网络安全标准实践指南-网络数据

TC260-PG-20231A 网络安全标准实践指南 —网络数据安全风险评估实施指引 （v1.0-202305） 全国信息安全标准化技术委员会秘书处 2023年5月 本文档可从以下网址获得： www.tc260.org.cn/ 前言 《网络安全标准实践指南》（以下简称《实践指南》）是全国信息安全标准化技术委员会（以下简称“信安标委”）秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。 声明 本《实践指南》版权属于信安标委秘书处，未经秘书处书面授权，不得以任何方式抄袭、翻译《实践指南》的任何部分。凡转载或引用本《实践指南》的观点、数据，请注明“来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心等单位的技术支持。 摘要 为指导网络数据安全风险评估工作，发现数据安全隐患，防范数据安全风险，依据《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，参照数据安全相关国家标准，制定本指南。 本指南给出了网络数据安全风险评估思路、工作流程和评估内容，可用于指导数据处理者、第三方机构开展数据安全评估，也可为有关主管监管部门组织开展检查评估提供参考。 目录 前言I 技术支持单位II 1范围1 2术语定义1 3风险评估概述3 3.1评估思路3 3.2评估内容3 3.3评估流程4 3.4评估手段6 4评估准备6 4.1明确评估目标7 4.2确定评估范围7 4.3组建评估团队8 4.4开展前期准备9 4.5制定评估方案10 5信息调研11 5.1数据处理者调研11 5.2业务和信息系统调研12 5.3数据资产调研12 5.4数据处理活动调研13 5.5安全措施调研14 6风险识别15 6.1数据安全管理15 6.2数据处理活动26 6.3数据安全技术38 6.4个人信息保护45 7综合分析56 7.1梳理问题清单56 7.2风险分析与评价57 7.3提出整改建议57 8评估总结57 8.1评估报告57 8.2风险处置59 附录A典型数据安全风险类别60 附录B评估报告模板62 1范围 本指南给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。 本指南适用于指导数据处理者、第三方机构开展风险评估，也可为有关主管监管部门组织开展数据安全检查评估提供参考。 2术语定义 2.1网络数据 通过网络处理和产生的各种电子数据，简称“数据”。 2.2数据处理者 在数据处理活动中自主决定处理目的和处理方式的个人和组织。 2.3数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 2.4数据处理活动 数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。 2.5网络数据安全风险评估 对网络数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。 2.6委托处理 数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。 2.7共同处理 两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。 注：两个以上含两个。 2.8数据安全风险 数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。 2.9合理性 数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，符合网络安全和数据安全常识道理。 2.10风险隐患 可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等，也称“风险源”。 注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括 数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。 2.11业务 组织为实现某项发展规划而开展的运营活动。 [来源：GB/T20984-2022,3.1.4] 2.12自评估 由数据处理者自身发起，组成机构内部评估小组或委托第三方评估机构，依据有关政策法规与标准，对评估对象的数据安全风险进行 评估的活动。 2.13检查评估 由数据处理者的上级主管部门、业务主管部门或国家有关主管 （监管）部门发起的，依据有关政策法规与标准，对评估对象的数据安全风险进行的评估活动。 3风险评估概述 3.1评估思路 网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。 网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险、视情评价风险，并给出整改建议。 3.2评估内容 网络数据安全风险评估，在信息调研基础上，围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图1所示。 图1数据安全风险评估内容框架 3.3评估流程 数据安全风险评估流程，主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段，评估实施流程如图2所示。 图2数据安全风险评估流程及主要产出物 数据处理者进行自评估时，可依据本指南进行风险自查，具体实施步骤如图3所示。 图3自评估实施流程 有关部门进行检查评估时，可参考本指南开展检查工作，具体实施步骤如图4所示。 图4检查评估实施流程 3.4评估手段 开展数据安全风险评估时，综合采取下列手段进行评估： a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况； b）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料； c）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况； d）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。 4评估准备 4.1明确评估目标 为落实《数据安全法》《个人信息保护法》等法律法规要求或安全监管需要，对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估，发现存在的安全问题和风险隐患，督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞，进一步提高数据安全和个人信息保护能力。 数据安全风险评估的目标，包括但不限于：a）摸清数据种类、规模、分布等基本情况；b）摸清数据处理活动的情况； c）发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险； d）发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险； e）促进完善数据安全保护措施，提升数据安全保护能力。 4.2确定评估范围 根据工作需要和评估目标，确定数据安全风险评估的对象、范围和边界，明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动，评估范围可能涉及组织全部的数据和数据处理活动，也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。 当针对组织全部数据和数据处理活动开展评估时，可根据需要采取“全面摸排、重点评估”的原则确定评估范围。一是全面摸排被评估 方的数据安全整体情况，摸清其数据资产、数据处理活动、数据分类分级等情况；二是结合数据分类分级选择重点评估对象，将涉及个人信息、重要数据、核心数据的所有数据处理活动，以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估；三是如果组织未开展数据分类分级工作，也可结合业务、信息系统的重要性和敏感性，选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。 4.3组建评估团队 4.3.1组建检查评估团队 根据评估范围、涉及的行业特征、专业需求，选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作，并签署保密协议。评估队伍在检查评估中获取的信息，只能用于检查任务目的和实施数据安全保护。 被评估方应建立专项工作团队，成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作，配合开展风险评估。 4.3.2组建自评估团队 数据处理者自行开展数据安全风险评估时，可组织业务、安全、法务、合规、运维、研发等相关部门参与实施，评估组长由数据安全负责人或授权代表担任，也可委托第三方专业技术机构实施。第三方 机构评估中获取的信息只能用于评估目的，未经授权不应泄露、出售或者非法向他人提供。 4.4开展前期准备 4.4.1制定工作计划 评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时，主管监管部门指导评估队伍按照工作要求制定评估工作计划。 4.4.2确定评估依据 评估依据包括但不限于： a）《网络安全法》《数据安全法》《个人信息保护法》等法律，有关行政法规、司法解释； b）网信部门及主（监）管部门相关数据安全规章、规范性文件；c）地方数据安全政策规定和监管要求； d）数据安全相关国家标准、行业标准等。 开展自评估时，本单位数据安全制度规范可作为评估依据之一。 4.4.3确定评估内容 结合评估目标、范围、依据，针对被评估方的实际情况，确定被评估方每个评估对象适用的评估内容。 a）数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估； b）涉及处理个人信息的，应在a）的基础上，对个人信息保护开展风险评估。 开展评估工作过程中，可根据任务要求、评估重点、监管需要、评估依据等，进一步完善评估内容。 4.4.4建立评估文档 针对评估目标、范围、依据和内容，准备风险评估调研表、技术测试工具等。 在评估工作开展过程中，应对评估工作相关文件进行统一编号，并规范管理。 4.5制定评估方案 组织评估队伍编制风险评估工作方案，方案内容包括但不限于： a）评估概述：包括评估目标、评估依据等内容； b）评估范围：包括评估对象选择方法、评估对象描述、评估范围等； c）评估内容和方法：包括评估内容、评估准则、评估方法等内容； d）评估人员：包括评估队伍的组织结构、负责人、成员、职责分工等内容； e）实施计划：包括时间进度安排、人员安排等内容； f）工作要求：包括评估工作要求、被评估方保障条件等内容，工作要求如严格依照评估内容及标准规范，规范评估行为，按照尽量不影响被评估方正常工作的原则，制定评估工作应急保障和风险规避措施，明确告知被评估方评估可能产生的风险，严守工作纪律和保密要求等； g）测试方案：开展技术测试前应明确测试方案，包括采用的技术工具、测试内容、测试环境、应急措施等，测试方应向被测方明示测试可能涉及的安全风险，双方就测试方案达成共识，检查评估时应提前向有关部门报备； 评估队伍可邀请行业领域相关数据安全、网络安全专家对评估方案进行评议，重点审核方案内容、风险管控、保护措施、可操作性、技术可行性等，进一步修改完善评估方案后，组织实施风险评估工作。 5信息调研 5.1数据处理者调研 数据处理者的基本情况包括但不限于： a）单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息； b）单