网络安全标准实践指南-网络数据

TC260-PG-20231A网络安全标准实践指南—网络数据安全风险评估实施指引（v1.0-202305）全国信息安全标准化技术委员会秘书处2023年5月本文档可从以下网址获得：www.tc260.org.cn/ I前言《网络安全标准实践指南》（以下简称《实践指南》）是全国信息安全标准化技术委员会（以下简称“信安标委”）秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。 II声明本《实践指南》版权属于信安标委秘书处，未经秘书处书面授权，不得以任何方式抄袭、翻译《实践指南》的任何部分。凡转载或引用本《实践指南》的观点、数据，请注明“来源：全国信息安全标准化技术委员会秘书处”。技术支持单位本《实践指南》得到中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心等单位的技术支持。 III摘要为指导网络数据安全风险评估工作，发现数据安全隐患，防范数据安全风险，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，参照数据安全相关国家标准，制定本指南。本指南给出了网络数据安全风险评估思路、工作流程和评估内容，可用于指导数据处理者、第三方机构开展数据安全评估，也可为有关主管监管部门组织开展检查评估提供参考。 IV目录前言.......................................................................I技术支持单位................................................................II1范围.......................................................................12术语定义...................................................................13风险评估概述...............................................................33.1评估思路.............................................................33.2评估内容.............................................................33.3评估流程.............................................................43.4评估手段.............................................................64评估准备...................................................................64.1明确评估目标.........................................................74.2确定评估范围.........................................................74.3组建评估团队.........................................................84.4开展前期准备.........................................................94.5制定评估方案........................................................105信息调研..................................................................115.1数据处理者调研......................................................115.2业务和信息系统调研...................................................125.3数据资产调研........................................................125.4数据处理活动调研....................................................135.5安全措施调研........................................................146风险识别..................................................................156.1数据安全管理........................................................156.2数据处理活动........................................................266.3数据安全技术........................................................386.4个人信息保护........................................................457综合分析..................................................................567.1梳理问题清单........................................................567.2风险分析与评价......................................................577.3提出整改建议........................................................578评估总结..................................................................578.1评估报告............................................................578.2风险处置............................................................59附录A典型数据安全风险类别..................................................60附录B评估报告模板..........................................................62 11范围本指南给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估，也可为有关主管监管部门组织开展数据安全检查评估提供参考。2术语定义2.1网络数据通过网络处理和产生的各种电子数据，简称“数据”。2.2数据处理者在数据处理活动中自主决定处理目的和处理方式的个人和组织。2.3数据安全通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。2.4数据处理活动数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。2.5网络数据安全风险评估对网络数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。2.6委托处理 2数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。2.7共同处理两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。注：两个以上含两个。2.8数据安全风险数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。2.9合理性数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，符合网络安全和数据安全常识道理。2.10风险隐患可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等，也称“风险源”。注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。2.11业务组织为实现某项发展规划而开展的运营活动。[来源：GB/T20984-2022,3.1.4]2.12自评估由数据处理者自身发起，组成机构内部评估小组或委托第三方评估机构，依据有关政策法规与标准，对评估对象的数据安全风险进行 3评估的活动。2.13检查评估由数据处理者的上级主管部门、业务主管部门或国家有关主管（监管）部门发起的，依据有关政策法规与标准，对评估对象的数据安全风险进行的评估活动。3风险评估概述3.1评估思路网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险、视情评价风险，并给出整改建议。3.2评估内容 4网络数据安全风险评估，在信息调研基础上，围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图1所示。图1数据安全风险评估内容框架3.3评估流程数据安全风险评估流程，主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段，评估实施流程如图2所示。 5图2数据安全风险评估流程及主要产出物数据处理者进行自评估时，可依据本指南进行风险自查，具体实施步骤如图3所示。 6图3自评估实施流程有关部门进行检查评估时，可参考本指南开展检查工作，具体实施步骤如图4所示。图4检查评估实施流程3.4评估手段开展数据安全风险评估时，综合采取下列手段进行评估：a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；b）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；c）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；d）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。4评估准备 74.1明确评估目标为落实《数据安全法》《个人信息保护法》等法律法规要求或安全监管需要，对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估，发现存在的安全问题和风险隐患，督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞，进一步提高数据安全和个人信息保护能力。数据安全风险评估的目标，包括但不限于：a）摸清数据种类、规模、分布等基本情况；b）摸清数据处理活动的情况；c）发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险；d）发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险；e）促进完善数据安全保护措施，提升数据安全保护能力。4.2确定评估范围根