人鏈接，該機(jī)器人泄露了大量來(lái)自我國(guó)各快遞、電商平臺(tái)的個(gè)人信息，包含了用戶的真實(shí)姓名、電話與住址等，數(shù)據(jù)量高達(dá)45億條。組織數(shù)據(jù)安全保障壓力倍增。2020年，某電商的客戶數(shù)據(jù)泄露導(dǎo)致不法分子冒充客服對(duì)全國(guó)二十多個(gè)城市的受害者進(jìn)行了電話詐騙，受害者的被騙金額為幾千到十幾萬(wàn)元不等。2023年8月，公安部公布了打擊侵犯公民個(gè)人信息犯罪的十大典型案例，其中黑灰產(chǎn)組織竊取、利用組織掌握的用戶個(gè)人信息實(shí)施犯罪的案例高居榜首。隨著個(gè)人信息成為黑灰產(chǎn)組織逐利的“重災(zāi)數(shù)據(jù)泄露事件為組織帶來(lái)的損失也在逐年走高。組織數(shù)字化轉(zhuǎn)型加快，對(duì)數(shù)據(jù)依賴程度隨之加深，數(shù)據(jù)一旦泄露給組織帶來(lái)的損失也更加嚴(yán)重。根據(jù)IBM《2023年數(shù)據(jù)泄露成本報(bào)告》顯示，組織數(shù)據(jù)泄露事件平均成本達(dá)到445萬(wàn)美元，較2022年的435萬(wàn)美元增長(zhǎng)2.3%，而較2020年的386萬(wàn)美元?jiǎng)t足足增長(zhǎng)了15.3%，現(xiàn)已創(chuàng)下歷史新高。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE有針對(duì)性的數(shù)據(jù)勒索與破壞事件愈演愈烈。隨著全球各行業(yè)領(lǐng)域的組織數(shù)字化轉(zhuǎn)型程度加深，其系統(tǒng)及承載的數(shù)據(jù)重要程度也隨之提升，其中的關(guān)鍵數(shù)據(jù)更是組織業(yè)務(wù)運(yùn)行命脈，一旦這些關(guān)鍵數(shù)據(jù)遭到破壞，將面臨業(yè)務(wù)中斷、信息系統(tǒng)或網(wǎng)絡(luò)服務(wù)癱瘓，嚴(yán)重的后果可能是長(zhǎng)期業(yè)務(wù)受損，客戶信息、商業(yè)機(jī)密等重要數(shù)據(jù)泄露，給組織帶來(lái)重大的經(jīng)濟(jì)損失和聲譽(yù)損失。而近年來(lái)，針對(duì)政府機(jī)構(gòu)、知名組織的數(shù)據(jù)勒索、破壞事件也持續(xù)增加：2022年，哥斯達(dá)黎加政府遭遇Conti勒索軟件團(tuán)伙攻擊，國(guó)家財(cái)政部數(shù)個(gè)TB的數(shù)據(jù)以及800多臺(tái)服務(wù)器受到此次攻擊影響，國(guó)內(nèi)數(shù)字稅務(wù)服務(wù)、海關(guān)控制IT系統(tǒng)以及醫(yī)療保健系統(tǒng)在多輪攻擊下接連癱瘓、被迫下線，導(dǎo)致國(guó)內(nèi)醫(yī)療保健系統(tǒng)陷入混亂。同年，法國(guó)巴黎的一家醫(yī)院CenterHospitalierSudFrancilien（以下簡(jiǎn)稱CHSF）遭遇網(wǎng)絡(luò)攻擊并被勒索1000萬(wàn)美元作為解密密鑰的贖金。此次攻擊直接導(dǎo)致了CHSF多個(gè)業(yè)務(wù)軟件、醫(yī)學(xué)影像存儲(chǔ)系統(tǒng)無(wú)法訪問(wèn)，大量醫(yī)療數(shù)據(jù)被加密迫使醫(yī)院推遲多臺(tái)手術(shù)計(jì)劃，大量患者被臨時(shí)轉(zhuǎn)診至其他機(jī)構(gòu)，這嚴(yán)重威脅了當(dāng)?shù)氐募薄⒅夭』颊呱踩?。?lái)自“內(nèi)鬼”的數(shù)據(jù)竊取也令組織防不勝防。2023年6月6日，Verizon發(fā)布了《2023年度數(shù)據(jù)泄露調(diào)查報(bào)告》（2023DataBreachInvestigationsReport，簡(jiǎn)稱DBIR），分析了從2017年以來(lái)的16312起安全事件和5199起數(shù)據(jù)泄露事件，指出74%的泄露事件由人為因素造成的，約五分之一的數(shù)據(jù)泄露事件來(lái)自于組織的內(nèi)部。組織收集、存儲(chǔ)了大量用戶的個(gè)人信息數(shù)據(jù)，一旦組織內(nèi)部出現(xiàn)了特權(quán)賬號(hào)濫用、數(shù)據(jù)權(quán)限分配不清、人員利用越權(quán)訪問(wèn)漏洞等問(wèn)題，將直接導(dǎo)致?lián)碛袃?nèi)部人員對(duì)其獲取的數(shù)據(jù)進(jìn)行不正當(dāng)?shù)氖褂没蛘吒`取。2023年5月，特斯拉兩名員工違規(guī)挪用、泄露了包括員工個(gè)人信息、客戶銀行信息、生產(chǎn)信息在內(nèi)的100GB數(shù)據(jù)，影響超過(guò)7.5萬(wàn)人。無(wú)獨(dú)有偶，2023年7月，日本通信運(yùn)營(yíng)商N(yùn)TTDOCOMO的承包商員工盜取了包括用戶個(gè)人信息在內(nèi)的596萬(wàn)條商業(yè)信息，這些案件均有力證明了組織“內(nèi)鬼”竊取數(shù)據(jù)的危害。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)，各國(guó)政府倡導(dǎo)國(guó)際、國(guó)內(nèi)或地區(qū)內(nèi)的公私部門開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防范合作。例如，2023年《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》結(jié)合新型網(wǎng)絡(luò)犯罪情況，要求締約國(guó)將黑客攻擊、非法數(shù)據(jù)獲取等犯罪行為納入本國(guó)刑法執(zhí)法范圍，倡導(dǎo)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)的跨國(guó)協(xié)作與應(yīng)對(duì)。再例如，歐盟《數(shù)據(jù)治理法案》（2022）提出歐盟境內(nèi)的公共和私營(yíng)組織在共享數(shù)據(jù)時(shí)，應(yīng)遵守的安全與可靠性要求，要求及時(shí)報(bào)告數(shù)據(jù)泄露事件，防范全球數(shù)據(jù)流通帶來(lái)的數(shù)據(jù)共享風(fēng)險(xiǎn)。美國(guó)《網(wǎng)絡(luò)安全信息分享法案（CISA）》（2015）也曾鼓勵(lì)國(guó)內(nèi)的私營(yíng)組織與政府進(jìn)行網(wǎng)絡(luò)威脅情報(bào)共享，增強(qiáng)其網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防御能力。數(shù)據(jù)安全與隱私保護(hù)法規(guī)的發(fā)展對(duì)廣大數(shù)據(jù)處理者的風(fēng)險(xiǎn)防范能力提出了新要求。除了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)的跨國(guó)協(xié)作與應(yīng)對(duì)，各國(guó)的法律法規(guī)也明確規(guī)定了國(guó)內(nèi)數(shù)據(jù)處理者的數(shù)據(jù)安全義務(wù)、責(zé)任，要求其開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估等活動(dòng)，加強(qiáng)對(duì)用戶個(gè)人信息的保護(hù)。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE中國(guó)方面。2021年，中國(guó)《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）、《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）相繼頒布、實(shí)施。作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》指出數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。其中，重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告?！秱€(gè)人信息保護(hù)法》則進(jìn)一步強(qiáng)調(diào)了個(gè)人信息處理者的責(zé)任與義務(wù)，提出個(gè)人信息處理者應(yīng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。在處理敏感個(gè)人信息等情形下，個(gè)人信息處理者還應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄。歐盟方面。2018年，歐盟《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionReg-ulation，以下簡(jiǎn)稱“GDPR”）正式生效。GDPR基于其域外效力及嚴(yán)厲的行政處罰措施，提出了個(gè)人同意、隱私權(quán)影響評(píng)估等多項(xiàng)數(shù)據(jù)處理合規(guī)要求，并警示其適用范圍內(nèi)的數(shù)據(jù)處理主體嚴(yán)格履行合規(guī)義務(wù)。針對(duì)可能會(huì)為自然人權(quán)利與自由帶來(lái)高度風(fēng)險(xiǎn)的數(shù)據(jù)處理方式，GDPR提出數(shù)據(jù)處理主體應(yīng)事先進(jìn)行影響評(píng)估，加強(qiáng)對(duì)個(gè)人敏感信息的保護(hù)，限制對(duì)個(gè)人信息的非授權(quán)使用。交評(píng)估報(bào)告。此外，美國(guó)的《弗吉尼亞州消費(fèi)者保護(hù)法》與《科羅拉多州隱私法》也要求，針對(duì)可能對(duì)消費(fèi)者帶來(lái)重大風(fēng)險(xiǎn)的行為，信息處理者應(yīng)開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估（DataProtection），新加坡、俄羅斯、印度、巴西、韓國(guó)等多個(gè)國(guó)家也通過(guò)立法明確了數(shù)據(jù)處理者的數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)防范以及數(shù)據(jù)保護(hù)影響評(píng)估活動(dòng)等方面的要求，加強(qiáng)了數(shù)據(jù)處理者的監(jiān)督和處罰，極大地推動(dòng)了以上國(guó)家、地區(qū)的數(shù)據(jù)處理者提升數(shù)據(jù)安全風(fēng)險(xiǎn)防范能力，切實(shí)保護(hù)數(shù)據(jù)安全。新技術(shù)應(yīng)用衍生新型安全風(fēng)險(xiǎn)。5G、人工智能、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)分析等新興技術(shù)應(yīng)用極大地推動(dòng)了各行業(yè)領(lǐng)域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、便利的服務(wù)，但同時(shí)也帶來(lái)了大量的安全漏洞、風(fēng)險(xiǎn)。以云計(jì)算為例。云計(jì)算通過(guò)互聯(lián)網(wǎng)為組織提供了更加靈活、可擴(kuò)展的計(jì)算和存儲(chǔ)服務(wù)，實(shí)現(xiàn)了資源池化、按需擴(kuò)縮容的能力，但云平臺(tái)的復(fù)雜性以及多租戶環(huán)境也存在數(shù)據(jù)隔離失效的問(wèn)題，存在內(nèi)部人員越權(quán)訪問(wèn)的可能，增加了組織數(shù)據(jù)泄露的風(fēng)險(xiǎn)。再例如，5G技術(shù)的典型應(yīng)用場(chǎng)景eMBB（增強(qiáng)移動(dòng)帶寬），由于在增強(qiáng)現(xiàn)實(shí)（AR）、虛擬現(xiàn)實(shí)（VR）、高清視頻直播、頻等對(duì)帶寬有 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE03極高要求的業(yè)務(wù)場(chǎng)景下衍生的海量數(shù)據(jù)往往涉及個(gè)人隱私數(shù)據(jù)，而傳統(tǒng)的安全基礎(chǔ)設(shè)施難以適應(yīng)超大流量的5G網(wǎng)絡(luò)防護(hù)以及海量用戶隱私數(shù)據(jù)保護(hù)的安全需求。新興技術(shù)的監(jiān)管措施與規(guī)范的不完善也可能導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。部分處于萌芽期的新興技術(shù)可能因其配套的監(jiān)管措施與技術(shù)規(guī)范尚未完善，在實(shí)際應(yīng)用過(guò)程中為組織、個(gè)人帶來(lái)尚未被公眾充分認(rèn)識(shí)的數(shù)據(jù)安全風(fēng)險(xiǎn)，導(dǎo)致安全事件一旦發(fā)生，出現(xiàn)責(zé)任主體判定難、治理成本高等問(wèn)題。以生成式AI為例。其在文本、圖片或視頻生成等領(lǐng)域中得到了廣泛的應(yīng)用，但如果在學(xué)習(xí)訓(xùn)練階段缺乏監(jiān)管，該技術(shù)可能會(huì)因其對(duì)個(gè)人信息進(jìn)行深度加工、價(jià)值挖掘，導(dǎo)致個(gè)人信息被違規(guī)利用或個(gè)人信息主體的權(quán)益遭到侵害，帶來(lái)個(gè)人信息泄露的安全風(fēng)險(xiǎn)。針對(duì)這一問(wèn)題，2023年7月我國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”）發(fā)布了《生成式人工智能服務(wù)管理暫行辦法》，明確了數(shù)據(jù)訓(xùn)練的要求，強(qiáng)調(diào)涉及個(gè)人信息的訓(xùn)練數(shù)據(jù)處理活動(dòng)須遵守法律和監(jiān)管要求——這一定程度上推動(dòng)了生成式AI技術(shù)的安全、合規(guī)應(yīng)用，但對(duì)于如何防范其可能引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題，仍需產(chǎn)業(yè)界的持續(xù)探索。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE04二.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作現(xiàn)狀隨著我國(guó)數(shù)字經(jīng)濟(jì)的快速發(fā)展、傳統(tǒng)業(yè)務(wù)的數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)價(jià)值化加速推進(jìn)，結(jié)合全球數(shù)據(jù)安全風(fēng)險(xiǎn)的整體形勢(shì)，數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別、評(píng)估與應(yīng)對(duì)已成為我國(guó)廣大組織面臨的最緊迫、最根本的問(wèn)題，受到了國(guó)家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視。本章節(jié)將總結(jié)國(guó)內(nèi)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作落地情況，介紹數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)與實(shí)施方法，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)初步建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施的整體認(rèn)知。國(guó)家層面，推進(jìn)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作勢(shì)在必行。國(guó)家法規(guī)鼓勵(lì)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，《數(shù)據(jù)安全法》提出了國(guó)家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制，數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，強(qiáng)調(diào)了對(duì)風(fēng)險(xiǎn)信息的監(jiān)測(cè)與評(píng)估是把控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)的首要途徑。多部門提出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作要求。為了規(guī)范數(shù)據(jù)處理活動(dòng)，防范重大數(shù)據(jù)安全風(fēng)險(xiǎn)，中華人民共和國(guó)國(guó)務(wù)院（以下簡(jiǎn)稱“國(guó)務(wù)院”）、國(guó)家網(wǎng)信辦、工業(yè)和信息化部（以下簡(jiǎn)稱“工信部”）、中國(guó)人民銀行、國(guó)家醫(yī)療保障局等監(jiān)管部門、行業(yè)主管部門相繼發(fā)布了數(shù)據(jù)安全保護(hù)工作要求，提出數(shù)據(jù)處理者應(yīng)建立健全數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，及時(shí)消除風(fēng)險(xiǎn)隱患。包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》等多項(xiàng)文件也進(jìn)一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者、重要數(shù)據(jù)處理者以及特定情形下的個(gè)人信息處理者等重點(diǎn)主體應(yīng)按照有關(guān)規(guī)定，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，報(bào)送評(píng)估報(bào)告的具體工作要求。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者每年開(kāi)展風(fēng)險(xiǎn)評(píng)估。國(guó)務(wù)院令第745號(hào)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，并按照保護(hù)工作部門要求報(bào)送情況。重要數(shù)據(jù)處理者定期開(kāi)展數(shù)據(jù)安全評(píng)估?！稊?shù)據(jù)安全法》在第三十條明確了重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。2022年，國(guó)家網(wǎng)信辦發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》，要求組織的數(shù)據(jù)安全管理機(jī)構(gòu)定期開(kāi)展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等活動(dòng)。涉及處理重要數(shù)據(jù)或者赴境外上市的，數(shù)據(jù)處理者應(yīng)每年開(kāi)展一次數(shù)據(jù)安全評(píng)估。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE05主管部門應(yīng)定期組織開(kāi)展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查，指導(dǎo)督促數(shù)據(jù)處理者及時(shí)對(duì)存在的風(fēng)險(xiǎn)隱患進(jìn)行整改。工信部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》也提出，工信領(lǐng)域的重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)每年對(duì)其數(shù)據(jù)處理活動(dòng)至少開(kāi)展一次風(fēng)險(xiǎn)評(píng)估，及時(shí)整改風(fēng)險(xiǎn)問(wèn)題，并向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。個(gè)人信息處理者應(yīng)結(jié)合具體情形開(kāi)展安全評(píng)估或者個(gè)人信息保護(hù)影響評(píng)估?！秱€(gè)人信息保護(hù)法》明確了個(gè)人信息處理者在特定的情形下需要通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估或者開(kāi)展個(gè)人信息保護(hù)影響評(píng)估的要求：例如，第四十條提出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，在確需將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息向境外提供的情形下，應(yīng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估。而第五十五條則明確了在處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策等五種具體情形下，個(gè)人信息處理者應(yīng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，并進(jìn)一步規(guī)定了個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容、報(bào)告和處理記錄留存等具體要求。如涉及向境外提供境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估。此類數(shù)據(jù)處理者需要按照國(guó)家網(wǎng)信辦《數(shù)據(jù)出境安全評(píng)估辦法》，開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，并向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。數(shù)據(jù)處理者需要在風(fēng)險(xiǎn)自評(píng)估環(huán)節(jié)，重點(diǎn)評(píng)估其出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度、數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)以及數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露等風(fēng)險(xiǎn)等方面內(nèi)容。地方層面，多地積極響應(yīng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。北京、貴州、天津、海南、山西、吉林、安徽、山東、深圳、上海等省市地區(qū)紛紛頒布相關(guān)數(shù)據(jù)條例、管理辦法等文件，積極落實(shí)國(guó)家法律法規(guī)要求，推動(dòng)當(dāng)?shù)財(cái)?shù)據(jù)處理者開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。2019年天津市互聯(lián)網(wǎng)信息辦公室印發(fā)的《天津市數(shù)據(jù)安全管理辦法（暫行）》在第七條提出數(shù)據(jù)運(yùn)營(yíng)者應(yīng)當(dāng)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的要求，并在第十七條強(qiáng)調(diào)數(shù)據(jù)運(yùn)營(yíng)者如向境外提供個(gè)人信息和重要數(shù)據(jù)，應(yīng)按照相關(guān)法律法規(guī)的規(guī)定開(kāi)展安全評(píng)估。2021年11月，上海市第十五屆人民代表大會(huì)通過(guò)了《上海市數(shù)據(jù)條例》。其中，第八十一條提出重要數(shù)據(jù)處理者應(yīng)按照規(guī)定，定期對(duì)其數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)評(píng)估，并依法向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告的要求。其他的省市地區(qū)（例如：遼寧、安徽、山東、蘇州、深圳、廈門等）也均在其數(shù)據(jù)條例等文件中強(qiáng)調(diào)了開(kāi)展數(shù)據(jù)處理活動(dòng)的組織定期進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，提高風(fēng)險(xiǎn)識(shí)別與處置能力，嚴(yán)格落實(shí)個(gè)人信息合法使用、數(shù)據(jù)安全使用承諾和重要數(shù)據(jù)出境安全管理等相關(guān)要求。由此可見(jiàn)，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估在國(guó)家建立健全數(shù)據(jù)安全治理體系中起到了關(guān)鍵作用：數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估推動(dòng)了各行業(yè)、領(lǐng)域的廣大數(shù)據(jù)處理者合法、正當(dāng)?shù)亻_(kāi)展數(shù)據(jù)處理活動(dòng)，在提高數(shù)據(jù)處理者的數(shù)據(jù)安全保障能力，防范重大數(shù)據(jù)安全風(fēng)險(xiǎn)等方面具有重要的意義。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE06為更好地響應(yīng)廣大數(shù)據(jù)處理者的需求、落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的法定要求，國(guó)家、地方數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)以及相關(guān)行業(yè)組織也相繼發(fā)布了具體的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引、標(biāo)準(zhǔn)以及實(shí)踐指南等文件，積極推動(dòng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與指南的研究與制定工國(guó)家標(biāo)準(zhǔn)編制進(jìn)程持續(xù)加速。2022年3月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡(jiǎn)稱“全國(guó)信安標(biāo)委”）啟動(dòng)了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》（以下簡(jiǎn)稱《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》）的編制工作，并于2023年8月面向社會(huì)公眾公開(kāi)征求意見(jiàn)?！稊?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》基于國(guó)家標(biāo)準(zhǔn)GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》（以下簡(jiǎn)稱《信息安全風(fēng)險(xiǎn)評(píng)估方法》）的框架、流程與實(shí)施方法，考慮了數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)的特點(diǎn)，借鑒了GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》、JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等國(guó)家、行業(yè)標(biāo)準(zhǔn)，最終從管理、數(shù)據(jù)處理活動(dòng)、技術(shù)等維度入手，結(jié)合核心數(shù)據(jù)、重要數(shù)據(jù)、個(gè)人信息、一般數(shù)據(jù)的安全特點(diǎn)與保護(hù)要求，提出了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程、評(píng)估內(nèi)容、分析與評(píng)價(jià)方法等方面的內(nèi)容。此外，2023年5月，全國(guó)信安標(biāo)委還編制、發(fā)布了《TC260-PG-20231A網(wǎng)絡(luò)數(shù)據(jù)安全實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》（以下簡(jiǎn)稱《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》），為廣大組織與專業(yè)服務(wù)機(jī)構(gòu)提供了風(fēng)險(xiǎn)評(píng)估的實(shí)施流程、實(shí)施方法、評(píng)估內(nèi)容等具體指導(dǎo)。多個(gè)行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)持續(xù)完善。數(shù)據(jù)安全風(fēng)險(xiǎn)與行業(yè)領(lǐng)域數(shù)據(jù)的應(yīng)用場(chǎng)景息息相關(guān)。為了更好地指導(dǎo)業(yè)內(nèi)的廣大數(shù)據(jù)處理者有效識(shí)別、評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，因地制宜地加強(qiáng)自身的風(fēng)險(xiǎn)防范能力，一些行業(yè)主管部門也在持續(xù)推進(jìn)行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法的編制工作。以電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)為例。2020年，工信部發(fā)布了YD/T3801-2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)同樣參考了《信息安全風(fēng)險(xiǎn)評(píng)估方法》，將數(shù)據(jù)作為核心保護(hù)對(duì)象，面向電信網(wǎng)和互聯(lián)網(wǎng)的典型數(shù)據(jù)應(yīng)用場(chǎng)景，提煉了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)的基本要素及要素間的關(guān)系，提供了電信網(wǎng)和互聯(lián)網(wǎng)組織實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的具體流程、操作方法與風(fēng)險(xiǎn)分析思路。此外，YD/T3956-2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估規(guī)范》、YD/T4241-2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估技術(shù)實(shí)施指南》等行業(yè)標(biāo)準(zhǔn)也提供了對(duì)電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)單元以及業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估的方法，為業(yè)內(nèi)組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、現(xiàn)有安全措施評(píng)估等工作提供了參考依據(jù)。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE再例如金融行業(yè)。近年，中國(guó)人民銀行陸續(xù)發(fā)布了JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全評(píng)估規(guī)范（征求意見(jiàn)稿）》等標(biāo)準(zhǔn)，充分結(jié)合金融業(yè)機(jī)構(gòu)的組織特點(diǎn)、數(shù)據(jù)及其處理活動(dòng)的特征，提供了金融業(yè)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作的實(shí)施流程、重點(diǎn)評(píng)估事項(xiàng)，在有效指導(dǎo)金融業(yè)機(jī)構(gòu)及時(shí)識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)，防范數(shù)據(jù)安全事件的同時(shí)，也推動(dòng)金融業(yè)機(jī)構(gòu)充分落實(shí)金融業(yè)數(shù)據(jù)安全管理要求，提升數(shù)據(jù)安全保護(hù)工作水平，為各機(jī)構(gòu)實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估相關(guān)的工作提供了重要的參考。上述風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的發(fā)展與演進(jìn)見(jiàn)表1。《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》布?明確了風(fēng)險(xiǎn)評(píng)估實(shí)施方法說(shuō)明：提出了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形?構(gòu)建了風(fēng)險(xiǎn)評(píng)估整體框架說(shuō)明：從風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估流程三?制定了風(fēng)險(xiǎn)評(píng)估實(shí)施流程說(shuō)明：實(shí)施流程包括評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)四個(gè)階段。溝通與協(xié)商、文檔記錄作為必要的手《電信網(wǎng)和互風(fēng)險(xiǎn)評(píng)估實(shí)施方法》?明確了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施要點(diǎn)說(shuō)明：基于《信息安全風(fēng)險(xiǎn)評(píng)估方法》，總結(jié)了電信網(wǎng)和互聯(lián)網(wǎng)的數(shù)據(jù)威脅、脆弱性、已有安全措施等要素識(shí)別內(nèi)?提出了對(duì)電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用場(chǎng)景的識(shí)別要求說(shuō)明：提出風(fēng)險(xiǎn)評(píng)估依賴數(shù)據(jù)所涉及的各應(yīng)用場(chǎng)景，認(rèn)為針對(duì)已識(shí)別的待評(píng)估數(shù)據(jù)資產(chǎn)，需要對(duì)數(shù)據(jù)應(yīng)用場(chǎng)景中的業(yè)務(wù)流程或使用流程、數(shù)據(jù)活動(dòng)、參與主體進(jìn)行識(shí)別，進(jìn)?細(xì)化了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程說(shuō)明：將風(fēng)險(xiǎn)評(píng)估實(shí)施作為一個(gè)單獨(dú)階段，與風(fēng)險(xiǎn)處置、殘余風(fēng)險(xiǎn)評(píng)估共同構(gòu)成整個(gè)實(shí)施流程三個(gè)階段，在評(píng)估實(shí)施階段明確了評(píng)估準(zhǔn)備、數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)應(yīng)用場(chǎng)景識(shí)別、數(shù)據(jù)威脅識(shí)別、脆弱性識(shí)別、已有安全措施識(shí)別、風(fēng)險(xiǎn)分析與評(píng)價(jià)等多個(gè)環(huán)節(jié)的工作內(nèi)容，制定了電信網(wǎng)和互 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE08《政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》?明確了政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施要點(diǎn)說(shuō)明：基于《信息安全風(fēng)險(xiǎn)評(píng)估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》，參考GB/T37973-2019數(shù)據(jù)分級(jí)要求，分析政務(wù)數(shù)據(jù)在全生命周期內(nèi)面臨的安全威脅、安全脆弱性、安全措施等要素識(shí)別內(nèi)容、風(fēng)險(xiǎn)要素?提出了政務(wù)系統(tǒng)資產(chǎn)的識(shí)別要求說(shuō)明：基于《信息安全風(fēng)險(xiǎn)評(píng)估方法》的風(fēng)險(xiǎn)要素與評(píng)估實(shí)施流程，提出了在評(píng)估實(shí)施階段根據(jù)政務(wù)數(shù)據(jù)安全管理的目標(biāo)與原則，進(jìn)行政務(wù)數(shù)據(jù)分類與分級(jí)，并將系統(tǒng)資產(chǎn)價(jià)值與安全威脅、安全脆弱性等其他風(fēng)險(xiǎn)要素一并進(jìn)行識(shí)?細(xì)化了政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程說(shuō)明：基于評(píng)估準(zhǔn)備、評(píng)估實(shí)施、風(fēng)險(xiǎn)分析與評(píng)價(jià)、編制報(bào)告四個(gè)階段，分別明確了評(píng)估準(zhǔn)備、數(shù)據(jù)資產(chǎn)識(shí)別、數(shù)據(jù)應(yīng)用場(chǎng)景識(shí)別、數(shù)據(jù)威脅識(shí)別、脆弱性識(shí)別、已有安全措施識(shí)別、風(fēng)險(xiǎn)分析與評(píng)價(jià)等多個(gè)環(huán)節(jié)的工作內(nèi)容，制定準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)?擴(kuò)展了風(fēng)險(xiǎn)評(píng)估的目標(biāo)說(shuō)明：結(jié)合當(dāng)前國(guó)家法律法規(guī)的最新要求，在《信息安全風(fēng)險(xiǎn)評(píng)估方法》對(duì)組織的業(yè)務(wù)以及系統(tǒng)、平臺(tái)等資產(chǎn)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估、分析這一目標(biāo)的基礎(chǔ)上，提出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)還包括落實(shí)法律法規(guī)義務(wù)，保護(hù)關(guān)鍵信息?提供了更加清晰的檢查項(xiàng)作為風(fēng)險(xiǎn)評(píng)估實(shí)施要點(diǎn)說(shuō)明：提供了數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)相關(guān)的檢查項(xiàng)，與《信息安全風(fēng)險(xiǎn)評(píng)估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》以及GB/T39335-2020《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》等側(cè)重于方法論構(gòu)建的評(píng)估標(biāo)準(zhǔn)文件形成互補(bǔ)、?提供了自評(píng)估與檢查評(píng)估兩套實(shí)施流程說(shuō)明：明確了在自評(píng)估與檢查評(píng)估兩種情況下的評(píng)估目標(biāo)確立、評(píng)估方案策劃、風(fēng)險(xiǎn)分析評(píng)價(jià)等具體環(huán)節(jié)的實(shí)施差 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE09《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》.進(jìn)一步擴(kuò)展了風(fēng)險(xiǎn)要素的范圍：結(jié)合數(shù)據(jù)以及數(shù)據(jù)處理活動(dòng)的特點(diǎn)，提出了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估涉及的風(fēng)險(xiǎn)要素包括數(shù)據(jù)處理者、業(yè)務(wù)、信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動(dòng)、全風(fēng)險(xiǎn)。此外，結(jié)合《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》既包括安全威脅利用脆弱性可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險(xiǎn)隱患，也包括數(shù)據(jù)處理活動(dòng)不合理操作可能造成違法違規(guī).突出了信息調(diào)研的重要性：與《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》保持了一致，將信息調(diào)研作為一個(gè)單獨(dú)的階段，旨在全面識(shí)別風(fēng)險(xiǎn)要素，為后續(xù)風(fēng)險(xiǎn)源識(shí)別、風(fēng)險(xiǎn)問(wèn)業(yè)內(nèi)相繼發(fā)布了多項(xiàng)信息安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)的評(píng)估標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)相互補(bǔ)充、持續(xù)完善，已成為廣大數(shù)據(jù)處理者開(kāi)展風(fēng)險(xiǎn)評(píng)估的重要參考資料。評(píng)估思路方面，各標(biāo)準(zhǔn)均強(qiáng)調(diào)了全面識(shí)別風(fēng)險(xiǎn)基本要素的重要性。大量的數(shù)據(jù)流轉(zhuǎn)使數(shù)據(jù)與其訪問(wèn)主體、傳輸鏈路、承載環(huán)境、安全策略等因素共同構(gòu)成了“牽一發(fā)而動(dòng)全身”的數(shù)據(jù)安全風(fēng)險(xiǎn)。這一點(diǎn)在國(guó)際、國(guó)內(nèi)的多項(xiàng)標(biāo)準(zhǔn)中均有體現(xiàn)：美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）《隱私工程和風(fēng)險(xiǎn)管理》（NIST8062）曾提出“問(wèn)題操作”這一概念，并指出被識(shí)別的問(wèn)題操作可用于評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)產(chǎn)生的影響。國(guó)內(nèi)的《信息安全風(fēng)險(xiǎn)評(píng)估方法》則提出信息安全風(fēng)險(xiǎn)評(píng)估需要識(shí)別包括資產(chǎn)、威脅、脆弱性、安全措施在內(nèi)的“基本要素”，通過(guò)建立、分析基本要素之間的關(guān)系（即：資產(chǎn)存在脆弱性，威脅通過(guò)利用脆弱性導(dǎo)致風(fēng)險(xiǎn)，而安全措施的實(shí)施是通過(guò)降低脆弱性被利用難易程度，以防范威脅、保護(hù)資產(chǎn)）進(jìn)行風(fēng)險(xiǎn)分析。2020年的《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)以及數(shù)據(jù)處理活動(dòng)的特征，進(jìn)一步提出了該行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估需要識(shí)別包括數(shù)據(jù)資產(chǎn)、應(yīng)用場(chǎng)景、數(shù)據(jù)威脅、數(shù)據(jù)脆弱性、安全措施在內(nèi)的基本要素及其屬性，同樣通過(guò)建立基本要素之間的關(guān)系，分析各應(yīng)用場(chǎng)景下的數(shù)據(jù)安全事件發(fā)生的可能性與影響，最終得出數(shù)據(jù)資產(chǎn)在多個(gè)應(yīng)用場(chǎng)景下面臨的總體風(fēng)險(xiǎn)值。相較于《信息安全風(fēng)險(xiǎn)評(píng)估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》，2023年《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》和《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》則基于前述的基本要素，提出了數(shù)據(jù)安全風(fēng)險(xiǎn)的“風(fēng)險(xiǎn)源”這一概念（即：風(fēng)險(xiǎn)源是可能導(dǎo) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE致危害數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性等事件的威脅、脆弱性、問(wèn)題、隱患等，也稱“風(fēng)險(xiǎn)隱患”），并同樣指出了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估需要通過(guò)信息調(diào)研，識(shí)別數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動(dòng)、安全措施等相關(guān)基本要素，從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面識(shí)別風(fēng)險(xiǎn)隱患，最終形成風(fēng)險(xiǎn)源清單，分析、評(píng)價(jià)數(shù)據(jù)安全風(fēng)險(xiǎn)并給出整改建議。評(píng)估對(duì)象風(fēng)險(xiǎn)要素要素關(guān)系風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)要素要素關(guān)系風(fēng)險(xiǎn)信息系統(tǒng)支撐包含依賴數(shù)據(jù)處理者信息系統(tǒng)支撐包含依賴數(shù)據(jù)處理者運(yùn)營(yíng)業(yè)務(wù)業(yè)務(wù)承載承載保護(hù)數(shù)據(jù)處理活動(dòng)處理數(shù)據(jù)保護(hù)存在潛在影響安全措施風(fēng)險(xiǎn)源導(dǎo)致風(fēng)險(xiǎn)安全措施降低來(lái)源：國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)評(píng)估流程方面，“準(zhǔn)備-實(shí)施-總結(jié)”已成為共識(shí)。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作主要圍繞數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)，對(duì)可能影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性的安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)價(jià)。通過(guò)對(duì)比、總結(jié)國(guó)內(nèi)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法》等風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，可以發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)估工作目前已形成一套覆蓋“準(zhǔn)備-實(shí)施-總結(jié)”三大階段的流程，具體分為評(píng)估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識(shí)別、綜合分析、評(píng)估總結(jié)五個(gè)環(huán)節(jié)。各環(huán)節(jié)的工作任務(wù)以及產(chǎn)出物也基本明確，具體流程與產(chǎn)出物見(jiàn)表2。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE11?確定評(píng)估目標(biāo)?確定評(píng)估范圍?組建評(píng)估團(tuán)隊(duì)?制定工作計(jì)劃?確定評(píng)估依據(jù)與內(nèi)容?制定評(píng)估方案?評(píng)估調(diào)研表?評(píng)估方案?數(shù)據(jù)處理者基本情況?業(yè)務(wù)清單?信息系統(tǒng)清單?數(shù)據(jù)資產(chǎn)清單?數(shù)據(jù)處理活動(dòng)清單?數(shù)據(jù)處理者調(diào)研?業(yè)務(wù)和信息系統(tǒng)調(diào)研?數(shù)據(jù)資產(chǎn)調(diào)研?數(shù)據(jù)處理活動(dòng)調(diào)研?安全措施調(diào)研?數(shù)據(jù)流圖?安全措施情況?數(shù)據(jù)安全管理風(fēng)險(xiǎn)識(shí)別?數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)識(shí)別?數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)識(shí)別?個(gè)人信息處理風(fēng)險(xiǎn)識(shí)別?人員訪談?dòng)涗浳臋n?文檔查驗(yàn)記錄文檔?安全核查記錄文檔?技術(shù)測(cè)試報(bào)告?梳理問(wèn)題清單?風(fēng)險(xiǎn)分析與評(píng)價(jià)?提出整改建議?數(shù)據(jù)安全風(fēng)險(xiǎn)源清單?數(shù)據(jù)安全風(fēng)險(xiǎn)清單?數(shù)據(jù)安全風(fēng)險(xiǎn)整改建議?報(bào)告風(fēng)險(xiǎn)評(píng)估結(jié)果?處置數(shù)據(jù)安全風(fēng)險(xiǎn)?數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告來(lái)源：國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE三.實(shí)務(wù)問(wèn)題剖析與解決思路盡管大量法律法規(guī)、部門規(guī)章以及標(biāo)準(zhǔn)提供了豐富的理論指引，組織在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作實(shí)務(wù)中仍然面臨重重阻礙。這些阻礙分布在整個(gè)評(píng)估過(guò)程的各個(gè)階段，成因錯(cuò)綜復(fù)雜。因此，本章節(jié)將通過(guò)系統(tǒng)梳理數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的各階段面臨的典型問(wèn)題，深入分析問(wèn)題成因，充分參考業(yè)內(nèi)優(yōu)質(zhì)經(jīng)驗(yàn)，形成問(wèn)題解決思路，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)紓難解惑?！毒W(wǎng)絡(luò)安全法》提出網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，并通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估等一系列標(biāo)準(zhǔn)對(duì)組織的網(wǎng)絡(luò)、信息安全風(fēng)險(xiǎn)評(píng)估工作進(jìn)行落地指導(dǎo)。相較于網(wǎng)絡(luò)、信息安全風(fēng)險(xiǎn)評(píng)估，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的工作要求、標(biāo)準(zhǔn)依據(jù)或正在征求意見(jiàn)，或尚未正式發(fā)布——這導(dǎo)致許多數(shù)據(jù)處理者的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作仍處于起步階段，面臨著評(píng)估觸發(fā)條件不明確的“0號(hào)困境”。部分組織將同地區(qū)、同行業(yè)的組織遭遇數(shù)據(jù)安全事件或受到監(jiān)管部門處罰作為自身開(kāi)展風(fēng)險(xiǎn)評(píng)估的觸發(fā)條件：通過(guò)將這些公開(kāi)的事件或處罰信息內(nèi)化形成風(fēng)險(xiǎn)信息檢查表單，對(duì)業(yè)務(wù)部門逐個(gè)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)排查專項(xiàng)工作。然而，此類專項(xiàng)排查工作投入高、收效低：不同的組織對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的承受能力與管理需求存在較大的差異，公開(kāi)的信息披露有限且存在一定的滯后性，導(dǎo)致組織難以有規(guī)劃地開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，評(píng)估內(nèi)容參考性較低，對(duì)組織的風(fēng)險(xiǎn)啟示性不足。解決思路：梳理適用情形針對(duì)這一問(wèn)題，組織或評(píng)估機(jī)構(gòu)可以參考國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》的“5.4評(píng)估適用情形”。評(píng)估適用情形列出了數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的一些具體適用情形，具體見(jiàn)表3。的個(gè)人信息處理者、大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者、赴境外上市的數(shù)據(jù)處理者、黨政機(jī)關(guān)、網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上運(yùn)營(yíng)者，應(yīng)每年開(kāi)展一次數(shù)據(jù)安全風(fēng) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVEb）數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理或向境外提供前，應(yīng)開(kāi)展c）數(shù)據(jù)處理者開(kāi)展高風(fēng)險(xiǎn)數(shù)據(jù)處理活動(dòng)前，宜開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，高f）當(dāng)被評(píng)估對(duì)象的政策環(huán)境、外部威脅環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)等發(fā)生來(lái)源：國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)這些情形一是引述了國(guó)家法律法規(guī)中有關(guān)開(kāi)展風(fēng)險(xiǎn)評(píng)估的要求與場(chǎng)景（例如：數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理之前），在明確數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估活動(dòng)開(kāi)展的必要性的同時(shí)，也提供了評(píng)估活動(dòng)開(kāi)展的法規(guī)依據(jù)；二是總結(jié)了組織常見(jiàn)的高風(fēng)險(xiǎn)數(shù)據(jù)處理活動(dòng)（例如：基于不同業(yè)務(wù)目的的數(shù)據(jù)匯聚融合），為組織或評(píng)估機(jī)構(gòu)提供了更為明確、直接的工作指引與建議；三是回應(yīng)了如何持續(xù)開(kāi)展評(píng)估的關(guān)切，已開(kāi)展過(guò)風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)一旦發(fā)生重大變更或變化，組織或評(píng)估機(jī)構(gòu)應(yīng)重新實(shí)施風(fēng)險(xiǎn)評(píng)估，將風(fēng)險(xiǎn)評(píng)估融入組織的數(shù)據(jù)安全運(yùn)營(yíng)機(jī)制。實(shí)務(wù)操作上，組織或評(píng)估機(jī)構(gòu)可通過(guò)持續(xù)梳理數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的適用情形，從評(píng)估要求的來(lái)源、內(nèi)容等角度入手，分析、判斷自身適宜開(kāi)展評(píng)估活動(dòng)的觸發(fā)條件、實(shí)施時(shí)機(jī)以及具體評(píng)估項(xiàng)的必要性，推動(dòng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的常態(tài)化開(kāi)展。示例見(jiàn)表4。規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征動(dòng)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并形成評(píng)估報(bào)告。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果有效期為一年，自評(píng)據(jù)動(dòng)前，宜開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，高重要數(shù)據(jù)和個(gè)人信息處理者合并、分立、解散、被宣告破產(chǎn)進(jìn)行數(shù)據(jù)動(dòng)e)對(duì)于已經(jīng)評(píng)估過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)圍、數(shù)據(jù)處理活動(dòng)、環(huán)境、相關(guān)方等發(fā)生重大變更時(shí)，需重新開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。/數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的主要目標(biāo)可以被分為三層：一是落實(shí)監(jiān)管要求，滿足國(guó)家法律法規(guī)關(guān)于開(kāi)展風(fēng)險(xiǎn)評(píng)估的要求；二是摸底數(shù)據(jù)現(xiàn)狀，摸清自身數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)基本情況；三是提升安全能力，檢查重要的數(shù)據(jù)處理活動(dòng)中是否存在管理、技術(shù)風(fēng)險(xiǎn)隱患，推動(dòng)完善數(shù)據(jù)安全保護(hù)措施。三層目標(biāo)共同促進(jìn)數(shù)據(jù)處理者履行法定義務(wù)、建立健全數(shù)據(jù)安全制度、排查解決漏洞隱患，使數(shù)據(jù)處于有效保護(hù)和合法利用、持續(xù)安全的狀態(tài)。然而，大量組織未能正確、全面地認(rèn)識(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的價(jià)值與目標(biāo)：多數(shù)組織將第一層目標(biāo)作為開(kāi)展風(fēng)險(xiǎn)評(píng)估或其他風(fēng)險(xiǎn)治理工作的唯一目標(biāo)——這導(dǎo)致一旦缺少了國(guó)家法規(guī)或監(jiān)管部門的強(qiáng)制性要求，這些組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的意愿與動(dòng)力也會(huì)隨之喪失。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE此外，由于大量組織前期未能全面掌握業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)的特點(diǎn)以及潛在的漏洞隱患，其制定的數(shù)據(jù)安全風(fēng)險(xiǎn)管理策略無(wú)法反映組織的風(fēng)險(xiǎn)管理需求與準(zhǔn)則，這也導(dǎo)致組織即使開(kāi)展了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，也無(wú)法基于評(píng)估結(jié)果準(zhǔn)確地衡量風(fēng)險(xiǎn)問(wèn)題整改措施的投入產(chǎn)出比、實(shí)施優(yōu)先級(jí)，甚至產(chǎn)生內(nèi)部多方對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果難以達(dá)成共識(shí)、風(fēng)險(xiǎn)問(wèn)題整改推進(jìn)困難等問(wèn)題，長(zhǎng)遠(yuǎn)來(lái)看，不利于組織數(shù)據(jù)安全風(fēng)險(xiǎn)的防范與治理。解決思路：建立風(fēng)險(xiǎn)準(zhǔn)則針對(duì)這一問(wèn)題，組織可以參考數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《數(shù)據(jù)安全治理實(shí)踐指南3.0》（以下簡(jiǎn)稱《實(shí)踐指南3.0》），開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及治理專項(xiàng)，通過(guò)系統(tǒng)化的數(shù)據(jù)安全風(fēng)險(xiǎn)治理，建立組織的數(shù)據(jù)安全風(fēng)險(xiǎn)準(zhǔn)則。數(shù)據(jù)安全風(fēng)險(xiǎn)治理是以風(fēng)險(xiǎn)為中心的方法論，提煉了組織管理數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)需要重點(diǎn)關(guān)注的五大環(huán)節(jié)，即：風(fēng)險(xiǎn)準(zhǔn)則建立、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)評(píng)估分析、風(fēng)險(xiǎn)處置解決、風(fēng)險(xiǎn)治理改進(jìn)。其中，風(fēng)險(xiǎn)準(zhǔn)則建立是指通過(guò)分析組織數(shù)據(jù)安全風(fēng)險(xiǎn)需求，識(shí)別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)，形成風(fēng)險(xiǎn)治理準(zhǔn)則，幫助組織將注意力與資源集中在那些超出自身承受能力的數(shù)據(jù)安全風(fēng)險(xiǎn)，在明確了風(fēng)險(xiǎn)治理重點(diǎn)對(duì)象的同時(shí)，也為風(fēng)險(xiǎn)評(píng)估、整改等具體活動(dòng)提供了判斷與執(zhí)行標(biāo)準(zhǔn)。實(shí)務(wù)操作上，組織一是通過(guò)分析風(fēng)險(xiǎn)需求，具體任務(wù)包括收集、整理自身適用的數(shù)據(jù)安全、隱私保護(hù)法律法規(guī)，識(shí)別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)，明確數(shù)據(jù)安全風(fēng)險(xiǎn)治理的范圍與重點(diǎn)對(duì)象；二是創(chuàng)建數(shù)據(jù)安全風(fēng)險(xiǎn)治理愿景、使命，這一步需要與組織高層人員進(jìn)行溝通、協(xié)商，在獲得其批準(zhǔn)與支持之后，形成基本的風(fēng)險(xiǎn)準(zhǔn)則，明確組織的風(fēng)險(xiǎn)管理偏好；三是制定數(shù)據(jù)安全風(fēng)險(xiǎn)治理政策，這一步需要與內(nèi)部相關(guān)方（例如：人力資源、法務(wù)、安全、營(yíng)銷、IT團(tuán)隊(duì)）進(jìn)行商議，在充分了解相關(guān)方的業(yè)務(wù)與合規(guī)需求之后，制定風(fēng)險(xiǎn)管理政策，為后續(xù)風(fēng)險(xiǎn)評(píng)估以及其他風(fēng)險(xiǎn)治理相關(guān)的工作提供實(shí)施方針、標(biāo)準(zhǔn)。此外，針對(duì)組織或內(nèi)部相關(guān)方無(wú)法正確理解風(fēng)險(xiǎn)評(píng)估的價(jià)值與目標(biāo)這一問(wèn)題，組織還可以通過(guò)工作動(dòng)員會(huì)、研討會(huì)、培訓(xùn)講座等方式，宣貫組織的風(fēng)險(xiǎn)治理政策，解讀評(píng)估標(biāo)準(zhǔn)，討論評(píng)估方案，加強(qiáng)業(yè)務(wù)部門對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及其目標(biāo)、價(jià)值的認(rèn)知與理解，提升內(nèi)部相關(guān)方對(duì)風(fēng)險(xiǎn)評(píng)估工作的參與程度，持續(xù)強(qiáng)化各方在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估以及治理工作的協(xié)同能力。組織數(shù)據(jù)安全風(fēng)險(xiǎn)的邊界持續(xù)擴(kuò)展：傳統(tǒng)的安全防護(hù)通常采用邊界防護(hù)策略保障靜態(tài)數(shù)據(jù)的安全。然而，一方面，組織的業(yè)務(wù)活動(dòng)必然伴隨著數(shù)據(jù)的流動(dòng)，而數(shù)據(jù)廣泛存在于數(shù)據(jù)中心、云端、終端等位置，數(shù)據(jù)資源暴露面的擴(kuò)大意味著其面臨的威脅也成倍增加；另一方面，組織數(shù)據(jù)在多個(gè)業(yè)務(wù)、數(shù)據(jù)處理活動(dòng)中與大量設(shè)備、人員產(chǎn)生交互，異 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE常的行為隱匿于海量的數(shù)據(jù)訪問(wèn)行為中，不僅變得更加隱蔽、難以識(shí)別，也無(wú)形中擴(kuò)大了數(shù)據(jù)安全風(fēng)險(xiǎn)可波及的范圍。因此，組織如何在日益復(fù)雜的業(yè)務(wù)及數(shù)據(jù)處理活動(dòng)中，規(guī)劃數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的范圍，在既定的評(píng)估時(shí)間、范圍內(nèi)識(shí)別出組織最為關(guān)注的數(shù)據(jù)安全風(fēng)險(xiǎn)，是廣大數(shù)據(jù)處理者、評(píng)估機(jī)構(gòu)在籌備評(píng)估工作過(guò)程中需要重點(diǎn)思考的問(wèn)題。解決思路：識(shí)別重點(diǎn)對(duì)象為了避免風(fēng)險(xiǎn)邊界過(guò)大導(dǎo)致的評(píng)估“失焦”問(wèn)題，提高數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的投入產(chǎn)出比，組織可以參考《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》，在規(guī)劃評(píng)估范圍時(shí)，首先明確評(píng)估工作中的重點(diǎn)評(píng)估對(duì)象。實(shí)務(wù)操作上，組織可以參考數(shù)據(jù)分類分級(jí)的成果，將個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)以及這些數(shù)據(jù)的處理活動(dòng)作為重點(diǎn)評(píng)估對(duì)象，并抽樣選取一般數(shù)據(jù)及其數(shù)據(jù)處理活動(dòng)，一并納入本次風(fēng)險(xiǎn)評(píng)估的范圍，在確保識(shí)別出重點(diǎn)評(píng)估對(duì)象面臨的風(fēng)險(xiǎn)的同時(shí)，也保障了評(píng)估的全面性，具體示例見(jiàn)表5。由于一般數(shù)據(jù)涵蓋范圍較廣，數(shù)據(jù)處理者可結(jié)合組織自身安全需求，對(duì)一般數(shù)據(jù)進(jìn)行細(xì)化分級(jí)，本報(bào)告將一般數(shù)據(jù)從低到高分為1級(jí)、2級(jí)、3級(jí)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益是一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可是-般數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對(duì)個(gè)人、組織合法權(quán)益造成危害，但不會(huì)危害國(guó)家安全、公共利益如：財(cái)務(wù)信息等內(nèi)部機(jī)密否如果組織尚未開(kāi)展數(shù)據(jù)分類分級(jí)工作，則可以參考信息系統(tǒng)等級(jí)保護(hù)的相關(guān)要求，根據(jù)業(yè)務(wù)、信息系統(tǒng)的重要程度，選取核心業(yè)務(wù)系統(tǒng)或內(nèi)部的重要信息系統(tǒng)（例如：大數(shù)據(jù)平臺(tái)、人力資源系統(tǒng)、供應(yīng)鏈系統(tǒng)）的數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)作為重點(diǎn)評(píng)估對(duì)象，重點(diǎn)評(píng)估其承載的數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)面臨的風(fēng)險(xiǎn)。這一解決思路目前已應(yīng)用于許多組織的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE評(píng)估的范圍邊界，梳理該系統(tǒng)涉及的數(shù)據(jù)、數(shù)據(jù)處理活動(dòng)并繪制數(shù)據(jù)流向圖，識(shí)別數(shù)據(jù)流轉(zhuǎn)過(guò)程中的操作人員、操作行為以及操作結(jié)果等信息，從而分析潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題。信息調(diào)研是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作中最為重要的環(huán)節(jié)，組織的評(píng)估執(zhí)行人員通過(guò)文檔審閱、配置核查、人員訪談等不同的方式，收集組織的數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、技術(shù)等方面的信息。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估涉及到組織的業(yè)務(wù)及其數(shù)據(jù)應(yīng)用場(chǎng)景，需要評(píng)估執(zhí)行人員實(shí)地調(diào)研業(yè)務(wù)和數(shù)據(jù)情況，多輪訪談組織業(yè)務(wù)人員，掌握數(shù)據(jù)處理活動(dòng)的背景——這意味著評(píng)估執(zhí)行人員不僅需要熟練掌握數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估要點(diǎn)，還要通過(guò)專業(yè)的協(xié)作迅速了解組織的業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)的關(guān)鍵信息，從而更好地識(shí)別出潛在的威脅、脆弱性以及已有安全措施的不完善之處。然而，許多組織在開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中發(fā)現(xiàn)，由于組織前期開(kāi)展的網(wǎng)絡(luò)、信息安全評(píng)估通常由安全部門發(fā)起、主導(dǎo)，執(zhí)行人員同樣來(lái)自安全部門，主要負(fù)責(zé)網(wǎng)絡(luò)結(jié)構(gòu)、信息資產(chǎn)、威脅檢測(cè)工具安全情況的調(diào)研、核查，對(duì)業(yè)務(wù)、數(shù)據(jù)處理活動(dòng)的了解不夠深入。因此，人員執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的信息調(diào)研時(shí)，產(chǎn)生了新的問(wèn)題：一方面，評(píng)估執(zhí)行人員對(duì)業(yè)務(wù)、數(shù)據(jù)情況理解欠佳，對(duì)于業(yè)務(wù)、數(shù)據(jù)及其處理活動(dòng)的風(fēng)險(xiǎn)識(shí)別不全面，且不同人員可能對(duì)于同一風(fēng)險(xiǎn)問(wèn)題的判斷存在較大的差異；另一方面，受訪人員未能充分理解風(fēng)險(xiǎn)評(píng)估的依據(jù)與要點(diǎn)，在訪談或調(diào)研過(guò)程中反饋大量的無(wú)關(guān)信息，直接導(dǎo)致了返工或者評(píng)估進(jìn)度延期等解決思路：完善協(xié)作機(jī)制針對(duì)這一問(wèn)題，組織可以通過(guò)完善組織協(xié)作機(jī)制，從團(tuán)隊(duì)、工具、協(xié)商三方面入手，規(guī)避上述在信息調(diào)研過(guò)程中的問(wèn)題。實(shí)務(wù)操作上，針對(duì)評(píng)估執(zhí)行人員可能存在的業(yè)務(wù)掌握度低、自由裁量等問(wèn)題，一方面，組織可以在組建評(píng)估團(tuán)隊(duì)時(shí)，選取業(yè)務(wù)人員加入評(píng)估執(zhí)行團(tuán)隊(duì)，由業(yè)務(wù)人員負(fù)責(zé)整理本次風(fēng)險(xiǎn)評(píng)估涉及的業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)信息，并適時(shí)向團(tuán)隊(duì)其他成員介紹這一部分信息，在執(zhí)行團(tuán)隊(duì)內(nèi)部實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)；另一方面，完善評(píng)估信息調(diào)研表等工具，在逐步固化、標(biāo)準(zhǔn)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估依據(jù)中的評(píng)估項(xiàng)、查驗(yàn)方式以及訪談問(wèn)題等內(nèi)容的同時(shí)，完善對(duì)于不同角色的受訪人員或者證明材料的信息判斷標(biāo)準(zhǔn)，確保評(píng)估執(zhí)行人員之間具備相對(duì)統(tǒng)一的評(píng)估尺度。同時(shí)，針對(duì)受訪人員可能無(wú)效響應(yīng)的問(wèn)題，組織可以在實(shí)施訪談工作前，邀請(qǐng)計(jì)劃受訪的人員參與本次風(fēng)險(xiǎn)評(píng)估的研討會(huì)，由評(píng)估執(zhí)行人員對(duì)風(fēng)險(xiǎn)評(píng)估方案、依據(jù)以及要點(diǎn)進(jìn)行解讀，雙方對(duì)評(píng)估內(nèi)容進(jìn)行充分協(xié)商，輸出、分發(fā)評(píng)估研討會(huì)問(wèn)答合集，以免在風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程中出現(xiàn)人員理解 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE組織調(diào)研當(dāng)前的數(shù)據(jù)資產(chǎn)情況、發(fā)現(xiàn)潛在威脅與脆弱性、檢查安全防護(hù)措施狀態(tài)都離不開(kāi)評(píng)估工具。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估中，評(píng)估工具能夠提供更為客觀的信息，在降低人力成本的同時(shí)，也極大地提高了評(píng)估結(jié)果的可信度。整個(gè)評(píng)估實(shí)施的過(guò)程中，評(píng)估執(zhí)行人員需要調(diào)研覆蓋組織數(shù)據(jù)安全管理、技術(shù)以及大量數(shù)據(jù)處理活動(dòng)的各類信息，故需要通過(guò)應(yīng)用組織內(nèi)部已部署的安全產(chǎn)品或者使用其他技術(shù)檢測(cè)工具，收集、整合以上多方甚至多維度的信息，從而回答風(fēng)險(xiǎn)評(píng)估工作的核心問(wèn)題，即：組織的何種數(shù)據(jù)、分布何處、如何流轉(zhuǎn)、誰(shuí)在使用、如何防護(hù)。然而，大量組織反饋，當(dāng)前數(shù)據(jù)安全產(chǎn)品種類多且功能各異，在缺乏工具應(yīng)用指導(dǎo)的背景下，組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估時(shí)傾向于沿用傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工具，因此僅能識(shí)別網(wǎng)絡(luò)、信息安全方面的風(fēng)險(xiǎn)問(wèn)題，很難識(shí)別出隱藏在具體業(yè)務(wù)場(chǎng)景和數(shù)據(jù)處理活動(dòng)中的安全風(fēng)險(xiǎn)問(wèn)題，嚴(yán)重影響了數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題檢出的全面性。因此，在當(dāng)前數(shù)據(jù)安全產(chǎn)品工具發(fā)展迅速、種類多樣，而風(fēng)險(xiǎn)評(píng)估實(shí)施的必備工具尚未明確的背景下，如何選取合適的評(píng)估檢測(cè)工具同樣是組織實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估面臨的重要問(wèn)題。解決思路：認(rèn)識(shí)工具功能針對(duì)這一問(wèn)題，組織可以結(jié)合前期規(guī)劃的評(píng)估范圍、重點(diǎn)評(píng)估對(duì)象等信息和風(fēng)險(xiǎn)評(píng)估實(shí)施各個(gè)環(huán)節(jié)的目標(biāo)，明確工具在各個(gè)階段內(nèi)應(yīng)發(fā)揮的功能，從而選取適宜的數(shù)據(jù)安全產(chǎn)品工具。實(shí)務(wù)操作上，組織首先可以參考數(shù)據(jù)安全推進(jìn)計(jì)劃2023年發(fā)布的《數(shù)據(jù)安全產(chǎn)品與服務(wù)觀察報(bào)告》以及其他業(yè)內(nèi)研究報(bào)告，初步掌握主流的數(shù)據(jù)安全產(chǎn)品工具及其功能。在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的實(shí)踐中，可應(yīng)用的評(píng)估工具主要分為三類：一是掃描類工具，主要負(fù)責(zé)提供針對(duì)數(shù)據(jù)、風(fēng)險(xiǎn)源（例如：脆弱性）等風(fēng)險(xiǎn)要素的掃描服務(wù)，為數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估提供要素識(shí)別的功能，具體包括資產(chǎn)掃描類、數(shù)據(jù)識(shí)別類、漏洞檢測(cè)類工具等。目前市面上許多數(shù)據(jù)分類分級(jí)、數(shù)據(jù)資產(chǎn)管理以及部分?jǐn)?shù)據(jù)安全防護(hù)類工具（例如：API數(shù)據(jù)防泄露）都具備這一部分的功能；二是流量分析類工具，主要負(fù)責(zé)提供對(duì)數(shù)據(jù)處理活動(dòng)的識(shí)別與監(jiān)測(cè)能力，用于關(guān)聯(lián)應(yīng)用、數(shù)據(jù)庫(kù)、人員的敏感數(shù)據(jù)操作，分析潛在的風(fēng)險(xiǎn)行為，具體包括應(yīng)用層流量分析、全流量分析等數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)類工具；三是自動(dòng)化評(píng)估類工具，主要負(fù)責(zé)自動(dòng)化評(píng)估流程管理、評(píng)估對(duì)象的信息填報(bào)、證明文件的上傳和查閱、評(píng)估結(jié)果的生成及報(bào)告的輸出等，具體包括合規(guī)檢測(cè)工具、在線評(píng)估系統(tǒng)等。隨著產(chǎn)品工具的平臺(tái)化、一體化趨勢(shì)日益明顯，上述的三類工具在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估中提供的能力也已在一些平臺(tái)型產(chǎn)品中得以集合。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE風(fēng)險(xiǎn)分析是組織基于前期的信息調(diào)研、風(fēng)險(xiǎn)識(shí)別的情況，對(duì)風(fēng)險(xiǎn)的影響程度、發(fā)生的可能性進(jìn)行賦值、分析，最終通過(guò)風(fēng)險(xiǎn)矩陣輸出風(fēng)險(xiǎn)值的過(guò)程。風(fēng)險(xiǎn)矩陣如圖2所示。13451345123234度5風(fēng)險(xiǎn)分析的方法主要為定性分析、定量分析、綜合分析（定性與定量相結(jié)合）。定性分析不要求各個(gè)風(fēng)險(xiǎn)要素被嚴(yán)格地量化，在風(fēng)險(xiǎn)要素的評(píng)價(jià)上主要依靠評(píng)估執(zhí)行人員的個(gè)人經(jīng)驗(yàn)、專業(yè)知識(shí)等，因此對(duì)于評(píng)估執(zhí)行人員的專業(yè)能力要求較高。定量分析（包括半定量分析）則是對(duì)風(fēng)險(xiǎn)要素進(jìn)行賦值，依據(jù)數(shù)值建立數(shù)學(xué)模型，量化風(fēng)險(xiǎn)分析的過(guò)程與結(jié)果，確保輸出清晰的風(fēng)險(xiǎn)分析結(jié)論，但其存在將復(fù)雜問(wèn)題過(guò)度簡(jiǎn)化或模糊化的缺陷，同樣易造成風(fēng)險(xiǎn)分析結(jié)論的偏差。目前業(yè)內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)分析方法以定性分析為主，例如《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》和《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)稿）》提出，針對(duì)風(fēng)險(xiǎn)發(fā)生的影響程度可以結(jié)合數(shù)據(jù)價(jià)值、安全問(wèn)題嚴(yán)重程度等因素進(jìn)行分析，從不同的影響對(duì)象、危害程度高低分別提供了定性的描述，以便評(píng)估執(zhí)行人員參考、對(duì)照分析，具體見(jiàn)表6。然而，在實(shí)務(wù)操作上依然存在分析過(guò)程嚴(yán)重依賴執(zhí)行人員經(jīng)驗(yàn)、分析結(jié)論主觀性過(guò)高等問(wèn)題。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE影響對(duì)象危害程度參考說(shuō)明經(jīng)濟(jì)運(yùn)行高1.直接影響宏觀經(jīng)濟(jì)運(yùn)行狀況和發(fā)展趨勢(shì)，如社會(huì)總供給和總需求、國(guó)民經(jīng)濟(jì)總值和增長(zhǎng)速度、國(guó)民經(jīng)濟(jì)主要比例關(guān)系、物價(jià)總水平、勞動(dòng)就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長(zhǎng)速度、進(jìn)出口貿(mào)易總規(guī)2.直接影響一個(gè)或多個(gè)地級(jí)市、行業(yè)內(nèi)多個(gè)企業(yè)或大規(guī)模用戶，對(duì)行業(yè)發(fā)展態(tài)勢(shì)、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響，或者直接影響行業(yè)公共利益高1.直接危害公共健康和安全，如嚴(yán)重影響疫情防控、傳染病的預(yù)防監(jiān)控2.可能導(dǎo)致重大突發(fā)公共衛(wèi)生事件(Ⅱ級(jí)），造成社會(huì)公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等3.導(dǎo)致一個(gè)或多個(gè)地市大部分地區(qū)的社會(huì)公共資源供應(yīng)較長(zhǎng)期中斷，較大范圍社會(huì)成員（如100萬(wàn)人以上）無(wú)法使用公共設(shè)施、獲取公開(kāi)數(shù)據(jù)組織權(quán)益中可能導(dǎo)致組織遭到監(jiān)管部門嚴(yán)重處罰（包括取消經(jīng)營(yíng)資格、長(zhǎng)期暫停相關(guān)業(yè)務(wù)等），或者影響重要/關(guān)鍵業(yè)務(wù)無(wú)法正常開(kāi)展的情況，造成重個(gè)人權(quán)益中個(gè)人信息主體可能會(huì)遭受重大的、不可消除的、可能無(wú)法克服的影響，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。如遭受無(wú)法承擔(dān)的債務(wù)、失去工作能力、導(dǎo)致長(zhǎng)期的心理或生理來(lái)源：國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)解決思路：建立分析模型針對(duì)這一問(wèn)題，組織可以建立數(shù)據(jù)安全風(fēng)險(xiǎn)分析模型，通過(guò)明確判斷尺度、豐富評(píng)價(jià)維度、提升賦值精度三方面的措施，提高分析過(guò)程和結(jié)果的客觀性。一是制定風(fēng)險(xiǎn)分析過(guò)程的判斷尺度。組織采用定性分析方法進(jìn)行風(fēng)險(xiǎn)分析時(shí)，人員的主觀判斷將直接影響風(fēng)險(xiǎn)分析的結(jié)論。因此，明確評(píng)估執(zhí)行人員的判斷尺度，提供判斷某項(xiàng)風(fēng)險(xiǎn)是否屬于重大風(fēng)險(xiǎn)的“紅線”、“基線”——這在一定程度上能夠防止風(fēng)險(xiǎn)分析結(jié)論與實(shí)際情況偏差過(guò)大。以汽車行業(yè)的實(shí)踐為例，汽車自身及其業(yè)務(wù)屬性決定了其在風(fēng)險(xiǎn)分析的過(guò)程中聚焦可能直接影響行車安全、財(cái)產(chǎn)安全等方面的風(fēng)險(xiǎn)要素，因此在開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中，組織將“是否為極端威脅行車、財(cái)產(chǎn)安全等方面的風(fēng)險(xiǎn)”與“是否為大多數(shù)人群所適用的風(fēng)險(xiǎn)”作為人員分析風(fēng)險(xiǎn)時(shí)的重要尺度。二是完善風(fēng)險(xiǎn)分析過(guò)程的評(píng)價(jià)維度。組織開(kāi)展風(fēng)險(xiǎn)分析時(shí)，通常使用風(fēng)險(xiǎn)矩陣圖對(duì)風(fēng)險(xiǎn)發(fā)生的可能性和影響程度進(jìn)行評(píng)價(jià)。然而，風(fēng)險(xiǎn)本身具有不確定性，組織評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的可能性時(shí)缺乏成熟的參考依據(jù)，賦值易流于形式，對(duì)風(fēng)險(xiǎn)分析結(jié)論缺乏參考價(jià)值。因此，組織可以豐富風(fēng)險(xiǎn)評(píng)價(jià)的維度，提升風(fēng)險(xiǎn)分析結(jié)論的實(shí)用性。例如，目前組織面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)不僅包括了數(shù)據(jù)保密性、完整性、可用性遭到危害，還包括了數(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)務(wù):問(wèn)題剖析與解決思路DATASECURITYINITIATIVE據(jù)被違法、違規(guī)處理帶來(lái)的合規(guī)風(fēng)險(xiǎn)，基于這一問(wèn)題，組織可以在風(fēng)險(xiǎn)矩陣中補(bǔ)充“可罰性”這一維度，即：從組織的合規(guī)管理角度出發(fā)，評(píng)價(jià)組織數(shù)據(jù)一旦被泄露、破壞、濫用可能引發(fā)的監(jiān)管處罰、違約追責(zé)等問(wèn)題的嚴(yán)重程度。三是提升風(fēng)險(xiǎn)分析過(guò)程的賦值精度。組織采用定量分析方法開(kāi)展風(fēng)險(xiǎn)分析時(shí)，最大的難點(diǎn)問(wèn)題在于風(fēng)險(xiǎn)發(fā)生的可能性和危害程度的定級(jí)、賦值和計(jì)算。針對(duì)風(fēng)險(xiǎn)發(fā)生的危害程度，組織可以從數(shù)據(jù)的重要程度、數(shù)據(jù)資產(chǎn)價(jià)值、脆弱性嚴(yán)重程度等具體風(fēng)險(xiǎn)要素進(jìn)行相對(duì)精準(zhǔn)的賦值：《江蘇省數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》從數(shù)據(jù)遭到泄露或損害時(shí)，可能對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益、個(gè)人權(quán)益造成的影響程度入手，提出了組織可以參考的一般、重要與核心數(shù)據(jù)賦值。具體賦值方法如表7。未來(lái)，組織在風(fēng)險(xiǎn)分析的過(guò)程中，也可以參考數(shù)據(jù)的流通價(jià)值，進(jìn)一步提升數(shù)據(jù)這一風(fēng)險(xiǎn)要素的賦值精度。數(shù)據(jù)級(jí)別數(shù)據(jù)級(jí)別賦值數(shù)據(jù)重要程度定義核心數(shù)據(jù)5重要數(shù)據(jù)高4一般數(shù)據(jù)中3低2該級(jí)別數(shù)據(jù)的安全屬性被破壞后，會(huì)對(duì)組織權(quán)益?zhèn)€人權(quán)益造1該級(jí)別數(shù)據(jù)的安全屬性被破壞后，會(huì)對(duì)組織權(quán)益?zhèn)€人權(quán)益造來(lái)源：國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法（征求意見(jiàn)針對(duì)風(fēng)險(xiǎn)發(fā)生的可能性，實(shí)務(wù)操作上存在一定的困難：風(fēng)險(xiǎn)源（例如：威脅和脆弱性）的發(fā)生頻率、安全措施有效性和完備性等因素難以預(yù)測(cè)、量化。組織可以“以系統(tǒng)為單位”，默認(rèn)同一信息系統(tǒng)、數(shù)據(jù)庫(kù)中的威脅與脆弱性賦值保持一致，避免風(fēng)險(xiǎn)分析過(guò)程引入錯(cuò)誤的關(guān)聯(lián)關(guān)系，提升定量分析的可落地性、可操作性。如果組織在近期開(kāi)展過(guò)網(wǎng)絡(luò)安全等級(jí)