《數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)務(wù)：問題剖析與解決思路》-2023

版權(quán)聲明本報(bào)告版權(quán)屬于數(shù)據(jù)安全推進(jìn)計(jì)劃，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來源：數(shù)據(jù)安全推進(jìn)計(jì)劃”。違反上述聲明者，數(shù)據(jù)安全推進(jìn)計(jì)劃將追究其相關(guān)法律責(zé)任。報(bào)告愿景及目標(biāo)全球數(shù)字經(jīng)濟(jì)持續(xù)發(fā)展，我國數(shù)字化轉(zhuǎn)型加速推進(jìn)，數(shù)據(jù)要素市場化進(jìn)度加快。然而，數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，這嚴(yán)重危害了國家、社會公眾安全，數(shù)據(jù)安全風(fēng)險(xiǎn)防范的重要性日益凸顯。隨著網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域的法律法規(guī)相繼頒布，強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)依法依規(guī)開展數(shù)據(jù)處理活動，建立健全數(shù)據(jù)安全管理制度，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測與防范，定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，數(shù)據(jù)安全風(fēng)險(xiǎn)的評估與治理已成為業(yè)內(nèi)各方最為關(guān)切的話題。然而，盡管大量的法規(guī)、標(biāo)準(zhǔn)提供了豐富的理論指引，數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作實(shí)務(wù)中仍然存在諸多問題。這些問題分布在整個(gè)評估過程的各個(gè)階段，成因錯(cuò)綜復(fù)雜，嚴(yán)重影響了組織的數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作落地，長期來看不利于組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力的持續(xù)提升。在此背景下，數(shù)據(jù)安全推進(jìn)計(jì)劃（DSI）聯(lián)合中國通信標(biāo)準(zhǔn)化協(xié)會大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會（CCSATC601），攜手業(yè)內(nèi)眾多專家撰寫了本報(bào)告。本報(bào)告旨在解決數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)務(wù)中的諸多問題，介紹了當(dāng)前我國數(shù)據(jù)安全風(fēng)險(xiǎn)評估的監(jiān)管要求、標(biāo)準(zhǔn)編制現(xiàn)狀以及評估實(shí)施方法，提煉了數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的具體實(shí)施流程，并以評估實(shí)施流程為主線，系統(tǒng)性梳理了組織在評估準(zhǔn)備、評估實(shí)施、評估總結(jié)三大階段面臨的具體實(shí)務(wù)問題，并提出問題解決思路，為數(shù)據(jù)處理者、評估機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)務(wù)提供參考，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)紓難解惑，增強(qiáng)產(chǎn)業(yè)界信心。聯(lián)系方式編制單位中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所、中國電信集團(tuán)有限公司、中國移動通信集團(tuán)有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院、中國移動通信集團(tuán)江蘇有限公司、中國人壽保險(xiǎn)（集團(tuán)）公司、中國平安人壽保險(xiǎn)股份有限公司、華泰證券股份有限公司、天翼電子商務(wù)有限公司、西部證券股份有限公司、中國航天科工集團(tuán)航天情報(bào)與信息研究所、國家電網(wǎng)有限公司、重慶長安汽車股份有限公司、賽力斯集團(tuán)股份有限公司、北京銀行股份有限公司、北京五八信息技術(shù)有限公司、杭州美創(chuàng)科技股份有限公司、奇安信科技集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、聯(lián)通數(shù)字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限責(zé)任公司、騰訊科技（深圳）有限公司、北京億賽通科技發(fā)展有限責(zé)任公司、北京塔斯數(shù)據(jù)技術(shù)有限公司、天道金科股份有限公司、杭州藪貓科技有限公司、深圳市聯(lián)軟科技股份有限公司、北京數(shù)字認(rèn)證股份有限公司、杭州數(shù)夢工場科技有限公司、安徽辰圖大數(shù)據(jù)科技有限公司、北京數(shù)安行科技有限公司、北京煉石網(wǎng)絡(luò)技術(shù)有限公司、南京聚銘網(wǎng)絡(luò)科技有限公司、杭州安恒信息技術(shù)股份有限公司、阿里云計(jì)算有限公司、廈門服云信息科技有限公司、深圳市華傲數(shù)據(jù)技術(shù)有限公司、杭州極盾數(shù)字科技有限公司。編制工作組編制專家龔詩然、張亞蘭、溫暖、王勇、李冰、王志宇、周瑩、李文琦、劉飛龍、錢江洪、陳豪、曹咪、陶冶、吳璟、姬長鵬、劉洋、張嘯雷、馬寧、張揚(yáng)、柯淑馨、江旺、張炎、周思佳、謝云鵬、洪雪蓮、許琛超、邢驍、姜娜、全曉東、李超、張立鵬、張強(qiáng)強(qiáng)、劉斌、蘇輝、李鵬、王會宴、楊力、王思涵、朱夢瑤、李娜（北京銀行）、王基安、劉蕾、柳遵梁、應(yīng)以峰、葉樺、朱朔漫、楚赟、蘇文亭、梁偉、王瑋、艾龍、謝雄、馬明、趙寧、周莉、王笑晨、郭麗穎、胡嘉偉、甘長華、翟培康、關(guān)中華、項(xiàng)宇欣、劉玉紅、趙倩、唐開達(dá)、陳虎、高柱、徐道晨、李娜（阿里云）、楊智壟、何旭珩、查浩奇。 一、數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作背景(一)數(shù)據(jù)安全風(fēng)險(xiǎn)形勢日益嚴(yán) 01數(shù)據(jù)泄露：持續(xù)呈現(xiàn)高發(fā)態(tài) 01數(shù)據(jù)破壞：勒索攻擊危害顯 數(shù)據(jù)竊?。航M織“內(nèi)鬼”作案猖 (二)組織風(fēng)險(xiǎn)防范面臨監(jiān)管考 (三)新技術(shù)應(yīng)用暗藏新型風(fēng) 二、數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作現(xiàn)狀(一)風(fēng)險(xiǎn)評估已成業(yè)界焦 (二)評估標(biāo)準(zhǔn)編制進(jìn)程加 (三)評估實(shí)施方法逐漸成 0三、實(shí)務(wù)問題剖析與解決思路(一)評估準(zhǔn) 13如何確定評估觸發(fā)條 13如何制定評估工作目 15如何規(guī)劃評估實(shí)施范 16(二)評估實(shí) 18如何獲取有效評估信 18如何應(yīng)用風(fēng)險(xiǎn)評估工 19如何開展風(fēng)險(xiǎn)評估分 (三)評估總 如何充分應(yīng)用評估結(jié) 23四、數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作建議(一)建立數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī) (二)構(gòu)建數(shù)據(jù)安全風(fēng)險(xiǎn)治理框 (三)完善數(shù)據(jù)安全風(fēng)險(xiǎn)治理體 附錄:中國信通院云大所實(shí)務(wù)索 圖目錄圖目錄圖1數(shù)據(jù)安全風(fēng)險(xiǎn)基本要素關(guān) 1圖2風(fēng)險(xiǎn)矩陣（示例 圖3數(shù)據(jù)風(fēng)險(xiǎn)治理基本框 表目錄表1數(shù)據(jù)安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)發(fā)展、演進(jìn)一 表2數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施流程與產(chǎn)出 12表3數(shù)據(jù)安全風(fēng)險(xiǎn)評估適用情 13表4評估適用情形檢查表（示例 14表5重點(diǎn)評估對象（示例 7表6數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度（節(jié)選 21表7數(shù)據(jù)級別賦值（示例 表8數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度等級參考（節(jié)選 表9安全聲明（模板 表10實(shí)務(wù)索 DATASECURITYDATASECURITY 一.數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作背景全球數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，嚴(yán)重危害了國家、社會公眾安全。針對各國政府機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等違法活動明顯增多，數(shù)據(jù)安全事件涉及的數(shù)據(jù)以及用戶體量也在持續(xù)加大。如何有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)與事件，是全球數(shù)字經(jīng)濟(jì)發(fā)展下的重點(diǎn)問題。本章節(jié)將總結(jié)國際、國內(nèi)數(shù)據(jù)安全風(fēng)險(xiǎn)形勢，分析廣大組織面臨的各類數(shù)據(jù)安全風(fēng)險(xiǎn)以及日趨嚴(yán)格的監(jiān)管合規(guī)要求，闡述了組織加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)防范的必要性。全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。統(tǒng)計(jì)數(shù)據(jù)顯示，僅2021件已超過四千起，涉及超過200億條數(shù)據(jù)。進(jìn)入223年，數(shù)據(jù)泄露的趨勢似乎并未得到緩解：2023年4月，威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報(bào)告》顯示，僅2023年第一季度就已發(fā)生近千余起數(shù)據(jù)泄露事件，這些事件涉及上千家組織、近四十個(gè)行業(yè)。例如，witter在23年1月遭遇了數(shù)據(jù)泄露事件，包括用戶電子郵件地址、姓名等2億條個(gè)人信息被泄露。23年2月，全美最大的綜合醫(yī)療服務(wù)網(wǎng)絡(luò)HeritageProviderNetwork遭遇勒索軟件攻擊，導(dǎo)致多個(gè)醫(yī)療機(jī)構(gòu)大量敏感信息泄露。223年2月，elegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機(jī)器人鏈接，該機(jī)器人泄露了大量來自我國各快遞、電商平臺的個(gè)人信息，包含了用戶的真實(shí)姓名、電話與住址等，數(shù)據(jù)量高達(dá)45億條。組織數(shù)據(jù)安全保障壓力倍增。220年，某電商的客戶數(shù)據(jù)泄露導(dǎo)致不法分子冒充客服對全國二十多個(gè)城市的受害者進(jìn)行了電話詐騙，受害者的被騙金額為幾千到十幾萬元不等。23年8月，公安部公布了打擊侵犯公民個(gè)人信息犯罪的十大典型案例，其中黑灰產(chǎn)組織竊取、利用組織掌握的用戶個(gè)人信息實(shí)施犯罪的案例高居榜首。隨著個(gè)人信息成為黑灰產(chǎn)組織逐利的“重災(zāi)區(qū)”，組織面對無孔不入的黑灰產(chǎn)組織，在數(shù)據(jù)安全風(fēng)險(xiǎn)應(yīng)對上壓力倍增。數(shù)據(jù)泄露事件為組織帶來的損失也在逐年走高。組織數(shù)字化轉(zhuǎn)型加快，對數(shù)據(jù)依賴程度隨之加深，數(shù)據(jù)一旦泄露給組織帶來的損失也更加嚴(yán)重。根據(jù)IBM《2023年數(shù)據(jù)泄露成本報(bào)告》顯示，組織數(shù)據(jù)泄露事件平均成本達(dá)到445萬美元，較2022年的435萬美元增長2.3%，而較220年的386萬美元?jiǎng)t足足增長了15.3%，現(xiàn)已創(chuàng)下歷史新高。DATASECURITYDATASECURITY 有針對性的數(shù)據(jù)勒索與破壞事件愈演愈烈。隨著全球各行業(yè)領(lǐng)域的組織數(shù)字化轉(zhuǎn)型程度加深，其系統(tǒng)及承載的數(shù)據(jù)重要程度也隨之提升，其中的關(guān)鍵數(shù)據(jù)更是組織業(yè)務(wù)運(yùn)行命脈，一旦這些關(guān)鍵數(shù)據(jù)遭到破壞，將面臨業(yè)務(wù)中斷、信息系統(tǒng)或網(wǎng)絡(luò)服務(wù)癱瘓，嚴(yán)重的后果可能是長期業(yè)務(wù)受損，客戶信息、商業(yè)機(jī)密等重要數(shù)據(jù)泄露，給組織帶來重大的經(jīng)濟(jì)損失和聲譽(yù)損失。而近年來，針對政府機(jī)構(gòu)、知名組織的數(shù)據(jù)勒索、破壞事件也持續(xù)增加：2022年，哥斯達(dá)黎加政府遭遇Conti勒索軟件團(tuán)伙攻擊，國家財(cái)政部數(shù)個(gè)TB的數(shù)據(jù)以及800多臺服務(wù)器受到此次攻擊影響，國內(nèi)數(shù)字稅務(wù)服務(wù)、海關(guān)控制IT系統(tǒng)以及醫(yī)療保健系統(tǒng)在多輪攻擊下接連癱瘓、被迫下線，導(dǎo)致國內(nèi)醫(yī)療保健系統(tǒng)陷入混亂。同年，法國巴黎的一家醫(yī)院CenterHospitalierSudFrancilien（以下簡稱CHSF）遭遇網(wǎng)絡(luò)攻擊并被勒索1000萬美元作為解密密鑰的贖金。此次攻擊直接導(dǎo)致了CHSF多個(gè)業(yè)務(wù)軟件、醫(yī)學(xué)影像存儲系統(tǒng)無法訪問，大量醫(yī)療數(shù)據(jù)被加密迫使醫(yī)院推遲多臺手術(shù)計(jì)劃，大量患者被臨時(shí)轉(zhuǎn)診至其他機(jī)構(gòu)，這嚴(yán)重威脅了當(dāng)?shù)氐募?、重病患者生命安全。來自“?nèi)鬼”的數(shù)據(jù)竊取也令組織防不勝防。2023年6月6日，Verizon發(fā)布了《2023年度數(shù)據(jù)泄露調(diào)查報(bào)告》（2023DataBreachInvestigationsReport，簡稱DBIR），分析了從2017年以來的16312起安全事件和5199起數(shù)據(jù)泄露事件，指出74%的泄露事件由人為因素造成的，約五分之一的數(shù)據(jù)泄露事件來自于組織的內(nèi)部。組織收集、存儲了大量用戶的個(gè)人信息數(shù)據(jù)，一旦組織內(nèi)部出現(xiàn)了特權(quán)賬號濫用、數(shù)據(jù)權(quán)限分配不清、人員利用越權(quán)訪問漏洞等問題，將直接導(dǎo)致?lián)碛袃?nèi)部人員對其獲取的數(shù)據(jù)進(jìn)行不正當(dāng)?shù)氖褂没蛘吒`取。2023年5月，特斯拉兩名員工違規(guī)挪用、泄露了包括員工個(gè)人信息、客戶銀行信息、生產(chǎn)信息在內(nèi)的100GB數(shù)據(jù)，影響超過7.5萬人。無獨(dú)有偶，2023年7月，日本通信運(yùn)營商N(yùn)TTDOCOMO的承包商員工盜取了包括用戶個(gè)人信息在內(nèi)的596萬條商業(yè)信息，這些案件均有力證明了組織“內(nèi)鬼”竊取數(shù)據(jù)的危害。面對日益嚴(yán)峻的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)，各國政府倡導(dǎo)國際、國內(nèi)或地區(qū)內(nèi)的公私部門開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防范合作。例如，2023年《聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約》結(jié)合新型網(wǎng)絡(luò)犯罪情況，要求締約國將黑客攻擊、非法數(shù)據(jù)獲取等犯罪行為納入本國刑法執(zhí)法范圍，倡導(dǎo)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)的跨國協(xié)作與應(yīng)對。再例如，歐盟《數(shù)據(jù)治理法案》（2022）提出歐盟境內(nèi)的公共和私營組織在共享數(shù)據(jù)時(shí)，應(yīng)遵守的安全與可靠性要求，要求及時(shí)報(bào)告數(shù)據(jù)泄露事件，防范全球數(shù)據(jù)流通帶來的數(shù)據(jù)共享風(fēng)險(xiǎn)。美國《網(wǎng)絡(luò)安全信息分享法案（CISA）》（2015）也曾鼓勵(lì)國內(nèi)的私營組織與政府進(jìn)行網(wǎng)絡(luò)威脅情報(bào)共享，增強(qiáng)其網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防御能力。數(shù)據(jù)安全與隱私保護(hù)法規(guī)的發(fā)展對廣大數(shù)據(jù)處理者的風(fēng)險(xiǎn)防范能力提出了新要求。除了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)的跨國協(xié)作與應(yīng)對，各國的法律法規(guī)也明確規(guī)定了國內(nèi)數(shù)據(jù)處理者的數(shù)據(jù)安全義務(wù)、責(zé)任，要求其開展數(shù)據(jù)保護(hù)影響評估等活動，加強(qiáng)對用戶個(gè)人信息的保護(hù)。DATASECURITYDATASECURITY 中國方面。2021年，中國《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）相繼頒布、實(shí)施。作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》指出數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應(yīng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。其中，重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告?！秱€(gè)人信息保護(hù)法》則進(jìn)一步強(qiáng)調(diào)了個(gè)人信息處理者的責(zé)任與義務(wù)，提出個(gè)人信息處理者應(yīng)對其個(gè)人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。在處理敏感個(gè)人信息等情形下，個(gè)人信息處理者還應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。歐盟方面。2018年，歐盟《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionReg-ulation，以下簡稱“GDPR”）正式生效。GDPR基于其域外效力及嚴(yán)厲的行政處罰措施，提出了個(gè)人同意、隱私權(quán)影響評估等多項(xiàng)數(shù)據(jù)處理合規(guī)要求，并警示其適用范圍內(nèi)的數(shù)據(jù)處理主體嚴(yán)格履行合規(guī)義務(wù)。針對可能會為自然人權(quán)利與自由帶來高度風(fēng)險(xiǎn)的數(shù)據(jù)處理方式，GDPR提出數(shù)據(jù)處理主體應(yīng)事先進(jìn)行影響評估，加強(qiáng)對個(gè)人敏感信息的保護(hù)，限制對個(gè)人信息的非授權(quán)使用。美國方面。2023年1月，美國《加州隱私權(quán)法案》（CaliforniaPrivacyRightsAct，以下簡稱CPRA）正式生效。CPRA在《加州消費(fèi)者隱私法案》（CaliforniaConsumerPrivacyAct，可能對消費(fèi)者帶來重大風(fēng)險(xiǎn)的行為，信息處理者應(yīng)開展數(shù)據(jù)保護(hù)影響評估（DataProtectionImpactAssessment，簡稱DPIA），并在評估期間對消費(fèi)者的信息進(jìn)行去標(biāo)識處置。新加坡、俄羅斯、印度、巴西、韓國等多個(gè)國家也通過立法明確了數(shù)據(jù)處理者的數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)防范以及數(shù)據(jù)保護(hù)影響評估活動等方面的要求，加強(qiáng)了數(shù)據(jù)處理者的監(jiān)督和處罰，極大地推動了以上國家、地區(qū)的數(shù)據(jù)處理者提升數(shù)據(jù)安全風(fēng)險(xiǎn)防范能力，切實(shí)保護(hù)數(shù)據(jù)安全。新技術(shù)應(yīng)用衍生新型安全風(fēng)險(xiǎn)。5G、人工智能、云計(jì)算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)分析等新興技術(shù)應(yīng)用極大地推動了各行業(yè)領(lǐng)域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、便利的服務(wù)，但同時(shí)也帶來了大量的安全漏洞、風(fēng)險(xiǎn)。以云計(jì)算為例。云計(jì)算通過互聯(lián)網(wǎng)為組織提供了更加靈活、可擴(kuò)展的計(jì)算和存儲服務(wù)，實(shí)現(xiàn)了資源池化、按需擴(kuò)縮容的能力，但云平臺的復(fù)雜性以及多租戶環(huán)境也存在數(shù)據(jù)隔離失效的問題，存在內(nèi)部人員越權(quán)訪問的可能，增加了組織數(shù)據(jù)泄露的風(fēng)險(xiǎn)。再例如，5G技術(shù)的典型應(yīng)用場景eMBB（增強(qiáng)移動帶寬），由于在增強(qiáng)現(xiàn)實(shí)（AR）、虛擬現(xiàn)實(shí)（VR）、高清視頻直播、頻等對帶寬有DATASECURITYDATASECURITY 極高要求的業(yè)務(wù)場景下衍生的海量數(shù)據(jù)往往涉及個(gè)人隱私數(shù)據(jù)，而傳統(tǒng)的安全基礎(chǔ)設(shè)施難以適應(yīng)超大流量的5G網(wǎng)絡(luò)防護(hù)以及海量用戶隱私數(shù)據(jù)保護(hù)的安全需求。新興技術(shù)的監(jiān)管措施與規(guī)范的不完善也可能導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。部分處于萌芽期的新興技術(shù)可能因其配套的監(jiān)管措施與技術(shù)規(guī)范尚未完善，在實(shí)際應(yīng)用過程中為組織、個(gè)人帶來尚未被公眾充分認(rèn)識的數(shù)據(jù)安全風(fēng)險(xiǎn)，導(dǎo)致安全事件一旦發(fā)生，出現(xiàn)責(zé)任主體判定難、治理成本高等問題。以生成式AI為例。其在文本、圖片或視頻生成等領(lǐng)域中得到了廣泛的應(yīng)用，但如果在學(xué)習(xí)訓(xùn)練階段缺乏監(jiān)管，該技術(shù)可能會因其對個(gè)人信息進(jìn)行深度加工、價(jià)值挖掘，導(dǎo)致個(gè)人信息被違規(guī)利用或個(gè)人信息主體的權(quán)益遭到侵害，帶來個(gè)人信息泄露的安全風(fēng)險(xiǎn)。針對這一問題，2023年7月我國國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）發(fā)布了《生成式人工智能服務(wù)管理暫行辦法》，明確了數(shù)據(jù)訓(xùn)練的要求，強(qiáng)調(diào)涉及個(gè)人信息的訓(xùn)練數(shù)據(jù)處理活動須遵守法律和監(jiān)管要求——這一定程度上推動了生成式AI技術(shù)的安全、合規(guī)應(yīng)用，但對于如何防范其可能引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)問題，仍需產(chǎn)業(yè)界的持續(xù)探索。DATASECURITYDATASECURITY 二.數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作現(xiàn)狀隨著我國數(shù)字經(jīng)濟(jì)的快速發(fā)展、傳統(tǒng)業(yè)務(wù)的數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)價(jià)值化加速推進(jìn)，結(jié)合全球數(shù)據(jù)安全風(fēng)險(xiǎn)的整體形勢，數(shù)據(jù)安全風(fēng)險(xiǎn)的識別、評估與應(yīng)對已成為我國廣大組織面臨的最緊迫、最根本的問題，受到了國家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視。本章節(jié)將總結(jié)國內(nèi)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作落地情況，介紹數(shù)據(jù)安全風(fēng)險(xiǎn)評估的相關(guān)標(biāo)準(zhǔn)與實(shí)施方法，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)初步建立數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施的整體認(rèn)知。國家層面，推進(jìn)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作勢在必行。國家法規(guī)鼓勵(lì)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，《數(shù)據(jù)安全法》提出了國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，強(qiáng)調(diào)了對風(fēng)險(xiǎn)信息的監(jiān)測與評估是把控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)的首要途徑。多部門提出數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作要求。為了規(guī)范數(shù)據(jù)處理活動，防范重大數(shù)據(jù)安全風(fēng)險(xiǎn)，中華人民共和國國務(wù)院（以下簡稱“國務(wù)院”）、國家網(wǎng)信辦、工業(yè)和信息化部（以下簡稱“工信部”）、中國人民銀行、國家醫(yī)療保障局等監(jiān)管部門、行業(yè)主管部門相繼發(fā)布了數(shù)據(jù)安全保護(hù)工作要求，提出數(shù)據(jù)處理者應(yīng)建立健全數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)制，開展風(fēng)險(xiǎn)評估工作，及時(shí)消除風(fēng)險(xiǎn)隱患。包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》等多項(xiàng)文件也進(jìn)一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者、重要數(shù)據(jù)處理者以及特定情形下的個(gè)人信息處理者等重點(diǎn)主體應(yīng)按照有關(guān)規(guī)定，定期開展風(fēng)險(xiǎn)評估，報(bào)送評估報(bào)告的具體工作要求。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年開展風(fēng)險(xiǎn)評估。國務(wù)院令第745號《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估，對發(fā)現(xiàn)的安全問題及時(shí)整改，并按照保護(hù)工作部門要求報(bào)送情況。重要數(shù)據(jù)處理者定期開展數(shù)據(jù)安全評估?！稊?shù)據(jù)安全法》在第三十條明確了重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。2022年，國家網(wǎng)信辦發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》，要求組織的數(shù)據(jù)安全管理機(jī)構(gòu)定期開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評估、應(yīng)急演練等活動。涉及處理重要數(shù)據(jù)或者赴境外上市的，數(shù)據(jù)處理者應(yīng)每年開展一次數(shù)據(jù)安全評估。DATASECURITYDATASECURITY 主管部門應(yīng)定期組織開展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)評估，對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查，指導(dǎo)督促數(shù)據(jù)處理者及時(shí)對存在的風(fēng)險(xiǎn)隱患進(jìn)行整改。工信部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》也提出，工信領(lǐng)域的重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險(xiǎn)評估，及時(shí)整改風(fēng)險(xiǎn)問題，并向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。個(gè)人信息處理者應(yīng)結(jié)合具體情形開展安全評估或者個(gè)人信息保護(hù)影響評估。《個(gè)人信息保護(hù)法》明確了個(gè)人信息處理者在特定的情形下需要通過國家網(wǎng)信部門組織的安全評估或者開展個(gè)人信息保護(hù)影響評估的要求：例如，第四十條提出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，在確需將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息向境外提供的情形下，應(yīng)通過國家網(wǎng)信部門組織的安全評估。而第五十五條則明確了在處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動化決策等五種具體情形下，個(gè)人信息處理者應(yīng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄，并進(jìn)一步規(guī)定了個(gè)人信息保護(hù)影響評估的內(nèi)容、報(bào)告和處理記錄留存等具體要求。如涉及向境外提供境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的數(shù)據(jù)處理者開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估。此類數(shù)據(jù)處理者需要按照國家網(wǎng)信辦《數(shù)據(jù)出境安全評估辦法》，開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估，并向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估。數(shù)據(jù)處理者需要在風(fēng)險(xiǎn)自評估環(huán)節(jié)，重點(diǎn)評估其出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度、數(shù)據(jù)出境可能對國家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)以及數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露等風(fēng)險(xiǎn)等方面內(nèi)容。地方層面，多地積極響應(yīng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作。北京、貴州、天津、海南、山西、吉林、安徽、山東、深圳、上海等省市地區(qū)紛紛頒布相關(guān)數(shù)據(jù)條例、管理辦法等文件，積極落實(shí)國家法律法規(guī)要求，推動當(dāng)?shù)財(cái)?shù)據(jù)處理者開展風(fēng)險(xiǎn)評估工作。2019年天津市互聯(lián)網(wǎng)信息辦公室印發(fā)的《天津市數(shù)據(jù)安全管理辦法（暫行）》在第七條提出數(shù)據(jù)運(yùn)營者應(yīng)當(dāng)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估的要求，并在第十七條強(qiáng)調(diào)數(shù)據(jù)運(yùn)營者如向境外提供個(gè)人信息和重要數(shù)據(jù)，應(yīng)按照相關(guān)法律法規(guī)的規(guī)定開展安全評估。2021年11月，上海市第十五屆人民代表大會通過了《上海市數(shù)據(jù)條例》。其中，第八十一條提出重要數(shù)據(jù)處理者應(yīng)按照規(guī)定，定期對其數(shù)據(jù)處理活動開展風(fēng)險(xiǎn)評估，并依法向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告的要求。其他的省市地區(qū)（例如：遼寧、安徽、山東、蘇州、深圳、廈門等）也均在其數(shù)據(jù)條例等文件中強(qiáng)調(diào)了開展數(shù)據(jù)處理活動的組織定期進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評估，提高風(fēng)險(xiǎn)識別與處置能力，嚴(yán)格落實(shí)個(gè)人信息合法使用、數(shù)據(jù)安全使用承諾和重要數(shù)據(jù)出境安全管理等相關(guān)要求。由此可見，數(shù)據(jù)安全風(fēng)險(xiǎn)評估在國家建立健全數(shù)據(jù)安全治理體系中起到了關(guān)鍵作用：數(shù)據(jù)安全風(fēng)險(xiǎn)評估推動了各行業(yè)、領(lǐng)域的廣大數(shù)據(jù)處理者合法、正當(dāng)?shù)亻_展數(shù)據(jù)處理活動，在提高數(shù)據(jù)處理者的數(shù)據(jù)安全保障能力，防范重大數(shù)據(jù)安全風(fēng)險(xiǎn)等方面具有重要的意義。DATASECURITYDATASECURITY 為更好地響應(yīng)廣大數(shù)據(jù)處理者的需求、落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評估的法定要求，國家、地方數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)以及相關(guān)行業(yè)組織也相繼發(fā)布了具體的數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引、標(biāo)準(zhǔn)以及實(shí)踐指南等文件，積極推動數(shù)據(jù)安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)與指南的研究與制定工作。國家標(biāo)準(zhǔn)編制進(jìn)程持續(xù)加速。2022年3月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱“全國信安標(biāo)委”）啟動了國家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》（以下簡稱《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》）的編制工作，并于2023年8月面向社會公眾公開征求意見?！稊?shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》基于國家標(biāo)準(zhǔn)GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估方法》（以下簡稱《信息安全風(fēng)險(xiǎn)評估方法》）的框架、流程與實(shí)施方法，考慮了數(shù)據(jù)和數(shù)據(jù)處理活動的特點(diǎn)，借鑒了GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》、JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等國家、行業(yè)標(biāo)準(zhǔn)，最終從管理、數(shù)據(jù)處理活動、技術(shù)等維度入手，結(jié)合核心數(shù)據(jù)、重要數(shù)據(jù)、個(gè)人信息、一般數(shù)據(jù)的安全特點(diǎn)與保護(hù)要求，提出了數(shù)據(jù)安全風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程、評估內(nèi)容、分析與評價(jià)方法等方面的內(nèi)容。此外，2023年5月，全國信安標(biāo)委還編制、發(fā)布了《TC260PG-20231A網(wǎng)絡(luò)數(shù)據(jù)安全實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》（以下簡稱《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》），為廣大組織與專業(yè)服務(wù)機(jī)構(gòu)提供了風(fēng)險(xiǎn)評估的實(shí)施流程、實(shí)施方法、評估內(nèi)容等具體指導(dǎo)。多個(gè)行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)持續(xù)完善。數(shù)據(jù)安全風(fēng)險(xiǎn)與行業(yè)領(lǐng)域數(shù)據(jù)的應(yīng)用場景息息相關(guān)。為了更好地指導(dǎo)業(yè)內(nèi)的廣大數(shù)據(jù)處理者有效識別、評估數(shù)據(jù)安全風(fēng)險(xiǎn)，因地制宜地加強(qiáng)自身的風(fēng)險(xiǎn)防范能力，一些行業(yè)主管部門也在持續(xù)推進(jìn)行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法的編制工作。以電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)為例。2020年，工信部發(fā)布了YD/T3801-2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)同樣參考了《信息安全風(fēng)險(xiǎn)評估方法》，將數(shù)據(jù)作為核心保護(hù)對象，面向電信網(wǎng)和互聯(lián)網(wǎng)的典型數(shù)據(jù)應(yīng)用場景，提煉了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)的基本要素及要素間的關(guān)系，提供了電信網(wǎng)和互聯(lián)網(wǎng)組織實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評估的具體流程、操作方法與風(fēng)險(xiǎn)分析思路。此外，YD/T3956-2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》、YD/T4241-2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估技術(shù)實(shí)施指南》等行業(yè)標(biāo)準(zhǔn)也提供了對電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)單元以及業(yè)務(wù)系統(tǒng)進(jìn)行安全評估的方法，為業(yè)內(nèi)組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估、現(xiàn)有安全措施評估等工作提供了參考依據(jù)。DATASECURITYDATASECURITY 再例如金融行業(yè)。近年，中國人民銀行陸續(xù)發(fā)布了JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全評估規(guī)范（征求意見稿）》等標(biāo)準(zhǔn)，充分結(jié)合金融業(yè)機(jī)構(gòu)的組織特點(diǎn)、數(shù)據(jù)及其處理活動的特征，提供了金融業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估相關(guān)工作的實(shí)施流程、重點(diǎn)評估事項(xiàng)，在有效指導(dǎo)金融業(yè)機(jī)構(gòu)及時(shí)識別數(shù)據(jù)安全風(fēng)險(xiǎn)，防范數(shù)據(jù)安全事件的同時(shí)，也推動金融業(yè)機(jī)構(gòu)充分落實(shí)金融業(yè)數(shù)據(jù)安全管理要求，提升數(shù)據(jù)安全保護(hù)工作水平，為各機(jī)構(gòu)實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評估相關(guān)的工作提供了重要的參考。上述風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的發(fā)展與演進(jìn)見表1。20072022評估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形險(xiǎn)評價(jià)四個(gè)階段。溝通與協(xié)商、文檔記錄作為必要的手《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全2020風(fēng)險(xiǎn)評估實(shí)施DATASECURITYDATASECURITY 數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》，參考GB/T37973-2019《政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范》2022TC260-PG-1A《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指2023及GB/T39335-2020DATASECURITYDATASECURITY YD/T3801-《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)2023提出了“風(fēng)險(xiǎn)源”的概念：結(jié)合數(shù)據(jù)以及數(shù)據(jù)處理活動的特點(diǎn)，提出了風(fēng)險(xiǎn)源（又稱“風(fēng)險(xiǎn)隱患”）可能引發(fā)數(shù)據(jù)安全風(fēng)險(xiǎn)。此外，結(jié)合《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》提出的“合規(guī)+安全”的風(fēng)險(xiǎn)評估目標(biāo)，進(jìn)一步指出風(fēng)險(xiǎn)隱患既包括安全威脅利用脆弱性可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險(xiǎn)隱患，也包括數(shù)據(jù)處理活動不合理操作可能造成違法違規(guī)處理事件的風(fēng)險(xiǎn)隱患。實(shí)施指引》保持了一致，將信息調(diào)研作為一個(gè)單獨(dú)的階業(yè)內(nèi)相繼發(fā)布了多項(xiàng)信息安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)的評估標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)相互補(bǔ)充、持續(xù)完善，已成為廣大數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評估的重要參考資料。評估思路方面，各標(biāo)準(zhǔn)均強(qiáng)調(diào)了全面識別風(fēng)險(xiǎn)基本要素的重要性。大量的數(shù)據(jù)流轉(zhuǎn)使數(shù)據(jù)與其訪問主體、傳輸鏈路、承載環(huán)境、安全策略等因素共同構(gòu)成了“牽一發(fā)而動全身”的數(shù)據(jù)安全風(fēng)險(xiǎn)。這一點(diǎn)在國際、國內(nèi)的多項(xiàng)標(biāo)準(zhǔn)中均有體現(xiàn)：美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）《隱私工程和風(fēng)險(xiǎn)管理》（NIST8062）曾提出“問題操作”這一概念，并指出被識別的問題操作可用于評估風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)產(chǎn)生的影響。國內(nèi)的《信息安全風(fēng)險(xiǎn)評估方法》則提出信息安全風(fēng)險(xiǎn)評估需要識別包括資產(chǎn)、威脅、脆弱性、安全措施在內(nèi)的“基本要素”，通過建立、分析基本要素之間的關(guān)系（即：資產(chǎn)存在脆弱性，威脅通過利用脆弱性導(dǎo)致風(fēng)險(xiǎn)，而安全措施的實(shí)施是通過降低脆弱性被利用難易程度，以防范威脅、保護(hù)資產(chǎn)）進(jìn)行風(fēng)險(xiǎn)分析。2020年的《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)以及數(shù)據(jù)處理活動的特征，進(jìn)一步提出了該行業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)評估需要識別包括數(shù)據(jù)資產(chǎn)、應(yīng)用場景、數(shù)據(jù)威脅、數(shù)據(jù)脆弱性、安全措施在內(nèi)的基本要素及其屬性，同樣通過建立基本要素之間的關(guān)系，分析各應(yīng)用場景下的數(shù)據(jù)安全事件發(fā)生的可能性與影響，最終得出數(shù)據(jù)資產(chǎn)在多個(gè)應(yīng)用場景下面臨的總體風(fēng)險(xiǎn)值。相較于《信息安全風(fēng)險(xiǎn)評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》，2023年《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》和《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》則基于前述的基本要素，提出了數(shù)據(jù)安全風(fēng)險(xiǎn)的“風(fēng)險(xiǎn)源”這一概念（即：風(fēng)險(xiǎn)源是可能導(dǎo)致危害數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性等事件的威脅、脆弱性、問題、隱患等，也稱“風(fēng)險(xiǎn)隱患”），并同樣指出了數(shù)據(jù)安全風(fēng)險(xiǎn)評估需要通過信息調(diào)研，識別數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、安全措施等相關(guān)基本要素，從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面識別風(fēng)險(xiǎn)隱患，最終形成風(fēng)險(xiǎn)源清單，分析、評價(jià)數(shù)據(jù)安全風(fēng)險(xiǎn)并給出整改建議。來源：國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）評估流程方面，“準(zhǔn)備-實(shí)施-總結(jié)”已成為共識。數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作主要圍繞數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動，對可能影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性的安全風(fēng)險(xiǎn)進(jìn)行分析和評價(jià)。通過對比、總結(jié)國內(nèi)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施方法》等風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，可以發(fā)現(xiàn)，風(fēng)險(xiǎn)評估工作目前已形成一套覆蓋“準(zhǔn)備-實(shí)施-總結(jié)”三大階段的流程，具體分為評估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識別、綜合分析、評估總結(jié)五個(gè)環(huán)節(jié)。各環(huán)節(jié)的工作任務(wù)以及產(chǎn)出物也基本明確，具體流程與產(chǎn)出物見表2。表2來源：國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）三.實(shí)務(wù)問題剖析與解決思路盡管大量法律法規(guī)、部門規(guī)章以及標(biāo)準(zhǔn)提供了豐富的理論指引，組織在數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作實(shí)務(wù)中仍然面臨重重阻礙。這些阻礙分布在整個(gè)評估過程的各個(gè)階段，成因錯(cuò)綜復(fù)雜。因此，本章節(jié)將通過系統(tǒng)梳理數(shù)據(jù)安全風(fēng)險(xiǎn)評估的各階段面臨的典型問題，深入分析問題成因，充分參考業(yè)內(nèi)優(yōu)質(zhì)經(jīng)驗(yàn)，形成問題解決思路，為相關(guān)數(shù)據(jù)處理者、服務(wù)機(jī)構(gòu)紓難解惑。《網(wǎng)絡(luò)安全法》提出網(wǎng)絡(luò)運(yùn)營者應(yīng)開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險(xiǎn)評估等活動，并通過網(wǎng)絡(luò)安全等級保護(hù)、信息安全風(fēng)險(xiǎn)評估等一系列標(biāo)準(zhǔn)對組織的網(wǎng)絡(luò)、信息安全風(fēng)險(xiǎn)評估工作進(jìn)行落地指導(dǎo)。相較于網(wǎng)絡(luò)、信息安全風(fēng)險(xiǎn)評估，數(shù)據(jù)安全風(fēng)險(xiǎn)評估的工作要求、標(biāo)準(zhǔn)依據(jù)或正在征求意見，或尚未正式發(fā)布——這導(dǎo)致許多數(shù)據(jù)處理者的數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作仍處于起步階段，面臨著評估觸發(fā)條件不明確的“0號困境”。部分組織將同地區(qū)、同行業(yè)的組織遭遇數(shù)據(jù)安全事件或受到監(jiān)管部門處罰作為自身開展風(fēng)險(xiǎn)評估的觸發(fā)條件：通過將這些公開的事件或處罰信息內(nèi)化形成風(fēng)險(xiǎn)信息檢查表單，對業(yè)務(wù)部門逐個(gè)開展數(shù)據(jù)安全風(fēng)險(xiǎn)排查專項(xiàng)工作。然而，此類專項(xiàng)排查工作投入高、收效低：不同的組織對數(shù)據(jù)安全風(fēng)險(xiǎn)的承受能力與管理需求存在較大的差異，公開的信息披露有限且存在一定的滯后性，導(dǎo)致組織難以有規(guī)劃地開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，評估內(nèi)容參考性較低，對組織的風(fēng)險(xiǎn)啟示性不足。解決思路：梳理適用情形針對這一問題，組織或評估機(jī)構(gòu)可以參考國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》的“5.4評估適用情形”。評估適用情形列出了數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估的一些具體適用情形，具體見表3。表3a）100萬人以上個(gè)人信息b）數(shù)據(jù)處理者開展高風(fēng)險(xiǎn)數(shù)據(jù)處理活動前，宜開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，高風(fēng)險(xiǎn)數(shù)據(jù)處理活動包括但不限于：f）當(dāng)被評估對象的政策環(huán)境、外部威脅環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)等發(fā)生來源：國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）這些情形一是引述了國家法律法規(guī)中有關(guān)開展風(fēng)險(xiǎn)評估的要求與場景（例如：數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理之前），在明確數(shù)據(jù)安全風(fēng)險(xiǎn)評估活動開展的必要性的同時(shí)，也提供了評估活動開展的法規(guī)依據(jù)；二是總結(jié)了組織常見的高風(fēng)險(xiǎn)數(shù)據(jù)處理活動（例如：基于不同業(yè)務(wù)目的的數(shù)據(jù)匯聚融合），為組織或評估機(jī)構(gòu)提供了更為明確、直接的工作指引與建議；三是回應(yīng)了如何持續(xù)開展評估的關(guān)切，已開展過風(fēng)險(xiǎn)評估的數(shù)據(jù)和數(shù)據(jù)處理活動一旦發(fā)生重大變更或變化，組織或評估機(jī)構(gòu)應(yīng)重新實(shí)施風(fēng)險(xiǎn)評估，將風(fēng)險(xiǎn)評估融入組織的數(shù)據(jù)安全運(yùn)營機(jī)制。實(shí)務(wù)操作上，組織或評估機(jī)構(gòu)可通過持續(xù)梳理數(shù)據(jù)安全風(fēng)險(xiǎn)評估的適用情形，從評估要求的來源、內(nèi)容等角度入手，分析、判斷自身適宜開展評估活動的觸發(fā)條件、實(shí)施時(shí)機(jī)以及具體評估項(xiàng)的必要性，推動數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的常態(tài)化開展。示例見表4。表4評估適用情形檢查表（示例第三十條重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照（征第二十五條數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對必要第六條[評估期限]重要數(shù)據(jù)和核心數(shù)（c)重要數(shù)據(jù)和個(gè)人信息處理者合并、分立、解散、被宣告破產(chǎn)進(jìn)行數(shù)據(jù)（e)對于已經(jīng)評估過數(shù)據(jù)安全風(fēng)險(xiǎn)評估的數(shù)據(jù)處理活動，當(dāng)數(shù)據(jù)范圍、數(shù)據(jù)處理活動、環(huán)境、相關(guān)方等發(fā)生重大變更時(shí)，需重新開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估。

數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的主要目標(biāo)可以被分為三層：一是落實(shí)監(jiān)管要求，滿足國家法律法規(guī)關(guān)于開展風(fēng)險(xiǎn)評估的要求；二是摸底數(shù)據(jù)現(xiàn)狀，摸清自身數(shù)據(jù)和數(shù)據(jù)處理活動基本情況；三是提升安全能力，檢查重要的數(shù)據(jù)處理活動中是否存在管理、技術(shù)風(fēng)險(xiǎn)隱患，推動完善數(shù)據(jù)安全保護(hù)措施。三層目標(biāo)共同促進(jìn)數(shù)據(jù)處理者履行法定義務(wù)、建立健全數(shù)據(jù)安全制度、排查解決漏洞隱患，使數(shù)據(jù)處于有效保護(hù)和合法利用、持續(xù)安全的狀態(tài)。然而，大量組織未能正確、全面地認(rèn)識數(shù)據(jù)安全風(fēng)險(xiǎn)評估的價(jià)值與目標(biāo)：多數(shù)組織將第一層目標(biāo)作為開展風(fēng)險(xiǎn)評估或其他風(fēng)險(xiǎn)治理工作的唯一目標(biāo)——這導(dǎo)致一旦缺少了國家法規(guī)或監(jiān)管部門的強(qiáng)制性要求，這些組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的意愿與動力也會隨之喪失。此外，由于大量組織前期未能全面掌握業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動的特點(diǎn)以及潛在的漏洞隱患，其制定的數(shù)據(jù)安全風(fēng)險(xiǎn)管理策略無法反映組織的風(fēng)險(xiǎn)管理需求與準(zhǔn)則，這也導(dǎo)致組織即使開展了數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，也無法基于評估結(jié)果準(zhǔn)確地衡量風(fēng)險(xiǎn)問題整改措施的投入產(chǎn)出比、實(shí)施優(yōu)先級，甚至產(chǎn)生內(nèi)部多方對風(fēng)險(xiǎn)評估結(jié)果難以達(dá)成共識、風(fēng)險(xiǎn)問題整改推進(jìn)困難等問題，長遠(yuǎn)來看，不利于組織數(shù)據(jù)安全風(fēng)險(xiǎn)的防范與治理。解決思路：建立風(fēng)險(xiǎn)準(zhǔn)則針對這一問題，組織可以參考數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《數(shù)據(jù)安全治理實(shí)踐指南3.0（以下簡稱《實(shí)踐指南3.0》），開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估及治理專項(xiàng)，通過系統(tǒng)化的數(shù)據(jù)安全風(fēng)險(xiǎn)治理，建立組織的數(shù)據(jù)安全風(fēng)險(xiǎn)準(zhǔn)則。數(shù)據(jù)安全風(fēng)險(xiǎn)治理是以風(fēng)險(xiǎn)為中心的方法論，提煉了組織管理數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)需要重點(diǎn)關(guān)注的五大環(huán)節(jié)，即：風(fēng)險(xiǎn)準(zhǔn)則建立、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)評估分析、風(fēng)險(xiǎn)處置解決、風(fēng)險(xiǎn)治理改進(jìn)。其中，風(fēng)險(xiǎn)準(zhǔn)則建立是指通過分析組織數(shù)據(jù)安全風(fēng)險(xiǎn)需求，識別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動，形成風(fēng)險(xiǎn)治理準(zhǔn)則，幫助組織將注意力與資源集中在那些超出自身承受能力的數(shù)據(jù)安全風(fēng)險(xiǎn)，在明確了風(fēng)險(xiǎn)治理重點(diǎn)對象的同時(shí)，也為風(fēng)險(xiǎn)評估、整改等具體活動提供了判斷與執(zhí)行標(biāo)準(zhǔn)。實(shí)務(wù)操作上，組織一是通過分析風(fēng)險(xiǎn)需求，具體任務(wù)包括收集、整理自身適用的數(shù)據(jù)安全、隱私保護(hù)法律法規(guī)，識別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動，明確數(shù)據(jù)安全風(fēng)險(xiǎn)治理的范圍與重點(diǎn)對象；二是創(chuàng)建數(shù)據(jù)安全風(fēng)險(xiǎn)治理愿景、使命，這一步需要與組織高層人員進(jìn)行溝通、協(xié)商，在獲得其批準(zhǔn)與支持之后，形成基本的風(fēng)險(xiǎn)準(zhǔn)則，明確組織的風(fēng)險(xiǎn)管理偏好；三是制定數(shù)據(jù)安全風(fēng)險(xiǎn)治理政策，這一步需要與內(nèi)部相關(guān)方（例如：人力資源、法務(wù)、安全、營銷、IT團(tuán)隊(duì)）進(jìn)行商議，在充分了解相關(guān)方的業(yè)務(wù)與合規(guī)需求之后，制定風(fēng)險(xiǎn)管理政策，為后續(xù)風(fēng)險(xiǎn)評估以及其他風(fēng)險(xiǎn)治理相關(guān)的工作提供實(shí)施方針、標(biāo)準(zhǔn)。此外，針對組織或內(nèi)部相關(guān)方無法正確理解風(fēng)險(xiǎn)評估的價(jià)值與目標(biāo)這一問題，組織還可以通過工作動員會、研討會、培訓(xùn)講座等方式，宣貫組織的風(fēng)險(xiǎn)治理政策，解讀評估標(biāo)準(zhǔn)，討論評估方案，加強(qiáng)業(yè)務(wù)部門對數(shù)據(jù)安全風(fēng)險(xiǎn)評估及其目標(biāo)、價(jià)值的認(rèn)知與理解，提升內(nèi)部相關(guān)方對風(fēng)險(xiǎn)評估工作的參與程度，持續(xù)強(qiáng)化各方在數(shù)據(jù)安全風(fēng)險(xiǎn)評估以及治理工作的協(xié)同能力。組織數(shù)據(jù)安全風(fēng)險(xiǎn)的邊界持續(xù)擴(kuò)展：傳統(tǒng)的安全防護(hù)通常采用邊界防護(hù)策略保障靜態(tài)數(shù)據(jù)的安全。然而，一方面，組織的業(yè)務(wù)活動必然伴隨著數(shù)據(jù)的流動，而數(shù)據(jù)廣泛存在于數(shù)據(jù)中心、云端、終端等位置，數(shù)據(jù)資源暴露面的擴(kuò)大意味著其面臨的威脅也成倍增加；另一方面，組織數(shù)據(jù)在多個(gè)業(yè)務(wù)、數(shù)據(jù)處理活動中與大量設(shè)備、人員產(chǎn)生交互，異常的行為隱匿于海量的數(shù)據(jù)訪問行為中，不僅變得更加隱蔽、難以識別，也無形中擴(kuò)大了數(shù)據(jù)安全風(fēng)險(xiǎn)可波及的范圍。因此，組織如何在日益復(fù)雜的業(yè)務(wù)及數(shù)據(jù)處理活動中，規(guī)劃數(shù)據(jù)安全風(fēng)險(xiǎn)評估的范圍，在既定的評估時(shí)間、范圍內(nèi)識別出組織最為關(guān)注的數(shù)據(jù)安全風(fēng)險(xiǎn)，是廣大數(shù)據(jù)處理者、評估機(jī)構(gòu)在籌備評估工作過程中需要重點(diǎn)思考的問題。解決思路：識別重點(diǎn)對象為了避免風(fēng)險(xiǎn)邊界過大導(dǎo)致的評估“失焦”問題，提高數(shù)據(jù)安全風(fēng)險(xiǎn)評估的投入產(chǎn)出比，組織可以參考《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》，在規(guī)劃評估范圍時(shí)，首先明確評估工作中的重點(diǎn)評估對象。實(shí)務(wù)操作上，組織可以參考數(shù)據(jù)分類分級的成果，將個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)以及這些數(shù)據(jù)的處理活動作為重點(diǎn)評估對象，并抽樣選取一般數(shù)據(jù)及其數(shù)據(jù)處理活動，一并納入本次風(fēng)險(xiǎn)評估的范圍，在確保識別出重點(diǎn)評估對象面臨的風(fēng)險(xiǎn)的同時(shí)，也保障了評估的全面性，具體示例見表5。由于一般數(shù)據(jù)涵蓋范圍較廣，數(shù)據(jù)處理者可結(jié)合組織自身安全需求，對一般數(shù)據(jù)進(jìn)行細(xì)化分級，本報(bào)告將一般數(shù)據(jù)從低到高分為1級、2級、3級。表5重點(diǎn)評估對象（示例核心數(shù)據(jù)重要數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利如：財(cái)務(wù)信息等內(nèi)部機(jī)密用，可能對個(gè)人、組織合法權(quán)益造成危害，但不會危害國家安全、公共利益如果組織尚未開展數(shù)據(jù)分類分級工作，則可以參考信息系統(tǒng)等級保護(hù)的相關(guān)要求，根據(jù)業(yè)務(wù)、信息系統(tǒng)的重要程度，選取核心業(yè)務(wù)系統(tǒng)或內(nèi)部的重要信息系統(tǒng)（例如：大數(shù)據(jù)平臺、人力資源系統(tǒng)、供應(yīng)鏈系統(tǒng)）的數(shù)據(jù)和數(shù)據(jù)處理活動作為重點(diǎn)評估對象，重點(diǎn)評估其承載的數(shù)據(jù)和數(shù)據(jù)處理活動面臨的風(fēng)險(xiǎn)。這一解決思路目前已應(yīng)用于許多組織的數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)踐：組織選取某一重要的信息系統(tǒng)作為評估實(shí)施的“原點(diǎn)”，將其數(shù)據(jù)的來源、去向系統(tǒng)作為評估的范圍邊界，梳理該系統(tǒng)涉及的數(shù)據(jù)、數(shù)據(jù)處理活動并繪制數(shù)據(jù)流向圖，識別數(shù)據(jù)流轉(zhuǎn)過程中的操作人員、操作行為以及操作結(jié)果等信息，從而分析潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)問題。信息調(diào)研是數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作中最為重要的環(huán)節(jié)，組織的評估執(zhí)行人員通過文檔審閱、配置核查、人員訪談等不同的方式，收集組織的數(shù)據(jù)和數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、技術(shù)等方面的信息。數(shù)據(jù)安全風(fēng)險(xiǎn)評估涉及到組織的業(yè)務(wù)及其數(shù)據(jù)應(yīng)用場景，需要評估執(zhí)行人員實(shí)地調(diào)研業(yè)務(wù)和數(shù)據(jù)情況，多輪訪談組織業(yè)務(wù)人員，掌握數(shù)據(jù)處理活動的背景——這意味著評估執(zhí)行人員不僅需要熟練掌握數(shù)據(jù)安全風(fēng)險(xiǎn)評估要點(diǎn)，還要通過專業(yè)的協(xié)作迅速了解組織的業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動的關(guān)鍵信息，從而更好地識別出潛在的威脅、脆弱性以及已有安全措施的不完善之處。然而，許多組織在開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估的過程中發(fā)現(xiàn)，由于組織前期開展的網(wǎng)絡(luò)、信息安全評估通常由安全部門發(fā)起、主導(dǎo)，執(zhí)行人員同樣來自安全部門，主要負(fù)責(zé)網(wǎng)絡(luò)結(jié)構(gòu)、信息資產(chǎn)、威脅檢測工具安全情況的調(diào)研、核查，對業(yè)務(wù)、數(shù)據(jù)處理活動的了解不夠深入。因此，人員執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評估的信息調(diào)研時(shí)，產(chǎn)生了新的問題：一方面，評估執(zhí)行人員對業(yè)務(wù)、數(shù)據(jù)情況理解欠佳，對于業(yè)務(wù)、數(shù)據(jù)及其處理活動的風(fēng)險(xiǎn)識別不全面，且不同人員可能對于同一風(fēng)險(xiǎn)問題的判斷存在較大的差異；另一方面，受訪人員未能充分理解風(fēng)險(xiǎn)評估的依據(jù)與要點(diǎn)，在訪談或調(diào)研過程中反饋大量的無關(guān)信息，直接導(dǎo)致了返工或者評估進(jìn)度延期等問題。針對這一問題，組織可以通過完善組織協(xié)作機(jī)制，從團(tuán)隊(duì)、工具、協(xié)商三方面入手，規(guī)避上述在信息調(diào)研過程中的問題。實(shí)務(wù)操作上，針對評估執(zhí)行人員可能存在的業(yè)務(wù)掌握度低、自由裁量等問題，一方面織可以在組建評估團(tuán)隊(duì)時(shí)，選取業(yè)務(wù)人員加入評估執(zhí)行團(tuán)隊(duì)，由業(yè)務(wù)人員負(fù)責(zé)整理本次風(fēng)險(xiǎn)評估涉及的業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)信息，并適時(shí)向團(tuán)隊(duì)其他成員介紹這一部分信息，在執(zhí)行團(tuán)隊(duì)內(nèi)部實(shí)現(xiàn)優(yōu)勢互補(bǔ)；另一方面，完善評估信息調(diào)研表等工具，在逐步固化、標(biāo)準(zhǔn)化數(shù)據(jù)安全風(fēng)險(xiǎn)評估依據(jù)中的評估項(xiàng)、查驗(yàn)方式以及訪談問題等內(nèi)容的同時(shí)，完善對于不同角色的受訪人員或者證明材料的信息判斷標(biāo)準(zhǔn)，確保評估執(zhí)行人員之間具備相對統(tǒng)一的評估尺度。同時(shí)，針對受訪人員可能無效響應(yīng)的問題，組織可以在實(shí)施訪談工作前，邀請計(jì)劃受訪的人員參與本次風(fēng)險(xiǎn)評估的研討會，由評估執(zhí)行人員對風(fēng)險(xiǎn)評估方案、依據(jù)以及要點(diǎn)進(jìn)行解讀，雙方對評估內(nèi)容進(jìn)行充分協(xié)商，輸出、分發(fā)評估研討會問答合集，以免在風(fēng)險(xiǎn)評估的實(shí)施過程中出現(xiàn)人員理解偏差的問題。組織調(diào)研當(dāng)前的數(shù)據(jù)資產(chǎn)情況、發(fā)現(xiàn)潛在威脅與脆弱性、檢查安全防護(hù)措施狀態(tài)都離不開評估工具。數(shù)據(jù)安全風(fēng)險(xiǎn)評估中，評估工具能夠提供更為客觀的信息，在降低人力成本的同時(shí)，也極大地提高了評估結(jié)果的可信度。整個(gè)評估實(shí)施的過程中，評估執(zhí)行人員需要調(diào)研覆蓋組織數(shù)據(jù)安全管理、技術(shù)以及大量數(shù)據(jù)處理活動的各類信息，故需要通過應(yīng)用組織內(nèi)部已部署的安全產(chǎn)品或者使用其他技術(shù)檢測工具，收集、整合以上多方甚至多維度的信息，從而回答風(fēng)險(xiǎn)評估工作的核心問題，即：組織的何種數(shù)據(jù)、分布何處、如何流轉(zhuǎn)、誰在使用、如何防護(hù)。然而，大量組織反饋，當(dāng)前數(shù)據(jù)安全產(chǎn)品種類多且功能各異，在缺乏工具應(yīng)用指導(dǎo)的背景下，組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估時(shí)傾向于沿用傳統(tǒng)的信息安全風(fēng)險(xiǎn)評估工具，因此僅能識別網(wǎng)絡(luò)、信息安全方面的風(fēng)險(xiǎn)問題，很難識別出隱藏在具體業(yè)務(wù)場景和數(shù)據(jù)處理活動中的安全風(fēng)險(xiǎn)問題，嚴(yán)重影響了數(shù)據(jù)安全風(fēng)險(xiǎn)問題檢出的全面性。因此，在當(dāng)前數(shù)據(jù)安全產(chǎn)品工具發(fā)展迅速、種類多樣，而風(fēng)險(xiǎn)評估實(shí)施的必備工具尚未明確的背景下，如何選取合適的評估檢測工具同樣是組織實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)評估面臨的重要問題。解決思路：認(rèn)識工具功能針對這一問題，組織可以結(jié)合前期規(guī)劃的評估范圍、重點(diǎn)評估對象等信息和風(fēng)險(xiǎn)評估實(shí)施各個(gè)環(huán)節(jié)的目標(biāo)，明確工具在各個(gè)階段內(nèi)應(yīng)發(fā)揮的功能，從而選取適宜的數(shù)據(jù)安全產(chǎn)品工具。實(shí)務(wù)操作上，組織首先可以參考數(shù)據(jù)安全推進(jìn)計(jì)劃2023年發(fā)布的《數(shù)據(jù)安全產(chǎn)品與服務(wù)觀察報(bào)告》以及其他業(yè)內(nèi)研究報(bào)告，初步掌握主流的數(shù)據(jù)安全產(chǎn)品工具及其功能。在數(shù)據(jù)安全風(fēng)險(xiǎn)評估的實(shí)踐中，可應(yīng)用的評估工具主要分為三類：一是掃描類工具，主要負(fù)責(zé)提供針對數(shù)據(jù)、風(fēng)險(xiǎn)源（例如：脆弱性）等風(fēng)險(xiǎn)要素的掃描服務(wù)，為數(shù)據(jù)安全風(fēng)險(xiǎn)評估提供要素識別的功能，具體包括資產(chǎn)掃描類、數(shù)據(jù)識別類、漏洞檢測類工具等。目前市面上許多數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)管理以及部分?jǐn)?shù)據(jù)安全防護(hù)類工具（例如：API數(shù)據(jù)防泄露）都具備這一部分的功能；二是流量分析類工具，主要負(fù)責(zé)提供對數(shù)據(jù)處理活動的識別與監(jiān)測能力，用于關(guān)聯(lián)應(yīng)用、數(shù)據(jù)庫、人員的敏感數(shù)據(jù)操作，分析潛在的風(fēng)險(xiǎn)行為，具體包括應(yīng)用層流量分析、全流量分析等數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測類工具；三是自動化評估類工具，主要負(fù)責(zé)自動化評估流程管理、評估對象的信息填報(bào)、證明文件的上傳和查閱、評估結(jié)果的生成及報(bào)告的輸出等，具體包括合規(guī)檢測工具、在線評估系統(tǒng)等。隨著產(chǎn)品工具的平臺化、一體化趨勢日益明顯，上述的三類工具在數(shù)據(jù)安全風(fēng)險(xiǎn)評估中提供的能力也已在一些平臺型產(chǎn)品中得以集合。風(fēng)險(xiǎn)分析是組織基于前期的信息調(diào)研、風(fēng)險(xiǎn)識別的情況，對風(fēng)險(xiǎn)的影響程度、發(fā)生的可能性進(jìn)行賦值、分析，最終通過風(fēng)險(xiǎn)矩陣輸出風(fēng)險(xiǎn)值的過程。風(fēng)險(xiǎn)矩陣如圖2所示。 影響的嚴(yán)重程圖2風(fēng)險(xiǎn)矩陣（示例風(fēng)險(xiǎn)分析的方法主要為定性分析、定量分析、綜合分析（定性與定量相結(jié)合）。定性分析不要求各個(gè)風(fēng)險(xiǎn)要素被嚴(yán)格地量化，在風(fēng)險(xiǎn)要素的評價(jià)上主要依靠評估執(zhí)行人員的個(gè)人經(jīng)驗(yàn)、專業(yè)知識等，因此對于評估執(zhí)行人員的專業(yè)能力要求較高。定量分析（包括半定量分析）則是對風(fēng)險(xiǎn)要素進(jìn)行賦值，依據(jù)數(shù)值建立數(shù)學(xué)模型，量化風(fēng)險(xiǎn)分析的過程與結(jié)果，確保輸出清晰的風(fēng)險(xiǎn)分析結(jié)論，但其存在將復(fù)雜問題過度簡化或模糊化的缺陷，同樣易造成風(fēng)險(xiǎn)分析結(jié)論的偏差。目前業(yè)內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)分析方法以定性分析為主，例如《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》和《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》提出，針對風(fēng)險(xiǎn)發(fā)生的影響程度可以結(jié)合數(shù)據(jù)價(jià)值、安全問題嚴(yán)重程度等因素進(jìn)行分析，從不同的影響對象、危害程度高低分別提供了定性的描述，以便評估執(zhí)行人員參考、對照分析，具體見表6。然而，在實(shí)務(wù)操作上依然存在分析過程嚴(yán)重依賴執(zhí)行人員經(jīng)驗(yàn)、分析結(jié)論主觀性過高等問題。表6數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度（節(jié)選1.民經(jīng)濟(jì)總值和增長速度、國民經(jīng)濟(jì)主要比例關(guān)系、物價(jià)總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長速度、進(jìn)出口貿(mào)易總規(guī)模與變動等。2.直接影響一個(gè)或多個(gè)地級市、行業(yè)內(nèi)多個(gè)企業(yè)或大規(guī)模用戶，對行業(yè)發(fā)展態(tài)勢、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響，或者直接影響行業(yè)領(lǐng)域核心競爭力、核心業(yè)務(wù)運(yùn)行、關(guān)鍵產(chǎn)業(yè)鏈、核心供應(yīng)鏈等。1.直接危害公共健康和安全，如嚴(yán)重影響疫情防控、傳染病的預(yù)防監(jiān)控和治療等。2.可能導(dǎo)致重大突發(fā)公共衛(wèi)生事件（Ⅱ級），造成社會公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴(yán)重影響公眾健康的事件。3.導(dǎo)致一個(gè)或多個(gè)地市大部分地區(qū)的社會公共資源供應(yīng)較長期中斷，較大范圍社會成員（如100萬人以上）無法使用公共設(shè)施、獲取公開數(shù)據(jù)資源、接受公共服務(wù)?？赡軐?dǎo)致組織遭到監(jiān)管部門嚴(yán)重處罰（包括取消經(jīng)營資格、長期暫停相關(guān)業(yè)務(wù)等），或者影響重要/關(guān)鍵業(yè)務(wù)無法正常開展的情況，造成重大經(jīng)濟(jì)或技術(shù)損失，嚴(yán)重破壞機(jī)構(gòu)聲譽(yù)，企業(yè)面臨破產(chǎn)。個(gè)人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。如遭受無法承擔(dān)的債務(wù)、失去工作能力、導(dǎo)致長期的心理或生理疾病、導(dǎo)致死亡等。來源：國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）解決思路：建立分析模型針對這一問題，組織可以建立數(shù)據(jù)安全風(fēng)險(xiǎn)分析模型，通過明確判斷尺度、豐富評價(jià)維度、提升賦值精度三方面的措施，提高分析過程和結(jié)果的客觀性。一是制定風(fēng)險(xiǎn)分析過程的判斷尺度。組織采用定性分析方法進(jìn)行風(fēng)險(xiǎn)分析時(shí)，人員的主觀判斷將直接影響風(fēng)險(xiǎn)分析的結(jié)論。因此，明確評估執(zhí)行人員的判斷尺度，提供判斷某項(xiàng)風(fēng)險(xiǎn)是否屬于重大風(fēng)險(xiǎn)的“紅線”、“基線”——這在一定程度上能夠防止風(fēng)險(xiǎn)分析結(jié)論與實(shí)際情況偏差過大。以汽車行業(yè)的實(shí)踐為例，汽車自身及其業(yè)務(wù)屬性決定了其在風(fēng)險(xiǎn)分析的過程中聚焦可能直接影響行車安全、財(cái)產(chǎn)安全等方面的風(fēng)險(xiǎn)要素，因此在開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估的過程中，組織將“是否為極端威脅行車、財(cái)產(chǎn)安全等方面的風(fēng)險(xiǎn)”與“是否為大多數(shù)人群所適用的風(fēng)險(xiǎn)”作為人員分析風(fēng)險(xiǎn)時(shí)的重要尺度。二是完善風(fēng)險(xiǎn)分析過程的評價(jià)維度。組織開展風(fēng)險(xiǎn)分析時(shí)，通常使用風(fēng)險(xiǎn)矩陣圖對風(fēng)險(xiǎn)發(fā)生的可能性和影響程度進(jìn)行評價(jià)。然而，風(fēng)險(xiǎn)本身具有不確定性，組織評價(jià)風(fēng)險(xiǎn)發(fā)生的可能性時(shí)缺乏成熟的參考依據(jù)，賦值易流于形式，對風(fēng)險(xiǎn)分析結(jié)論缺乏參考價(jià)值。因此，組織可以豐富風(fēng)險(xiǎn)評價(jià)的維度，提升風(fēng)險(xiǎn)分析結(jié)論的實(shí)用性。例如，目前組織面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)不僅包括了數(shù)據(jù)保密性、完整性、可用性遭到危害，還包括了數(shù)據(jù)被違法、違規(guī)處理帶來的合規(guī)風(fēng)險(xiǎn)，基于這一問題，組織可以在風(fēng)險(xiǎn)矩陣中補(bǔ)充“可罰性”這一維度，即：從組織的合規(guī)管理角度出發(fā)，評價(jià)組織數(shù)據(jù)一旦被泄露、破壞、濫用可能引發(fā)的監(jiān)管處罰、違約追責(zé)等問題的嚴(yán)重程度。三是提升風(fēng)險(xiǎn)分析過程的賦值精度。組織采用定量分析方法開展風(fēng)險(xiǎn)分析時(shí)，最大的難點(diǎn)問題在于風(fēng)險(xiǎn)發(fā)生的可能性和危害程度的定級、賦值和計(jì)算。針對風(fēng)險(xiǎn)發(fā)生的危害程度，組織可以從數(shù)據(jù)的重要程度、數(shù)據(jù)資產(chǎn)價(jià)值、脆弱性嚴(yán)重程度等具體風(fēng)險(xiǎn)要素進(jìn)行相對精準(zhǔn)的賦值：《江蘇省數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范》從數(shù)據(jù)遭到泄露或損害時(shí)，可能對國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共利益、個(gè)人權(quán)益造成的影響程度入手，提出了組織可以參考的一般、重要與核心數(shù)據(jù)賦值。具體賦值方法如表7。未來，組織在風(fēng)險(xiǎn)分析的過程中，也可以參考數(shù)據(jù)的流通價(jià)值，進(jìn)一步提升數(shù)據(jù)這一風(fēng)險(xiǎn)要素的賦值精度。表7數(shù)據(jù)級別賦值（示例3.來源：國家標(biāo)準(zhǔn)《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）針對風(fēng)險(xiǎn)發(fā)生的可能性，實(shí)務(wù)操作上存在一定的困難：風(fēng)險(xiǎn)源（例如：威脅和脆弱性）的發(fā)生頻率、安全措施有效性和完備性等因素難以預(yù)測、量化。組織可以“以系統(tǒng)為單位”，默認(rèn)同一信息系統(tǒng)、數(shù)據(jù)庫中的威脅與脆弱性賦值保持一致，避免風(fēng)險(xiǎn)分析過程引入錯(cuò)誤的關(guān)聯(lián)關(guān)系，提升定量分析的可落地性、可操作性。如果組織在近期開展過網(wǎng)絡(luò)安全等級保護(hù)測評等評估評測，也可以參考其脆弱性識別結(jié)果進(jìn)行賦值。此外，針對數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度與發(fā)生的可能性的量化分析與評價(jià)，《數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法（征求意見稿）》在