本标准实现了事前明确数据安全风险关键要素,事中建立全面的风险治理体系,事后健全风险治理的监控与管理改进体系。
2023年1月5日,在第二届数据安全治理峰会上,《数据安全风险治理成熟度评价模型》标准正式发布,由中国信息通信研究院云计算与大数据研究所大数据与区块链部高级业务主管龚诗然进行介绍。
《数据安全风险治理成熟度评价模型》标准立足于数据安全风险层出不穷、危害严重的现状,历经4个月的理论研究与多轮专家研讨论证,于2022年9月由中国信通院牵头中国电信、联通数科、百度、安恒、绿盟等十余家单位专家共同编制,现已进入评估单位征集阶段。
数据安全已成为国家安全战略、数字经济发展的重要议题。“十三五”以来,国家持续强调数据安全保护与数据流动安全,强化数据全生命周期安全保护与立法,为数据成为新型生产要素奠定坚实基础,至此数据安全成为我国数字化进程重要一环。然而,企业数字化转型大潮来临,数据泄露、破坏与滥用事件高频发生,已严重威胁国家、社会公众安全,数据安全风险防范刻不容缓:一是数据泄露事件持续增长,全球数据泄露记录近千亿条;二是数据破坏严重影响社会生产,企业数据遭到破坏、勒索的事件同样屡屡发生;三是数据滥用严重威胁个人权益,“大数据杀熟”、“窃听式营销”等乱象频发,以违约、违规收集使用数据、权限为主的数据滥用行为亟需整治。以上问题均表明数据安全风险亟需体系化治理,数据安全风险治理将成为业内又一重要议题。
数据安全风险治理一方面是企业数据安全治理的重要一环,另一方面数据安全风险治理发现的问题也是企业数据安全治理的持续性输入。《数据安全风险治理成熟度评价模型》将企业的数据安全风险治理按照风险治理的阶段分为5大能力域:分别是风险准则确立、风险要素识别、风险评估分析、风险处置解决、风险治理改进,并进一步细分成15个能力项。
-
“风险准则确立”能力域主要是指企业通过分析组织数据安全风险需求,识别组织的关键业务及数据处理活动,制定组织的数据安全风险治理准则,明确组织的数据安全风险治理的业务对象和范围。
-
“风险要素识别”能力域主要是指企业通过围绕组织的数据安全风险准则,开展数据安全风险要素识别活动,识别数据资产在组织的业务运行、数据处理活动过程中面临的威胁、缺陷、漏洞等。
-
“风险评估分析”能力域主要是指企业通过关联已识别的数据安全风险要素,对数据安全风险进行定性或定量分析,开展数据安全风险评估活动,判断数据安全风险发生的可能性与影响程度。
-
“风险处置解决”能力域主要是指企业通过建立数据安全风险处置原则、策略、流程等,实施数据安全风险处置策略,并通过监控、提升处置策略有效性、提升处置流程效率等方式,降低数据安全风险发生的可能性或损失的影响程度。
-
“风险治理改进”能力域主要是指企业建立数据安全风险治理改进机制,通过加强相关团队及人员培训与考核、规范风险资源规划与项目管理等方式,提升组织的数据安全风险治理技能,防范数据安全风险治理过程中出现的严重偏差,持续优化组织的数据安全风险治理能力。
评价模型的等级设置依据组织数据安全风险治理的覆盖范围、支撑力度进行划分。
第一级“初始级”指组织的数据安全风险治理主要依靠突发事件或临时需求驱动,具有明显的滞后性缺乏数据安全风险治理的目标、规划、依据、资源保障。
第二级“基础级”指组织的数据安全风险治理主要体现在个别业务活动或项目活动中,能主动识别法律法规与外部监管要求,使个别业务活动或项目活动中可以满足组织的数据安全保护与合规需求。
第三级“已定义级”指组织的数据安全风险治理主要体现在组织整体层面,考虑了法律法规和外部监管要求下,兼顾了组织内部发展需求,建立了覆盖数据安全风险识别、评估、处置、监控等标准化管理机制、技术和运营体系,能够保障组织数据安全风险治理工作的有序开展与规范化落地。
第四级“量化级”指在第三级的基础上对组织的数据安全风险治理效率、效果能量化分析和监控。
第五级“卓越级”指组织的数据安全风险治理成为行业标杆并推广至行业。
本标准实现了事前明确数据安全风险关键要素,事中建立全面的风险治理体系,事后健全风险治理的监控与管理改进体系。未来,标准将会从交流分享、企业评估、标准迭代、案例征集四个方面开展工作,广泛听取专家意见进行标准完善、征集优秀企业落地案例,共同完善数据安全风险治理成熟度评价模型。