泰和泰研析丨《网络数据安全风险评估实施指引》刍议
目次
一、企业开展网络数据安全风险评估的意义二、《实施指引》确定的网络数据安全风险评估目标及范围三、作为适用对象的“网络数据”如何定义四、网络数据安全风险评估思路及评估流程五、我们对企业的建议· 结语自2020年,全国信息安全标准化技术委员会相继出台了多个网络安全标准实践指南,包括《移动互联网应用程序(App)个人信息保护常见问题及处置指南》(2020年9月),《网络数据分类分级指引》(2021年12月),《个人信息跨境处理活动认证技术规范V1.0》(2022年6月)及《个人信息跨境处理活动认证技术规范V2.0》(2022年12月),对个人信息数据、网络数据等敏感度较高、关注和影响度较广的信息形式提供技术类保护规范。
2023年4月14日,该技术委员会新发布《网络安全标准实践指南—网络数据安全风险评估实施指引(征求意见稿)》(以下简称“实施指引”),向数据处理者提供了网络数据安全风险评估的思路、方法以及开展网络数据安全风险评估的步骤指引和评估事项,适用于数据处理者自行开展安全评估,给予技术上的参考标准与实践指南。
开展数据安全风险评估对于企业数据管理、经营数据业务具有重要意义,随着国家对网络数据的监管力度日渐提升,企业有必要关注其在网络数据安全管理上的合规义务。全国信息安全标准化技术委员会出台的《实施指南》具体详尽,对企业开展风险评估提供了切实可行的指引,本文将介绍该新出台的《实施指南》所涉主要内容并向企业提供我们的建议。
一、企业开展网络数据安全风险评估的意义
数据安全风险评估能够帮助企业全面了解其数据资产分布,掌握数据安全防护现状,发现自身数据安全问题和短板,了解其数据安全保护需求,进而有的放矢地建立企业内部数据安全管理制度。网络数据由于其依托数字技术与网络平台而存在,相比传统数据为企业在数据管理上带来的挑战更高,企业既要防范外部威胁如恶意软件、远程访问、服务器和供应链破坏导致的数据泄露,也要防范内部人员技术操作不当导致的安全事故。企业对数字技术使用愈广泛,遭遇此类网络和技术风险愈高,因而对网络数据风险评估的需求也愈大。值得一提的是,网络数据安全风险评估对于存在数据跨境传输需求的企业具有更现实的意义。它促进企业及时梳理其掌握的数据资产,厘清数据分类分级情况,筛选出重要数据、核心数据、个人信息数据等法律法规中具有较强法律责任的数据类型,便于企业承担后续的数据合规义务,如依据《数据安全法》第三十条规定,“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。二、《实施指引》确定的网络数据安全风险评估目标及范围
《实施指引》为企业尤其互联网企业针对网络数据安全风险展开自评估的明确的技术指导文件。相关企业可依据该标准覆盖内容实际展开自评估,作为企业开展数据合规及数据管理的重要环节,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升企业数据安全管理防攻击、防破坏、防窃取、防泄露、防滥用能力。围绕网路数据安全风险评估,《实施指引》提供正文八节及两个附录,主要包括范围、术语定义、风险评估概述、评估准备、信息调研、风险评估、综合分析、评估总结等内容,附录则包括数据安全风险实力和评估报告模板作为参考。三、作为适用对象的“网络数据”如何定义
《实施指引》旨在适用的“网络数据”,是指通过网络收集、存储、传输、处理和产生的各种电子数据。这与《网络数据安全管理条例(征求意见稿)》第七十三条对“网络数据”的定义基本一致。四、网络数据安全风险评估思路及评估流程
《实施指引》为企业即数据处理者设置了可直接适用的全流程网络数据安全风险评估思路,覆盖从评估前准备、信息调研、风险评估、综合分析到评估总结等内容,并基于以上此路分别提供了工作要点、评估内容与形成文件,便于企业获得清晰的指引并可遵循指引直接操作。从内容上来说,企业数据安全风险评估主要针对以下类别进行评估和分析。1、评估前准备
评估前准备企业针对其收集、处理的网络数据开展安全风险评估的第一步,也是从整体上夯实基础的重要一步,因而在此阶段企业着重需要确定安全风险评估目标与评估范围,并针对目标组建评估团队,开展前期文书准备工作,例如撰写工作计划和拟评估内容、搜集评估法律依据(包括法律法规、网络数据安全规章和规范性文件、地方性数据安全政策和监管要求、相关技术性国家标准和行业标准等)并建立评估文档,制定有针对性的评估方案。在此阶段,企业会形成可实际操作的调研表和评估方案作为后期文件使用。2、信息调研
企业调研的内容着重在于数据处理者基本情况、业务和信息系统、数据资产、数据处理活动、安全防护措施等五方面,《实施指引》在该几个方面均提供了调研要点供参考。通过调研,企业一般会产出上述五个方面的基本情况清单,对自身所涉及到的网络数据收集、处理各环节的业务场景及处理情况已有清晰的掌握。其中网络数据资产、数据处理活动及防护措施是此项工作的核心与关键,又以企业进行数据梳理作为前提,具体包括识别网络数据类型、存储位置、数据量级、保存方式等,并在此基础上识别网络数据在各个业务场景中进行的数据处理活动(收集、存储、使用、加工、传输、提供、公开、跨境等),以便之后用来分析在各个业务场景下不同的网络数据处理活动可能引起的安全风险。3、风险评估及方法
《实施指南》要求企业着重评估的风险类别存在于网络数据安全管理、数据处理活动、数据安全技术及个人信息处理四个部分中,并在各个部分为企业提供了评估重点,企业可依据《实施指南》参考适用。针对上述四部分内容的评估,企业可综合选取下列方式作为评估手段:1. 人员访谈:评估人员通过与数据处理相关人员进行讨论、询问等,核验网络数据安全规章制度、防护措施、安全责任是否有效落实。该方法通常选取最熟悉业务和数据流通过程的人员参加访谈。2. 文档查验:评估人员查阅网络数据安全相关文件,用以评估网络数据安全管理相关制度文件是否符合标准并实际落实。通常在评估准备阶段,被评估企业即需完成相关文档的准备,供评估人员查阅。此项方法通常产出用来支撑评估结论的文书证据材料。3. 安全核查:评估人员通过查看网络数据处理场景演示,核查承载数据的应用、系统、网络,包括数据采集界面、数据展示界面、数据存储界面、数据操作日志记录等,评估网络数据系统、设备及保障措施是否有效。4. 技术测试:评估人员通过实际测试承载网络数据的应用、系统、网络,查看、分析相应的结果,以评估网络数据资产处理情况、网络数据检测防护措施是否有效。其中后两项手段通常用于对网络数据生命整个周期涉及到的相关技术保障措施进行验证时使用,此类手段更直观生动,得出的评估结果与实际情况更吻合。网络数据往往依托各类系统、应用等科技载体存储和处理,因而在网络数据安全风险评估认证中,这两项手段适用性更高,应用范围更广,尤其在评估各类互联网及科技企业业务活动中的数据处理屡见不鲜。在风险评估阶段,企业通常生成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等文件。4、综合分析
风险评估分析通常依据前述部分所获得的评估情况,采取定量与定性相结合的分析方法。根据评估标准、前期制定的评估目标与方案及有关评估者的经验,一般先为存在的各个风险要素定级,再通过为四个部分各个下级项目存在风险分别依次赋值后进行测评,完成对企业网络数据安全风险的量化计算。在此过程中,凡在评估阶段梳理出的问题,企业需结合问题清单产出整改建议并切实依照建议完成整改,弥补网络数据安全管理及技术上的漏洞。此阶段企业通常会形成数据安全问题清单、主要安全风险及建议对策。5、评估总结
根据评估情况,评估人员编制评估报告,针对评估活动内容、结论、发现的网络数据安全风险及整改对策建议进行总结。此阶段产生最终评估报告,并依据报告,在指定期限内,企业需完成整改,确保网络数据处于有效保护和合法利用的状态。五、我们对企业的建议
随着进入大数据时代,网络数据成为诸多企业重要的生产要素,在实际运行中往往需要大量收集和处理,这些数据的处理在使企业业务更加智能的同时,也给数据安全管理带来了挑战。因此,如何保障网络数据处理的风险最小化以及处理活动的合规性成为每一个网络数据处理企业无法回避的问题。我们建议企业尽早建立网络数据安全管理制度,定期展开网络数据安全风险监测与评估,并参考以下建议:1、设置明确的企业数据安全管理组织机构并由公司高管担任数据负责人
Gartner在2023年发布的八大网络安全预测中提到,企业对网络安全的重视度却会持续提升,到2026年,70%以上企业的董事会中都会包括一名具有网络安全专业知识的高级管理者。目前实践中,企业内部关于网络数据安全的工作常由多部门分工负责。《实施指南》明确要求企业针对数据安全组织架构进行评估,并在其中着重评估数据安全管理机构和职能,数据安全负责人及单位高层人员参与数据安全决策的情况。随着国家对于企业网络数据安全监管力度的加强,企业为数据安全管理搭建专门管理机构,明确责任人,并由高层人员担任数据负责人是落实《实施指南》要求企业建立数据安全管理机构并加强单位高层人员参与数据安全决策的重要体现,也是目前企业数据合规的一项重要发展趋势。2、重点展开“重要数据”和“核心数据”的识别工作
根据《数据安全管理办法》规定,重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。根据《数据安全法》规定,关系国家安全、国民经济命脉、重要民生、重大利益等数据属于国家核心数据,实行更加严格的管理制度。法律法规针对“重要数据”和“核心数据”设置了更高的监管和更强的合规义务。识别“重要数据”和“核心数据”是企业确定其数据合规义务的前提。依据《工业和信息化领域数据安全管理办法》第十二条规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。同时“重要数据”若涉及出境,企业还需向网信部门申报数据出境安全评估。因此识别企业数据业务场景中是否存在“重要数据”“核心数据”是企业的一项关键数据合规工作,更是企业进行网络数据安全风险评估不可避免的一项重要内容。3、加强企业常态化网络数据安全风险监测预警与应急机制
企业建立网络数据安全管理制度体系,开展常态化网络数据安全检测预警与通报机制,在日常经营业务活动中落实数据安全制度,及时应对、解决网络数据出现的安全风险,有利于提高企业在网络数据安全风险评估中的效率,从容应对行业主管部门的监管。企业可以从风险监测和应急机制两方面进行:(1)定期开展网络数据活动全周期风险监测,定期监控网络数据流动、数据访问等可能出现风险的控制点,定期查验数据安全保障措施运行情况;(2)在企业内部建立应急响应机制与方案,定期依照方案进行演练,此外一旦网络数据安全风险事故发生时,应向用户及监管部门及时报告。结语
开展数据安全风险评估是企业数据安全管理的起点,基于风险控制的思想建立持续改进和发展的数据安全管理体系,有利于企业使用最合理的成本达到数据合规的目标,保护数据资产,将安全事故的损失和影响降到最低。随着信息技术的发展,企业收集、处理网络数据也愈发普及,随着国家对互联网信息不断升级监管,我们认为企业有必要参照《实施指南》,率先对各业务场景下的网络数据安全风险开展自评估,摸清数据资产情况,明确风险,及时补漏,厘清合规要求,履行各项法律法规及行业规定关于网络数据的合规义务,以便企业生产经营活动顺利开展。
本文转自微信公众号:知产前沿
相关律师
冯超 律师
合伙人
业务领域:知识产权、数据保护、反垄断、争议解决
薛莲 律师
业务领域:知识产权、数据保护
陆益凡
实习律师
业务领域:知识产权、数据保护
近期文章推荐
2023-05-04
2023-05-03
2023-05-02
2023-05-01