汽车数据安全合规⑥—如何开展数据安全风险评估？

Original DSI 数据安全推进计划 2023-07-01

《汽车数据安全若干问题合规实践指南》（以下简称《指南》）是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，为汽车企业提供数据安全合规实践指引。

本系列将持续探讨汽车数据安全合规实践，希望增强汽车企业数据安全合规保障能力，提高汽车行业数据安全保护水平。

本文将聚焦“数据安全风险评估”，解析合规要点，总结汽车行业典型场景，进而提出合规实践建议。

数据安全风险评估

合规要点

依据《数据安全法》、《汽车数据安全管理若干规定（试行）》要求，汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估并报送。汽车企业无论是通过自评估还是第三方评估，都应尽快建立数据安全风险管理的全流程机制，尽早识别风险，发生事件及时补救与报告，承担数据安全保护义务。

典型场景

汽车智能化、网联化程度逐步提高，汽车数据量激增，车辆开放连接增多，相关设备系统间数据交互紧密，汽车数据处理场景复杂，汽车企业需要数据安全风险评估的场景包括但不限于：

基于移动互联网的汽车用户数据应用；
车联网服务平台重要数据记录系统；
车辆大数据平台。

合规实践建议

数据安全风险是指任何威胁数据及其安全需求的行为或机制。数据安全风险评估旨在帮助汽车企业明确数据安全风险点，为汽车数据安全管理建设和数据安全风险处置指明方向。本文建议的风险评估要求主要以汽车企业的数据资产为评估对象，数据处理活动中所面临的风险为评估内容，进行数据安全风险评估工作。

工作流程包括：评估准备—风险要素识别—风险分析—风险评价—报告编写—风险处置。如图1所示。

图1 数据安全风险评估工作流程

（1）评估准备

从国家法律法规及汽车行业监管、业务需求评估等相关要求出发，从战略层面考量风险评估结果对企业的相关影响。数据安全风险评估准备的内容主要包括：评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。

（2）风险要素识别

汽车企业需要基于数据安全风险要素，面向业务场景，以汽车数据的采集、传输、存储、使用、共享、销毁各个环节为切入点，并结合已有安全措施的落地情况，判断数据资产及数据处理活动面临的威胁与缺陷。风险要素识别包括：关键业务、数据处理活动、数据资产、数据威胁、数据脆弱性、已有安全措施。数据安全风险评估中各要素的关系如图2所示。

图2数据安全风险要素的关系

数据安全风险要素的识别工作包含两部分：一是解析业务场景与流程。该部分负责解析业务场景与流程，重点识别数据处理活动与涉及的生命周期环节，明确数据安全风险影响的数据、处理活动对象。二是识别数据安全风险关键要素。该部分负责收集数据安全风险信息，对数据安全风险的影响程度与发生的可能性进行评估。数据安全风险的基本关键要素包括数据安全风险的影响程度与发生的可能性：数据安全风险的影响程度体现在数据本体数据安全需求的受损情况（数据资产）；数据安全风险发生的可能性受数据全生命周期的安全缺陷（脆弱性）与数据处理活动的安全目标失灵情况（威胁、已有安全措施）影响。

（3）风险分析

依据外部监管要求、标准，通过关联已识别的数据安全风险要素，构建数据安全风险矩阵，对业务场景下的数据安全风险进行定性或定量分析，开展数据安全风险评估活动，判断数据安全风险发生的可能性与影响程度，从而得到数据安全风险值。

数据安全风险关键要素的明确能够为数据安全风险的识别提供方向。基于数据安全风险影响程度与发生的可能性两大关键要素，结合数据资产、威胁、脆弱性、已有安全措施等因素，面向数据的处理活动场景构建数据安全风险矩阵。如图3所示，风险矩阵由影响程度与发生的可能性共同构成。其中，影响程度受数据资产的价值、脆弱性的严重程度共同影响；发生的可能性受威胁发生的频率、脆弱性的可利用程度共同影响；根据数据安全风险发生的可能性和影响程度共同确定数据安全风险值。

图3 数据安全风险矩阵

（4）风险评价

企业在执行完数据安全风险分析后，通过风险值计算方法，会得到风险值的分布状况，确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。风险等级建议从1到5划分为五级，等级越大，风险越高，具体可参考表1。

表1 数据安全风险等级参考表

（5）报告编写

评估人员通过对评估结果分析和形成的安全风险分析结果，编制风险评估报告。风险评估报告应包括但不局限于以下内容：项目概述、评估范围、评估依据、评估方法、数据资产识别与赋值、威胁分析与赋值、脆弱性识别与赋值、已有安全措施识别、综合风险分析、安全整改建议等。如果涉及重要数据，编写报告时需要按照《汽车数据安全管理若干规定（试行）》中的要求：汽车数据处理者开展重要数据处理活动，需要向有关部门报送风险评估报告，风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

（6）风险处置

通过数据安全风险评估，最终得到企业风险评估结果。依据风险评价等级结合企业面临的生产活动实际情况，对不可接受的风险，制定风险处置计划，选择数据安全风险处置策略，采取风险处置措施，具体可参考表2。

表2 风险处置措施

在选择适当的数据安全风险处置策略和措施后，需要检验风险处置措施的效率，检验风险处置策略的有效性并持续改进。

中国信息通信研究院推出数据安全治理能力评估汽车专项（简称：DSG-V评估），在DSG评估的基础上，融合汽车行业数据安全相关标准，以满足汽车业企业的特有评估需求。详情请了解“一图读懂DSG系列评估”。
DSG系列评估持续征集参评企业，欢迎广大企业垂询合作！联系人：刘雪花电话：18500238315(微信同号)邮箱：liuxuehua@caict.ac.cn