TC260-PG-2023XX 网络安全标准实践指南 —网络数据安全风险评估实施指引 (征求意见稿v1.0-202304) 全国信息安全标准化技术委员会秘书处 2023年4月 本文档可从以下网址获得: www.tc260.org.cn/ 前言 《网络安全标准实践指南》(以下简称《实践指南》)是全国信息安全标准化技术委员会(以下简称“信安标委”)秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。 声明 本《实践指南》版权属于信安标委秘书处,未经秘书处书面授权,不得以任何方式抄袭、翻译《实践指南》的任何部分。凡转载或引用本《实践指南》的观点、数据,请注明“来源:全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心等单位的技术支持。 摘要 为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,制定本指南。 网络数据安全风险评估应坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。 本指南给出了网络数据安全风险评估思路、流程和方法,明确了网络数据安全风险评估步骤和工作内容,基于数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别、评估安全风险,适用于数据处理者自行开展安全评估或者有关主管部门组织开展检查评估。 目录 1范围1 2术语定义1 3风险评估概述3 3.1评估思路3 3.2评估内容4 3.3评估流程4 3.4评估手段6 4评估准备6 4.1明确评估目标6 4.2确定评估范围7 4.3组建评估团队7 4.4开展前期准备8 4.5制定评估方案9 5信息调研10 5.1数据处理者调研10 5.2业务和信息系统调研11 5.3数据资产调研11 5.4数据处理活动调研12 5.5安全防护措施调研13 6风险评估14 6.1数据安全管理风险14 6.2数据处理活动风险25 6.3数据安全技术风险37 6.4个人信息保护风险44 7综合分析54 7.1梳理问题列表54 7.2问题整改建议54 7.3风险分析评价55 8评估总结56 8.1评估报告56 8.2风险处置57 附录A数据安全风险示例58 附录B评估报告模板63 1范围 本指南提出了网络数据安全风险评估思路、主要工作内容、流程和方法,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。 本指南适用于指导数据处理者自行开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。 2术语定义 2.1网络数据 一般指通过网络收集、存储、传输、处理和产生的各种电子数据,简称“数据”。 2.2网络数据处理者 在网络数据处理活动中自主决定处理目的和处理方式的个人和组织,以下简称“数据处理者”。 2.3网络数据安全 通过采取必要措施,确保网络数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,简称“数据安全”。 2.4网络数据安全风险评估 对网络数据安全保护和数据处理活动情况进行风险评估的过程。 2.5网络数据处理活动 网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。 2.6委托处理 网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动。 2.7共同处理 两个及以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。 2.8单独同意 网络数据处理者在开展具体网络数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。 2.9网络数据安全风险 由于开展网络数据处理活动不合理、缺少有效的数据安全措施等,导致数据安全事件的发生及其对国家安全、公共利益或者组织、个人合法权益造成的影响。 2.10合理性 数据处理活动遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,不危害国家安全、公共利益,不得损害个人、组织的合法权益。 2.11风险隐患 可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事故的原因、条件、情形或行为。 注:风险隐患,既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括 数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。 2.12安全措施 保护数据资产、抵御安全威胁、减少安全脆弱性、降低数据安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。 2.13业务 组织为实现某项发展战略而开展的活动,该活动具有明确的目标,并延续一段时间。 2.14自动化决策 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。 3风险评估概述 3.1评估思路 网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。 网络数据安全风险评估的评估思路如图1所示。 图1数据安全风险评估思路示意图 3.2评估内容 网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。评估内容框架如图2所示。 图2数据安全风险评估内容框架 3.3评估流程 数据安全风险评估流程,主要包括评估准备、信息调研、风险评估、综合分析、评估总结五个阶段,评估实施流程如图3所示。 图3数据安全风险评估具体工作及主要产出物 数据处理者进行自评估时,可依据本指南进行风险自查,具体实施步骤如图4所示。 图4数据安全风险评估(自评估)实施流程 有关部门进行检查评估时,可参考本指南开展检查工作,具体实施步骤如图5所示。 图5数据安全风险评估(检查评估)实施流程 3.4评估手段 开展数据安全风险评估时,综合采取下列手段进行评估: a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况; b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料; c)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况; d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。 4评估准备 4.1明确评估目标 为落实《数据安全法》《个人信息保护法》等法律法规要求或安 全监管需要,对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估,发现存在的安全问题和风险隐患,督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞,进一步提高数据安全和个人信息保护能力。 数据安全风险评估的目标,包括但不限于:a)摸清数据种类、规模、分布等基�情况;b)摸清数据处理活动的情况; c)发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险隐患; d)发现共享、交易、委托处理、向境外提供重要数据等高风险处理活动的数据安全问题和风险隐患; e)促进完善数据安全保护措施,提升数据安全保护能力。 4.2确定评估范围 根据工作需要和评估目标,确定数据安全风险评估的对象、范围和边界,明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。 4.3组建评估团队 4.3.1组建检查评估团队 根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估表格、文档、检测工具等各项准备工作,并签署保密协议。 被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。 4.3.2组建自评估团队 数据处理者自行开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。 4.4开展前期准备 4.4.1制定工作计划 评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时,主管监管部门指导评估队伍按照工作要求制定评估工作计划。 4.4.2确定评估依据 评估依据包括但不限于: a)《网络安全法》《数据安全法》《个人信息保护法》等法律,有关行政法规、司法解释; b)网信部门及主(监)管部门相关数据安全规章、规范性文件;c)地方数据安全政策规定和监管要求; d)数据安全相关国家标准、行业标准、团体标准和地方标准。开展自评估时,�单位数据安全制度规范可作为评估依据之一。 4.4.3确定评估内容 结合评估目标、范围、依据,针对被评估方的实际情况,确定被评估方适用的评估内容。 a)数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估; b)涉及处理个人信息的,应在a)的基础上,对个人信息保护开展风险评估。 开展评估工作过程中,可依据任务要求、评估重点、监管需要等,进一步完善评估内容。 4.4.4建立评估文档 针对评估目标、范围、依据和内容,准备风险评估调研表、技术测试工具等。 在评估工作开展过程中,应对评估工作相关文件进行统一编号,并规范管理。 4.5制定评估方案 组织评估队伍编制风险评估工作方案,方案内容包括但不限于:a)评估概述:包括评估目标、评估范围、评估依据等内容;b)评估内容和方法:包括评估内容、评估准则、评估方法和评 估工具等内容; c)评估人员:包括评估队伍的组织结构、负责人、成员、职责分工等内容; d)实施计划:主要包括评估具体实施进度安排、人员安排等内容; e)工作要求:包括严格依照评估内容及标准规范,规范评估行为,按照尽量不影响被评估方正常工作的原则,制定评估工作应急保障和风险规避措施,并明确告知被评估方评估可能产生的风险,严守工作纪律和保密要求等内容。 评估队伍可邀请行业领域和数据安全、网络安全专家对风险评估方案进行评议,重点评议方案内容、风险管控、保护措施、可操作性、技术可行性等,进一步修改完善评估方案后,组织实施风险评估工作。 5信息调研 5.1数据处理者调研 数据处理者的基本情况包括但不限于: a)单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息; b)单位性质,例如党政机关、事业单位、企业、社会团体等;c)是否属于特定类型数据处理者,例如政务数据处理者、大型 网络平台运营者、关键信息基础设施运营者等; d)所属行业领域; e)业务运营地区,开展数据处理活动所在行政区划等;f)主要业务范围、业务规模等; g)数据处理相关服务取得行政许可的情况;h)被评估单位的资本组成和实际控制人情况; i)是否境外上市或计划赴境外上市及境外资本参与情况,或以协议控制(VIE)架构等方式实质性境外上市; j)对国家安全、公共利益、公民和组织合法权益的影响。 5.2业务和信息系统调研 业务和信息系统情况包括但不限于: a)网络和信息系统基本情况,包括网络规模、拓扑结构、信息系统等情况和对外连接、运营维护等情况以及是否为关键信息基础设施等情况; b)业务基本信息,包括业务描述、业务类型、服务对象、业务流程、用户规模、覆盖地域、相关部门等基