CIE-DAP注册数据资产专业人员培训与认证火热开课啦!!!
👇详情戳👇
指令者导读数据安全风险,简单来说,就是我们手上的数据可能因为某些原因变得不安全。这些原因可能包括黑客攻击、软件漏洞、或者我们自己不小心泄露。这些数据可能关乎国家安全,也可能是个人隐私,或者是公司的秘密。在这个数字化的时代,数据安全可太重要啦!要是数据出了问题,那可就麻烦大了。
咱们先来看看几个重要的概念哈。信息安全风险、数据安全风险和数据安全风险评估。信息安全风险是啥呢?就是特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。简单说,就是有坏人可能会利用我们的弱点来搞破坏,给我们带来损失。数据安全风险呢,就是数据安全事件的发生可能性及其对国家安全、公共利益或组织、个人合法权益造成的损害。还有数据安全风险评估,就是对数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。那风险的本质是啥呢?其实就是威胁利用脆弱性可能对资产造成影响的可能性。以前我们用业务功能的时候需要数据,很多企业在业务经营中也积累了大量的数据。现在数据要素越来越重要,企业的数据有了商业价值,“数据即业务” 的场景也越来越多。所以数据安全就变得更加重要啦,核心就是 “以数据为中心,保障所有数据处理活动,控制其主要风险”。
那数据安全有哪些核心要素呢?它们之间又有啥关系呢?搞清楚这些能帮助我们看清事物的联系和本质哦。根据《数据安全风险评估方法》征求意见稿,数据安全风险要素有 8 个,咱们来一个个说。第一个是数据,这可是最核心的要素。数据有价值属性,数据价值会影响数据安全风险的危害程度,也决定了我们安全保护措施的强弱。现在大家说的 “数据”,很多时候是指 “个人信息、敏感数据”,特别是 APP 里接触的那些。不过,随着数据和业务场景的发展,越来越多非个人数据也有了商业价值。第二个是数据处理活动,包括数据收集、存储、传输、加工使用、提供、公开、共享、删除等。数据在流转过程中会涉及一个或多个这样的活动。以前我们说数据全生命周期的六个活动,现在数据处理活动更深入人心,因为从数据的业务价值看,可以简化为 “三段论”。第一段是 “数据源获取” 阶段(合法性),就是数据采集 / 收集、传输等,要搞清楚数据从哪里来,有些是业务经营沉淀获取,有些是从外部购买的。第二段是数据 “内部治理” 阶段(技术性),包括数据存储和数据加工使用、删除等,主要是数据技术侧的动作,进行数据治理和探索,发现数据的价值。第三段是数据 “对外用” 阶段(业务性),包括提供、公开、对外共享等,在安全技术措施保障下,发挥数据的价值。这里要注意,数据流转到外部后,作为数据流出方要评估数据接收方是否有数据保护能力,同时在数据业务过程中要履行监督管理的职责,满足基本合规要求。第三个是数据处理者,通常是业务运营方,是业务的责任主体,但数据处理者处理的数据(个人信息)不一定是数据的控制者。第四个是业务,企业为了实现发展规划开展的运营活动,有明确目标并延续一段时间。业务经营产生数据也依赖数据,需要信息系统支撑。第五个是信息系统,主要支撑业务经营,一个复杂业务需要多个系统支持。系统承载数据,通过不同应用程序运行包含不同数据处理活动。第六个是数据安全风险源,可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等,也叫数据安全风险隐患。它把之前难以区分的威胁、脆弱性、问题和隐患等归整在一起,简化了理解,核心放在数据的业务价值层面。风险源在数据或数据处理活动中客观存在,会对数据和数据处理活动产生潜在危害。这里还提出了数据处理合理性的概念,它是数据安全 CIA(保密性、完整性、可用性)、真实性(数据的真实、数据发送者的正式性)、不可抵赖性之外的又一个重要概念。具体定义是 “数据处理遵守法律、行政法规要求,尊重社会公德和伦理道德,符合网络安全和数据安全常识道理”。这里的合理不仅包括法律法规合规,还包括符合安全常识性道理。第七个是数据安全风险,就是威胁利用脆弱性导致安全事件发生的可能性,可能给组织带来损害。常见的数据安全风险包括泄漏、篡改、破坏、丢失、滥用、伪造、违法违规(获取、出售、保存、利用、提供、公开、购买、出境)、超范围收集、数据处理缺乏正当性和数据推断风险等 23 类典型风险。第八个是安全措施,就是为了保护数据安全采取的安全管理或安全技术措施,用来抑制风险、抵御数据安全风险源。它的分类很多,包括安全管理类、安全技术类和物理控制类,也可分为安全防护类、安全检测类等。
首先,我们来看看这张图。图的中心是一个大圆,写着“数据”,这是我们保护的核心。围绕这个核心的,是数据处理者、业务和信息系统、数据处理活动等,这些都是数据的“朋友”,他们帮助数据发挥价值。
但是,好东西总有人惦记。风险,就像潜伏在暗处的敌人,随时准备对我们的数据进行攻击。所以,我们需要进行风险识别,找出这些可能的威胁。风险识别就像是拿着放大镜,仔细观察我们的“朋友”和“敌人”,了解他们的行为模式。
接下来是风险源清单,这个清单上写着所有可能引发风险的因素。如果我们的“朋友们”有些弱点或者不恰当的行为(如数据处理不当、技术漏洞等),这些都可能成为敌人利用的风险源。
有了这个清单,我们就可以进行风险分析了。风险分析就是评估这些风险源对我们的数据可能造成多大伤害的过程。我们会考虑风险发生的可能性,以及这些风险对数据的影响程度。这就像是预测敌人的攻击力度和后果。
为了更深入地理解这些风险,我们还需要进行风险分析的过程,也就是风险分析与评价。这个过程涉及到信息调研、风险识别、风险分析结果等步骤。通过这个过程,我们可以更准确地了解每个风险源的威胁级别和可能的影响。
最后,我们需要制定安全措施来应对这些风险。安全措施就像是我们的盾牌和武器,用来抵御风险的攻击。这些措施可能包括加强技术防护、提高数据处理者的安全意识、优化业务流程等。
让我们用一个公式来更形象地说明风险评估:
风险评估结果=风险发生可能性×风险危害程度
这个公式告诉我们,风险评估结果是由发生的可能性和危害程度共同决定的。如果一件事情发生的可能性很大,但造成的伤害很小,那么它的风险评估结果可能并不高。相反,如果一件事情发生的可能性不大,但一旦发生,后果非常严重,那么它的风险评估结果就会很高。
3、如何建立一个有效的数据安全风险评估体系?
建立一个有效的数据安全风险评估体系,就像是为数据安全构建一座坚固的堡垒。以下是一些关键步骤和要点,帮助你搭建起这个体系:
明确目标和范围:
确定评估的目标,比如保护个人隐私、商业机密等。
确定评估的范围,包括哪些数据和系统需要被评估。
资产识别:
风险源识别:
数据处理活动分析:
脆弱性评估:
风险分析:
风险评价:
风险处理策略制定:
安全措施实施:
监控和审计:
应急响应计划:
持续改进:
法律法规遵从性:
利益相关者沟通:
技术与流程整合:
最后,咱们来个总结。数据安全风险要素及其关系很复杂,但搞清楚这些对我们保护数据安全非常重要。我们要认真对待数据安全,采取有效的措施来保护我们的数据。
数据资产交流群
随着数据科学和大数据技术的飞速发展,数据资产已成为企业和个人不可或缺的宝贵资源。为了促进数据资产的共享、交流与创新应用,我们特此创建了[数据资产交流群]。
加入方式:
请扫描二维码,添加小助手,备注“数据资产”,通过后,小助手会把您拉入我们的[数据资产交流群],与志同道合的伙伴们一起探索数据的无限可能!