数据安全风险评估实务
AI智能总结
版 权 声 明 本报告版权属于数据安全推进计划,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”。违反上述声明者,数据安全推进计划将追究其相关法律责任。 报 告 愿 景 及 目 标 全球数字经济持续发展,我国数字化转型加速推进,数据要素市场化进度加快。然而,数据泄露、数据破坏、数据滥用等安全事件频繁发生,这严重危害了国家、社会公众安全,数据安全风险防范的重要性日益凸显。 随着网络安全、数据安全领域的法律法规相继颁布,强调数据处理者应依法依规开展数据处理活动,建立健全数据安全管理制度,加强数据安全风险监测与防范,定期开展数据安全风险评估,数据安全风险的评估与治理已成为业内各方最为关切的话题。然而,尽管大量的法规、标准提供了丰富的理论指引,数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段,成因错综复杂,严重影响了组织的数据安全风险评估工作落地,长期来看不利于组织数据安全风险治理能力的持续提升。 在此背景下,数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSATC601),携手业内众多专家撰写了本报告。本报告旨在解决数据安全风险评估实务中的诸多问题,介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法,提炼了数据安全风险评估工作的具体实施流程,并以评估实施流程为主线,系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的具体实务问题,并提出问题解决思路,为数据处理者、评估机构的数据安全风险评估实务提供参考,为相关数据处理者、服务机构纾难解惑,增强产业界信心。 由于编制时间仓促、水平有限,报告难免存在疏漏,欢迎大家批评指正。 联系方式:gongshiran@caict.ac.cn 编 制 单 位 中国信息通信研究院云计算与大数据研究所、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国联合网络通信有限公司研究院、中国移动通信集团江苏有限公司、中国人寿保险(集团)公司、中国平安人寿保险股份有限公司、华泰证券股份有限公司、天翼电子商务有限公司、西部证券股份有限公司、中国航天科工集团航天情报与信息研究所、国家电网有限公司、重庆长安汽车股份有限公司、赛力斯集团股份有限公司、北京银行股份有限公司、北京五八信息技术有限公司、杭州美创科技股份有限公司、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、联通数字科技有限公司、杭州比智科技有限公司、全知科技(杭州)有限责任公司、腾讯科技(深圳)有限公司、北京亿赛通科技发展有限责任公司、北京塔斯数据技术有限公司、天道金科股份有限公司、杭州薮猫科技有限公司、深圳市联软科技股份有限公司、北京数字认证股份有限公司、杭州数梦工场科技有限公司、安徽辰图大数据科技有限公司、北京数安行科技有限公司、北京炼石网络技术有限公司、南京聚铭网络科技有限公司、杭州安恒信息技术股份有限公司、阿里云计算有限公司、厦门服云信息科技有限公司、深圳市华傲数据技术有限公司、杭州极盾数字科技有限公司。 编 制 工 作 组 龚诗然、张亚兰、李雪妮、李天阳、张越、郝志婧、刘雪花 编 制 专 家 龚诗然、张亚兰、温暖、王勇、李冰、王志宇、周莹、李文琦、刘飞龙、钱江洪、陈豪、曹咪、陶冶、吴璟、姬长鹏、刘洋、张啸雷、马宁、张扬、柯淑馨、江旺、张炎、周思佳、谢云鹏、洪雪莲、许琛超、邢骁、姜娜、全晓东、李超、张立鹏、张强强、刘斌、苏辉、李鹏、王会宴、杨力、王思涵、朱梦瑶、李娜(北京银行)、王基安、刘蕾、柳遵梁、应以峰、叶桦、朱朔漫、楚赟、苏文亭、梁伟、王玮、艾龙、谢雄、马明、赵宁、周莉、王笑晨、任兴、崔玲龙、何徐麒、曾云、崔壤丹、李滨、姬生利、乐元、张林成、刘灿、张艺伟、梁步庭、李楷、胡国华、卓柳俊、王振东、张红露、王同新、张赣、毛靖文、傅娅兰、陈洪运、宫小茜、郭丽颖、胡嘉伟、甘长华、翟培康、关中华、项宇欣、刘玉红、赵倩、唐开达、陈虎、高柱、徐道晨、 李 娜 ( 阿 里 云 )、杨智垄、何旭珩、查浩奇。 目录CONTENTS 一、数据安全风险评估工作背景 (一) 数据安全风险形势日益严峻1.数据泄露:持续呈现高发态势2.数据破坏:勒索攻击危害显著3.数据窃取:组织“内鬼”作案猖獗(二) 组织风险防范面临监管考验(三) 新技术应用暗藏新型风险0 10 102020203 二、数据安全风险评估工作现状 (一) 风险评估已成业界焦点(二) 评估标准编制进程加快(三) 评估实施方法逐渐成熟050710 三、实务问题剖析与解决思路 (一) 评估准备1 3 1.如何确定评估触发条件1 3 2.如何制定评估工作目标1 5 3.如何规划评估实施范围1 6 (二) 评估实施1 8 1.如何获取有效评估信息1 8 2.如何应用风险评估工具1 9 (三) 评估总结23 1.如何充分应用评估结果23 四、数据安全风险评估工作建议 (一) 建立数据安全风险评估机制(二) 构建数据安全风险治理框架(三) 完善数据安全风险治理体系252525 附录: 中国信通院云大所实务索引 图目录 图1 数据安全风险基本要素关系图2 风险矩阵(示例)图3 数据风险治理基本框架11202 6 表目录 表1 数据安全风险评估标准发展、演进一览表2 数据安全风险评估实施流程与产出物表3 数据安全风险评估适用情形表4 评估适用情形检查表(示例)表5 重点评估对象(示例)表6 数据安全风险危害程度(节选)表7 数据级别赋值(示例)表8 数据安全风险危害程度等级参考(节选)表9 安全声明(模板)表10 实务索引081 21314172122232427 一 . 数 据 安 全 风 险 评 估 工 作 背 景 全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生,严重危害了国家、社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显增多,数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事件,是全球数字经济发展下的重点问题。 本章节将总结国际、国内数据安全风险形势,分析广大组织面临的各类数据安全风险以及日趋严格的监管合规要求,阐述了组织加强数据安全风险防范的必要性。 (一)数据安全风险形势日益严峻 1.数据泄露:持续呈现高发态势 全球数据泄露事件持续高发。统计数据显示,仅2021年全球范围内公开披露的数据泄露事件已超过四千起,涉及超过200亿条数据。进入2023年,数据泄露的趋势似乎并未得到缓解:2023年4月,威胁猎人发布的《2023年Q1数据资产泄露分析报告》显示,仅2023年第一季度就已发生近千余起数据泄露事件,这些事件涉及上千家组织、近四十个行业。例如,Twitter在2023年1月遭遇了数据泄露事件,包括用户电子邮件地址、姓名等2亿条个人信息被泄露。2023年2月,全美最大的综合医疗服务网络HeritageProvider Network遭遇勒索软件攻击,导致多个医疗机构大量敏感信息泄露。2023年2月,Telegram各大频道突然大面积转发某隐私查询机器人链接,该机器人泄露了大量来自我国各快递、电商平台的个人信息,包含了用户的真实姓名、电话与住址等,数据量高达45亿条。 组织数据安全保障压力倍增。2020年,某电商的客户数据泄露导致不法分子冒充客服对全国二十多个城市的受害者进行了电话诈骗,受害者的被骗金额为几千到十几万元不等。2023年8月,公安部公布了打击侵犯公民个人信息犯罪的十大典型案例,其中黑灰产组织窃取、利用组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾区”,组织面对无孔不入的黑灰产组织,在数据安全风险应对上压力倍增。 数据泄露事件为组织带来的损失也在逐年走高。组织数字化转型加快,对数据依赖程度随之加深,数据一旦泄露给组织带来的损失也更加严重。根据IBM《2023年数据泄露成本报告》显示,组织数据泄露事件平均成本达到445万美元,较2022年的435万美元增长2.3%,而较2020年的386万美元则足足增长了15.3%,现已创下历史新高。 2.数据破坏:勒索攻击危害显著 有针 对 性 的 数 据 勒 索 与 破 坏 事 件 愈 演 愈 烈 。随 着 全 球 各 行 业 领 域 的 组 织 数 字 化 转 型程 度 加 深 , 其 系 统 及 承 载 的 数 据 重 要 程 度 也 随 之 提 升 , 其 中 的 关 键 数 据 更 是 组 织 业 务 运行 命 脉 , 一 旦 这 些 关 键 数 据 遭 到 破 坏 , 将 面 临 业 务 中 断 、 信 息 系 统 或 网 络 服 务 瘫 痪 , 严重 的 后 果 可 能 是 长 期 业 务 受 损 , 客 户 信 息 、 商 业 机 密 等 重 要 数 据 泄 露 , 给 组 织 带 来 重 大的 经 济 损 失 和 声 誉 损 失 。 而 近 年 来 , 针 对 政 府 机 构 、 知 名 组 织 的 数 据 勒 索 、 破 坏 事 件 也持 续 增 加 : 202 2 年 , 哥 斯 达 黎 加 政 府 遭 遇 C o n t i 勒 索 软 件 团 伙 攻 击 , 国 家 财 政 部 数 个 T B的 数 据 以 及 8 0 0 多 台 服 务 器 受 到 此 次 攻 击 影 响 , 国 内 数 字 税 务 服 务 、 海 关 控 制 I T 系 统 以及 医 疗 保 健 系 统 在 多 轮 攻 击 下 接 连 瘫 痪 、 被 迫 下 线 , 导 致 国 内 医 疗 保 健 系 统 陷 入 混 乱 。同年,法国巴黎的一家医院Center Hospitalier Sud Francilien(以下简称CHSF)遭遇 网 络 攻 击 并 被 勒 索 1 0 0 0 万 美 元 作 为 解 密 密 钥 的 赎 金 。 此 次 攻 击 直 接 导 致 了 C H S F 多 个业 务 软 件 、 医 学 影 像 存 储 系 统 无 法 访 问 , 大 量 医 疗 数 据 被 加 密 迫 使 医 院 推 迟 多 台 手 术 计划,大量患者被临时转诊至其他机构,这严重威胁了当地的急、重病患者生命安全。 3.数据窃取:组织“内鬼”作案猖獗 来自 “ 内 鬼 ” 的 数 据 窃 取 也 令 组 织 防 不 胜 防 。2023年6月6日,Verizon发布了《2023年度数据泄露调查报告》(2023 Data Breach Investigations Report,简称DBIR),分 析 了 从 20 1 7 年 以 来 的 1 6 3 1 2 起 安 全 事 件 和 5 1 9 9 起 数 据 泄 露 事 件 , 指 出 74 % 的 泄 露 事 件由 人 为 因 素 造 成 的 , 约 五 分 之 一 的 数 据 泄 露 事 件 来 自 于 组 织 的 内 部 。 组 织 收 集 、 存 储 了大 量 用 户 的 个 人 信 息 数 据 , 一 旦 组 织 内 部 出 现 了 特 权 账 号 滥 用 、 数 据 权 限 分 配 不 清 、 人员 利 用 越 权 访 问 漏 洞 等 问 题 , 将 直 接 导 致 拥 有 内 部 人 员 对 其 获 取 的 数 据 进 行 不 正 当 的 使用 或 者 窃 取 。 2 023 年 5 月 , 特 斯 拉 两 名 员 工 违 规 挪 用 、 泄 露 了 包 括 员 工 个 人 信 息 、 客 户银 行 信 息 、 生 产 信 息 在 内 的 1 0 0 G B 数 据 , 影 响 超 过 7. 5 万 人 。 无 独 有 偶 , 2023 年 7 月 , 日本通信运营商NTT DOCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息,这些案件均有力证明了组织“内鬼”窃取数据的危害。 (二)组织风险防范面临监
