新形势下安全风险评估实践 - 乔智明_货拉拉

安全风险评估的拓展与实施

1. 安全风险评估依据、对象、理念及需求的拓展

1.1 安全风险评估依据的拓展

• 依据包括公安网络安全监督检查自查要求、APP治理相关公告和通知、GB/T20984信息安全风险评估方法、GB/T31722/ISO/IEC27005信息安全风险管理、网络安全法、数据安全法、个人信息保护法等法律法规，以及安全新闻、事件、通报、罚款等提及的违规项。

1.2 安全风险评估对象的拓展

• 从传统资产（主机、网络、系统）扩展到APP的隐私合规评估、业务活动数据安全评估、个人信息保护影响评估、组织或单位合规评估、管理评估等。

1.3 安全风险评估理念的拓展

• 从保密性、完整性、可用性扩展到PIA（个人信息保护影响评估）、收集、存储、使用、传输、共享、销毁的全生命周期管理，强调价值观导向、自动化决策的用户权益影响、公平公正原则。

1.4 安全风险评估需求的拓展

• 多部门来源的评估需求，包括合作方要求的安全评估和针对特定风险的评估，合规评估需求占比显著提升，评估周期长短更加灵活。

1.5 各类安全风险评估特点

• 注重控制域的全面性、控制效果有效性、流程稳定性，周期较长，突出PDCA流程；法律法规偏宏观，方案构建和风险评价依赖评估人员素质；标准明确，要求固定，具有一定强制性，往往由第三方开展；对象特定，依据复杂，周期灵活，结果导向。

2. 风险评估组织流程

2.1 风险评估组织流程

• 包括评估目的、评估对象、评估依据、资源（评估人员、评估工具、评估时间）、实施（灵活流程）、过程、评估处置和阶段对象的灵活调整、风险管理（风险评价、风险决策）。

2.2 分析评估任务

• 根据评估对象和依据，识别数据应用场景、系统、应用、网络脆弱性，评估数据处理活动脆弱性，识别已有安全措施，计算和分析风险，进行风险处置和决策。

2.3 评估资源的准备

• 评估团队组建（信息安全人员、法务人员、产品人员、配合人员），评估工具准备（自动化或定制化工具），评估时间的确定（评估周期、检测、访谈、反馈、整改频率）。

2.4 评估结论-风险管理

• 依照风险评估依据，参考已发生的安全事件，评估实施人员提出建议，评估对象负责人进行决策，必要时上升至更高层级决策。

2.5 CASE1:业务部门对重要数据的风险评估需求

• 评估对象为重要数据，评估人员包括业务负责人、操作运维人员/安全人员，实施流程包括资产识别、数据应用场景识别、系统、应用、网络脆弱性评估、数据处理活动脆弱性评估、合规评估、已有安全措施识别、风险计算、风险分析、风险处置、风险决策。

2.5 CASE2:算法新规发布后的风险评估

• 评估对象为算法应用场景，评估人员包括业务负责人、产品、法务、安全人员，实施流程包括法规解读与评估工具的构建、算法基本情况、数据处理个人信息处理、算法管理、算法应用访谈摸底、符合性分析、风险评价、风险决策。

3. 风险评估闭环

3.1 风险评估闭环

• 简单评估结果应用：补充技术措施、补充管理制度、补充流程；复杂环境下决策：适度保护、资源依赖、技术路线；持续监测：整改结果的追踪、风险原因的发掘、安全水平的改进；方法流程的优化及固化：灵活化与流程化的平衡，避免依赖特定人，结合自动化与半自动化提升资源利用率。

3.2 动态外部环境影响风险处置决策

• 外部环境影响包括新法新规的修订与制定、通报和检查要求的更新、实际事件的参考，这些因素推动风险处置决策的调整。