本文总结了「国家层面」出台的各项数据安全评估标准,旨在为大家提供一份全面、系统的参考资料,便于大家更好地了解和应用相关数据安全评估标准。
GB/T XXXXX-XXX
《信息安全技术 数据安全风险评估方法》
本文件给出了数据安全风险评估的基本概念、要素关系。分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。
本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
1、风险要素关系
数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素,要素间关系所示:
2、风险分析原理
数据安全风险评估,主要围绕数据处理者的数据和数据处理活动,对可能影响数据保密性、完整性、可用性和数据处理合理性的安全风险进行分析和评价。
数据安全风险评估原理如下图所示:
3、评估实施流程
数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,如下图所示:
4、评估内容框架
数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如下图所示:
5、评估手段
开展数据安全风险评估时,综合采取下列手段进行评估:
a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。
b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料。
c)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。
d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。
GB/T 39335-2020
《信息安全技术 个人信息安全影响评估指南》
本标准给出了个人信息安全影响评估的基本原理、实施流程。
本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
1、评估基本原理
2、评估工作形式
3、评估要点
常见的个人信息相关法律、法规、标准中评估性合规要求,包括处理个人敏感信息、使用自动化决策方式处理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息、个人信息处理目的变更评估、个人信息匿名化和去标识化效果评估,以及确定个人信息安全事件处置方案的评估等,其中部分评估要点示例如下:
GB/T XXXX- XXXX
《信息安全技术 数据出境安全评估指南》
本标准提出了个人信息和重要数据出境的安全评估流程、要点和方法。
本标准适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。
1、评估总体流程
数据出境安全评估首先评估数据出境目的:数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上评估数据出境安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如下图:
2、安全自评估流程
在数据出境安全自评估启动后,数据出境安全自评估工作组审查数据出境计划,对个人信息与重要数据依照流程进行评估,并形成评估报告。
数据出境满足上报要求的,评估报告应按要求报送国家网信部门、行业主管部门。
数据出境需获得国家网信部门、行业主管部门同意的,应在数据出境前将评估报告按要求报送国家网信部门、行业主管部门,并获得其同意。
对评估结果为可以出境的,依照出境计划进行出境,对评估结果禁止出境的,提出出境计划修改建议,业务部门修改出境计划,降低数据出境安全风险后,重新进行评估。
3、主管部门评估流程
在数据出境主管部门评估启动之后,国家网信部门、行业主管部门确定主管部门评估范围,制定主管部门评估方案,并成立主管部门评估工作组。
网络运营者按要求向主管部门评估工作组提交相关材料,材料包括安全自评估报告以及相关证明资料等。
主管部门评估工作组根据主管部门评估方案,通过远程检测、现场检查等方式进行主管部门评估并形成主管部门评估报告。
专家委员会对主管部门评估工作组做出的主管部门评估报告、安全自评估报告进行审议并给出是否同意数据出境的建议。
国家网信部门、行业主管部门]根据专家委员会建议做出决定。
4、评估要点
GB/T XXXX- XXXX
《信息安全技术 数据安全评估机构能力要求》
本文件规定了数据安全评估机构的能力要求。
本文件适用于数据安全评估机构自身能力建设,也适用于主管监管部门对数据安全评估机构开展的评定活动,还可为数据处理者选择数据安全评估机构提供参考。
1、数据安全评估机构能力要求框架图
数据安全评估机构能力要求由机构基本要求、评估管理能力、评估技术能力、评估人员能力、评估资源要求5部分组成,框架见下图:
2、数据安全评估机构能力证明方法
表A.1给出了数据安全评估机构能力证明方法,包括能力类别、能力项、证明或评定方式等内容。
▼表A.1 能力证明方法
3、设备和工具类型
▼表B.1 设备和工具类型
GB/T 20984-2022
《信息安全技术 信息安全风险评估方法》
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本文件适用于各类组织开展信息安全风险评估工作。
1、风险要素关系
风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。风险评估中基本要素的关系如下图所示:
2、风险评估流程
风险评估流程应包括如下内容:评估准备、风险识别、风险分析、风险评价。风险评估的实施流程如下图所示:
3、风险评估的工作形式
4、风险评估的工具
风险评估工具是风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。
风险评估工具的使用不但在一定程度 上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛地应用。
相关推荐:
