本文总结了「地方层面」出台的各项数据安全评估标准,旨在为大家提供一份全面、系统的参考资料,便于大家更好地了解和应用相关数据安全评估标准。
DB3212/T 1117一2022
《政务数据安全风险评估规范》
本文件提供了政务数据安全风险评估的评估原则、风险评估框架及流程、风险评估实施等要求。
本文件适用于泰州市政务数据安全的风险评估。
1、风险评估流程
a)评估准备: 1) 确定风险评估的目标; 2)确定风险评估的对象、范围和边界; 3)组建评估团队; 4)开展前期调研;5)确定评估依据;6)建立风险评价准则;7)制定评估方案。
b)评估实施: 1)政务数据分类; 2)政务数据分级;3)政务数据安全威胁识别; 4)政务数据脆弱性识别; 5)政务数据安全措施确认。
c)风险分析与评价: 1)风险分析计算; 2)风险评估;3)风险接受程度; 4)风险处置措施。
d)编制报告。此阶段应包括处理的重要数据的种类、数量,开展数据处理活动情况,面临数据安全风险及其对应措施等。
2、安全威胁识别
DB33/T 2488-2022
《公共数据安全体系评估规范》
本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。
本标准适用于公共数据安全体系和能力评估,各级公共数据主管部门、公共管理和服务机构可参考执行。
1、总体架构
公共数据安全体系评估模型包括公共数据安全体系评估项、公共数据安全体系评估维度、公共数据安全体系评估方法。公共数据安全体系评估模型详见下图:
2、评估流程
公共数据安全体系评估流程应依据评估对象及评估目标,按照确定评估范围、组建评估团队、制定评估方案、实施评估和报告编制5个步骤实施,评估工作过程可参考下图:
1、确定评估范围:首先应明确评估范围,包括被评估方涉及评估的系统、应用、网络、终端以及相关部门和人员等。
2、组建评估团队:评估团队应由评估人员和被评估单位相关人员组成,可根据单位实际情况及评估范围,聘请相关专业机构或专家参与评估工作。
3、制定评估方案:评估团队根据评估对象实际情况,确定评估场地、评估时间。根据评估范围选取对应的评估项( 含子项)和评估维度,制定评估指标, 通过资料查询、人员访谈、问卷调查、功能演示和技术检测等评估方式,形成书面评估方案。
4、实施评估 实施评估主要包括以下步骤:
a)评估团队按照评估方案实施评估,收集并整理相关证明材料,初步研判各评估指标符合情况并记录评估过程信息;
b)评估团队根据评估过程记录及证明材料,组织召开会议,与被评估单位确认研判结果,形成各评估指标得分;
c)根据评估指标得分,计算评估子项分值。
5、报告编制:评估结果以报告形式展现,评估报告内容主要包括:评估对象;评估范围;评估团队;评估场地;评估时间;评估方式;评估指标及分值;评估过程记录及关键证明材料;安全风险;评估结论;整改建议;计划及已整改情况等。
相关推荐:
