数据安全风险评估实务

版权声明 本报告版权属于数据安全推进计划，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：数据安全推进计划”。违反上述声明者，数据安全推进计划将追究其相关法律责任。 报告愿景及目标 全球数字经济持续发展，我国数字化转型加速推进，数据要素市场化进度加快。然而，数据泄露、数据破坏、数据滥用等安全事件频繁发生，这严重危害了国家、社会公众安全，数据安全风险防范的重要性日益凸显。 随着网络安全、数据安全领域的法律法规相继颁布，强调数据处理者应依法依规开展数据处理活动，建立健全数据安全管理制度，加强数据安全风险监测与防范，定期开展数据安全风险评估，数据安全风险的评估与治理已成为业内各方最为关切的话题。然而，尽管大量的法规、标准提供了丰富的理论指引，数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段，成因错综复杂，严重影响了组织的数据安全风险评估工作落地，长期来看不利于组织数据安全风险治理能力的持续提升。 在此背景下，数据安全推进计划（DSI）联合中国通信标准化协会大数据技术标准推进委员会（CCSATC601），携手业内众多专家撰写了本报告。本报告旨在解决数据安全风险评估实务中的诸多问题，介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法，提炼了数据安全风险评估工作的具体实施流程，并以评估实施流程为主线，系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的具体实务问题，并提出问题解决思路，为数据处理者、评估机构的数据安全风险评估实务提供参考，为相关数据处理者、服务机构纾难解惑，增强产业界信心。 由于编制时间仓促、水平有限，报告难免存在疏漏，欢迎大家批评指正。 联系方式：gongshiran@caict.ac.cn 编制单位 中国信息通信研究院云计算与大数据研究所、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国联合网络通信有限公司研究院、中国移动通信集团江苏有限公司、中国人寿保险（集团）公司、中国平安人寿保险股份有限公司、华泰证券股份有限公司、天翼电子商务有限公司、西部证券股份有限公司、中国航天科工集团航天情报与信息研究所、国家电网有限公司、重庆长安汽车股份有限公司、赛力斯集团股份有限公司、北京银行股份有限公司、北京五八信息技术有限公司、杭州美创科技股份有限公司、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、联通数字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限责任公司、腾讯科技（深圳）有限公司、北京亿赛通科技发展有限责任公司、北京塔斯数据技术有限公司、天道金科股份有限公司、杭州薮猫科技有限公司、深圳市联软科技股份有限公司、北京数字认证股份有限公司、杭州数梦工场科技有限公司、安徽辰图大数据科技有限公司、北京数安行科技有限公司、北京炼石网络技术有限公司、南京聚铭网络科技有限公司、杭州安恒信息技术股份有限公司、阿里云计算有限公司、厦门服云信息科技有限公司、深圳市华傲数据技术有限公司、杭州极盾数字科技有限公司。 编制工作组 龚诗然、张亚兰、李雪妮、李天阳、张越、郝志婧、刘雪花 编制专家 龚诗然、张亚兰、温暖、王勇、李冰、王志宇、周莹、李文琦、刘飞龙、钱江洪、陈豪、曹咪、陶冶、吴璟、姬长鹏、刘洋、张啸雷、马宁、张扬、柯淑馨、江旺、张炎、周思佳、谢云鹏、洪雪莲、许琛超、邢骁、姜娜、全晓东、李超、张立鹏、张强强、刘斌、苏辉、李鹏、王会宴、杨力、王思涵、朱梦瑶、李娜（北京银行）、王基安、刘蕾、柳遵梁、应以峰、叶桦、朱朔漫、楚赟、苏文亭、梁伟、王玮、艾龙、谢雄、马明、赵宁、周莉、王笑晨、任兴、崔玲龙、何徐麒、曾云、崔壤丹、李滨、姬生利、乐元、张林成、刘灿、张艺伟、梁步庭、李楷、胡国华、卓柳俊、王振东、张红露、王同新、张赣、毛靖文、傅娅兰、陈洪运、宫小茜、郭丽颖、胡嘉伟、甘长华、翟培康、关中华、项宇欣、刘玉红、赵倩、唐开达、陈虎、高柱、徐道晨、李娜（阿里云）、杨智垄、何旭珩、查浩奇。 CONTENTS 目录 一、数据安全风险评估工作背景 (一)数据安全风险形势日益严峻01 1.数据泄露：持续呈现高发态势01 2.数据破坏：勒索攻击危害显著02 3.数据窃取：组织“内鬼”作案猖獗02 (二)组织风险防范面临监管考验02 (三)新技术应用暗藏新型风险03 二、数据安全风险评估工作现状 (一)风险评估已成业界焦点05 (二)评估标准编制进程加快07 (三)评估实施方法逐渐成熟10 三、实务问题剖析与解决思路 (一)评估准备13 1.如何确定评估触发条件13 2.如何制定评估工作目标15 3.如何规划评估实施范围16 (二)评估实施18 1.如何获取有效评估信息18 2.如何应用风险评估工具19 3.如何开展风险评估分析20 (三)评估总结23 1.如何充分应用评估结果23 四、数据安全风险评估工作建议 (一)建立数据安全风险评估机制25 (二)构建数据安全风险治理框架25 (三)完善数据安全风险治理体系25 附录:中国信通院云大所实务索引 27 图1数据安全风险基本要素关系11 图2风险矩阵（示例）20 图3数据风险治理基本框架26 表目录 表1数据安全风险评估标准发展、演进一览表2数据安全风险评估实施流程与产出物表3数据安全风险评估适用情形 表4评估适用情形检查表（示例）表5重点评估对象（示例） 表6数据安全风险危害程度（节选）表7数据级别赋值（示例） 表8数据安全风险危害程度等级参考（节选）表9安全声明（模板） 表10实务索引 08 12 13 14 17 21 22 23 24 27 一.数据安全风险评估工作背景 全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生，严重危害了国家、社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显增多，数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事件，是全球数字经济发展下的重点问题。 本章节将总结国际、国内数据安全风险形势，分析广大组织面临的各类数据安全风险以及日趋严格的监管合规要求，阐述了组织加强数据安全风险防范的必要性。 (一)数据安全风险形势日益严峻 1.数据泄露：持续呈现高发态势 全球数据泄露事件持续高发。统计数据显示，仅2021年全球范围内公开披露的数据泄露事件已超过四千起，涉及超过200亿条数据。进入2023年，数据泄露的趋势似乎并未得到缓解：2023年4月，威胁猎人发布的《2023年Q1数据资产泄露分析报告》显示，仅2023年第一季度就已发生近千余起数据泄露事件，这些事件涉及上千家组织、近四十个行业。例如，Twitter在2023年1月遭遇了数据泄露事件，包括用户电子邮件地址、姓名等2亿条个人信息被泄露。2023年2月，全美最大的综合医疗服务网络HeritageProviderNetwork遭遇勒索软件攻击，导致多个医疗机构大量敏感信息泄露。2023年2月，Telegram各大频道突然大面积转发某隐私查询机器人链接，该机器人泄露了大量来自我国各快递、电商平台的个人信息，包含了用户的真实姓名、电话与住址等，数据量高达45亿条。 组织数据安全保障压力倍增。2020年，某电商的客户数据泄露导致不法分子冒充客服对全国二十多个城市的受害者进行了电话诈骗，受害者的被骗金额为几千到十几万元不等。2023年8月，公安部公布了打击侵犯公民个人信息犯罪的十大典型案例，其中黑灰产组织窃取、利用组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾区”，组织面对无孔不入的黑灰产组织，在数据安全风险应对上压力倍增。 数据泄露事件为组织带来的损失也在逐年走高。组织数字化转型加快，对数据依赖程度随之加深，数据一旦泄露给组织带来的损失也更加严重。根据IBM《2023年数据泄露成本报告》显示，组织数据泄露事件平均成本达到445万美元，较2022年的435万美元增长2.3%，而较2020年的386万美元则足足增长了15.3%，现已创下历史新高。 2.数据破坏：勒索攻击危害显著 有针对性的数据勒索与破坏事件愈演愈烈。随着全球各行业领域的组织数字化转型程度加深，其系统及承载的数据重要程度也随之提升，其中的关键数据更是组织业务运行命脉，一旦这些关键数据遭到破坏，将面临业务中断、信息系统或网络服务瘫痪，严重的后果可能是长期业务受损，客户信息、商业机密等重要数据泄露，给组织带来重大的经济损失和声誉损失。而近年来，针对政府机构、知名组织的数据勒索、破坏事件也持续增加：2022年，哥斯达黎加政府遭遇Conti勒索软件团伙攻击，国家财政部数个TB的数据以及800多台服务器受到此次攻击影响，国内数字税务服务、海关控制IT系统以及医疗保健系统在多轮攻击下接连瘫痪、被迫下线，导致国内医疗保健系统陷入混乱。同年，法国巴黎的一家医院CenterHospitalierSudFrancilien（以下简称CHSF）遭遇网络攻击并被勒索1000万美元作为解密密钥的赎金。此次攻击直接导致了CHSF多个业务软件、医学影像存储系统无法访问，大量医疗数据被加密迫使医院推迟多台手术计划，大量患者被临时转诊至其他机构，这严重威胁了当地的急、重病患者生命安全。 3.数据窃取：组织“内鬼”作案猖獗 来自“内鬼”的数据窃取也令组织防不胜防。2023年6月6日，Verizon发布了《2023年度数据泄露调查报告》（2023DataBreachInvestigationsReport，简称DBIR），分析了从2017年以来的16312起安全事件和5199起数据泄露事件，指出74%的泄露事件由人为因素造成的，约五分之一的数据泄露事件来自于组织的内部。组织收集、存储了大量用户的个人信息数据，一旦组织内部出现了特权账号滥用、数据权限分配不清、人员利用越权访问漏洞等问题，将直接导致拥有内部人员对其获取的数据进行不正当的使用或者窃取。2023年5月，特斯拉两名员工违规挪用、泄露了包括员工个人信息、客户银行信息、生产信息在内的100GB数据，影响超过7.5万人。无独有偶，2023年7月，日本通信运营商NTTDOCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息，这些案件均有力证明了组织“内鬼”窃取数据的危害。 (二)组织风险防范面临监管考验 面对日益严峻的网络数据安全风险，各国政府倡导国际、国内或地区内的公私部门开展网络数据安全风险防范合作。例如，2023年《联合国打击网络犯罪公约》结合新型网络犯罪情况，要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法范围，倡导加强网络数据安全风险的跨国协作与应对。再例如，欧盟《数据治理法案》 （2022）提出欧盟境内的公共和私营组织在共享数据时，应遵守的安全与可靠性要求，要求及时报告数据泄露事件，防范全球数据流通带来的数据共享风险。美国《网络安全信息分享法案（CISA）》（2015）也曾鼓励国内的私营组织与政府进行网络威胁情报共享，增强其网络数据安全风险防御能力。 数据安全与隐私保护法规的发展对广大数据处理者的风险防范能力提出了新要求。除了网络数据安全风险的跨国协作与应对，各国的法律法规也明确规定了国内数据处理者的数据安全义务、责任，要求其开展数据保护影响评估等活动，加强对用户个人信息的保护。 中国方面。2021年，中国《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）相继颁布、实施。作为数据安全领域的基础性法律，《数据安全法》指出数据处理者开展数据处理活动应依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。其中，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《个人信息保护法》则进一步强调了个人信息处