企业数据安全风险管理指南
AI智能总结
©2023国际云安全联盟大中华区版权所有1 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《企业数据安全风险管理指南》由CSA大中华区数据安全工作组内企业数据安全风险管理项目组专家撰写,感谢以下专家的贡献: 项目组组长:艾龙 原创作者:陈吴栋 董雁超 方伟 付宗玉 郭海骏 贺志生 黄瑞 雷钰婷 刘楚楚 鹿淑煜 潘万鹏 王皓然 王辉 王良河 谢琴 薛恺袁荣婷审核专家:董雁超 杨天识张涛乐元 杨岁立赵宇刘楚楚 杨学治周泽元潘万鹏 俞华辰谢江 谢琴 杨天识 吕鹂啸 郭鹏程 姚凯 研究协调员:卜宋博贡献单位: 北京江南天安科技有限公司北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司北京神州数码云计算有限公司 北森云计算有限公司格尔软件股份有限公司 广州赛宝认证中心服务有限公司广州熠数信息技术有限公司贵州电网有限责任公司信息中心杭州虎符网络有限公司 杭州美创科技股份有限公司任子行网络技术股份有限公司三六零数字安全科技集团有限公司三未信安科技股份有限公司上海观安信息技术股份有限公司上海众人智能科技有限公司 深信服科技股份有限公司深圳国家金融科技测评中心有限公司 深圳市联软科技股份有限公司深圳市智安网络有限公司 苏州云至深技术有限公司腾讯云计算(北京)有限责任公司 浙江大华技术股份有限公司中兴通讯股份有限公司 (以上排名不分先后) 关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-csa.cn/research/)上查看。 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 序言 数字经济已经成为当今社会快速发展的主流经济,越来越多的国家和企业加速谋划和布局数字经济,抢占发展制高点。我国“十四五”规划中明确提出“加快数字化发展、建设数字中国”的目标,《数字中国建设整体布局规划》发布,在此背景下,我国正处于数字化转型的关键时期,数字技术成为核心引擎,数据成为新的生产要素。云计算、大数据、物联网、人工智能、区块链等新技术正在不断地应用和创新,对数据的开发利用和风险管控已成为当今甚至将来很长一段时间内的热点话题。数据从资源形态通过价值释放转变为资产,通过不断地应用和流通进阶为新的生产要素。数据要素驱动产业数字化转型已经成为全球共识。随着数字技术与实体产业、实体经济的不断融合,各类数字化技术对数据充分地开发和利用,数字空间正在不断的影响和改变着我们生产和生活的方方面面。一方面是物理世界对数字空间的依存度增加了,另一方面是数字空间对物理世界产生的影响、带来的安全风险也将会更大。所以在数字空间视角下,我们认为数据安全的内涵与外延正在不断的扩展。 新事物的发展必然带来变化和不确定性,随着数字化转型的不断深化,数据在不同的主体、不同的场景下以不同的形态在不断地流转与应用,随之带来的数据泄露、数据破坏、数据违法违规使用等等各类数据安全事件也是层出不穷。传统的信息安全风险管理方法已不再适用当今高速发展和不断变化的数字化业务,也无法实现数据全生命周期过程的风险管控。 我国《数据安全法》第二章第十八条中明确提及“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。” 综上,以合规遵循、业务发展、风险防控等多方面需求驱动,本文构建了以数据为中心的风险管理框架,在充分分析各类数据处理活动场景所面临的数据安全风险的基础上,从数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险监督改进、数据安全风险沟通与评审等六大方面给出了切实可行的管理方法,以及通过20套附录工具提供了详尽的实践思路,期望能够为各企业数据安全从业者提供参考和帮助。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢4 序言6 1数据安全政策和背景9 1.1数字经济发展现状9 1.2数据安全政策现状13 2数据安全风险管理概述26 2.1数据生命周期处理活动概述26 2.2数据安全风险概述28 2.3数据安全风险影响分析30 2.4数据安全风险管理的必要性33 3数据安全风险管理34 3.1数据安全风险管理框架34 3.2数据安全风险管理规划36 3.3数据处理活动管理39 3.4数据安全风险评估44 3.5数据安全风险处置50 3.6数据安全风险监督改进51 3.7数据安全风险沟通与评审57 4企业数据安全风险管理典型实践60 4.1企业数字化建设背景60 4.2企业数据安全风险管理实践62 附录A:数据安全风险赋值表67 A.1数据重要程度赋值表67 A.2脆弱性可利用性赋值表67 A.3威胁动机赋值表67 A.4威胁能力赋值表68 A.5威胁发生频率赋值表68 附录B:数据安全风险管理工具模板69 B.1数据清单69 B.2数据处理活动场景清单69 B.3已有安全措施清单70 B.4脆弱性清单70 B.5应用场景脆弱性严重程度70 B.6数据脆弱性严重程度70 B.7数据脆弱性可造成的损失70 B.8数据安全威胁清单71 B.9风险清单71 B.10数据风险值计算结果清单71 B.11风险处置建议清单71 附录C:数据安全风险分析资料清单71 C.1常见脆弱性示例71 C.2数据安全威胁与脆弱性的利用关系示例81 C.3数据安全风险等级划分参考表94 C.4数据安全风险评估报告参考模板95 参考文献97 1数据安全政策和背景 1.1数字经济发展现状 1.1.1数字经济的概念界定和分类范围 进入数字经济时代,世界各国对数据的依赖快速上升,数据已成为国家基础性战略资源,对社会生活方式、经济运行机制、国家治理能力等产生重要影响。 数字经济,是指以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。 中国信通院发布的《中国数字经济发展报告(2022)》显示,2021年我国数字经济规模达到45.5万亿元,同比名义增长16.2%,高于同期GDP名义增速3.4%,占GDP比重达到39.8%。 “十三五”期间,我国数字经济增长主要体现在网上购物、移动支付、在线教育、短视频等领域。 “十四五”规划纲要中明确指出,进一步发展云计算、大数据、物联网、工业互联网、区块链、人工智能、VR与AR、数字社会建设等七大数字经济重点产业,意味着数字经济正在成为国家的重点发展对象。 根据国家统计局发布的《数字经济及其核心产业统计分类(2021)》,数字经济产业范围被确定为:1数字产品制造业、2数字产品服务业、3数字技术应用业、4数字要素驱动业、5数字化效率提升业等5个大类。 数字经济核心产业是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案,以及完全依赖于数字技术、数据要素的各类经济活动。分类中1-4大类为数字经济核心产业:主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等,是数字经济发展的基础;第5大类为产业数字化部分,指应用数字技术和数据资源为传统产业带来的产出增加和效率提升,是数字技术与实体经济的融合。如图1所示: 图1数字经济及其核心产业统计分类图 1.1.2我国主要区域相关政策和发展目标 目前,我国各省市已陆续出台数字经济相关规划、行动计划、指导意见等,涵盖数字经济、制造业与互联网融合、智慧城市、数字政府等领域,持续推动数字经济战略政策落地实施。 2021年我国各省市共出台216个数字经济相关政策,其中,32个顶层设计政策、6个数据价值化政策、35个数字产业化政策、54个产业数字化政策、89个数字化治理政策。 我国数字经济发展具有区域聚集特征,京津冀、长三角、珠三角、川渝等区域成为我国数字经济发展的核心区域,这些区域的数字经济发展目标在相关政策文件中基本明确,如表1所示: 表1各区域数字经济发展目标表 省(市) 所属区域 政策文件 发展目标 打造成为全国数字经济发展的先 《北京市促进数字经济创新 北京 发展行动纲要(2020-2022年)》 导区和示范区;到2022年,数字经济增加值占地区GDP比重达到55%。 天津 《天津市促进数字经济发展 到2023年,数字经济占GDP比重全国领先,力争把滨海新区打造成 行动方案(2019-2023年)》 京津冀 为国家数字经济示范区。到2022年,基本形成以大数据产业、制造业数字化、服务业数字化、 《河北省数字经济发展规划 电子信息产业为支撑的数字经济 河北 (2020-2025年)》 发展格局;到2025年,全省电子信息产业主营业务收入突破5000亿元。到2025年,上海全面推进城市数字化转型取得显著成效,国际数字 《关于全面推进上海城市数 上海 字化转型的意见》 之都建设形成基本框架;到2035年,成为具有世界影响力的国际数字之都。 长三角 《浙江省国家数字经济创新 到2022年,浙江数字经济增加值要达到4万亿元以上,占全省国民经济生产总值比重超过55%,基本建成全国领先的数字政府先行区、 浙江 发展试验区建设工作方案》 数字经济体制机制创新先导区、数字社会发展样板区、数字产业化发展引领区和产业数字化转型标杆区。 江苏 《关于深入推进数字经济发展的意见》 以建设数字经济强省为总目标,全力打造具有世界影响力的数字技术创新、国际竞争力的数字产业发展、未来引领力的数字社会建设和全球吸引力的数字开放合作“4”大高地。 广东 珠三角 《广东省培育数字经济产业集群行动计划(2019-2025年)》 建成“国家数字经济发展先导区”,力争2022年数字经济规模达7万亿元,占GDP比重接近55%。 深圳 《深圳市数字经济产业创新发展实施方案(征求意见稿)》 到2022年,全市数字经济产业增加值突破2400亿元,年均增速15%左右;努力建成全国领先、全球一流的数字经济产业创新发展引领城市。 佛山 《佛山市推动数字经济发展实施方案》 2035年全市数字经济总体规模达2万亿元,努力将佛山打造成全国数字经济发展标杆城市之一。 重庆 川渝 《重庆建设国家数字经济创新发展试验区工作方案》 力争到2022年,数字经济总量达到万亿级规模,占GDP比重达到40%以上。 四川 《国家数字经济创新发展试验区(四川)建设工作方案》 力争到2022年,全省数字经济规模超过2万亿元,占GDP比重达到40%。 成都 《成都市推进数字经济发展实施方案》 到2022年,基本形成较为完善的数字经济生态体系,数字经济重点领域产业规模超过3000亿元。 1.1.3数字经济时代的数据安全治理 数据已经成为数字经济时代发展的核心生产要素,数据的安全保护和合法共享也被视为数字经济发展的重大挑战。 从产业发展规律来看,数据安全作为新兴产业,仍面临制度体系、技术和管理体系、产品体系、标准体系、人才体系、评价体系、生态体系等不完备的问题,对产业及企业发展形成诸多制约。 现阶段,国家、行业主管部门的法律法规不断出台,产业、行业的标准规范也在加紧编制、发布,以数据安全合规和数据安全治理为主题发布的白皮书层出不穷,为各行业落实数据安全法律法规要求和初步试行数据安全治理提供了有效的参考和依据。但是,由于数据确权、敏感数据识别、数据流转保护等法律、技术难题的客观存在,从具体行业应用场景来讲,有效、可靠、方便、可负担的解决方案
