新形势下安全风险评估实践 - 乔智明_货拉拉

货拉拉安全风险评估报告总结

1. 安全风险评估的内容扩展

• 依据：公安网络安全监督检查、《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，以及相关安全新闻和事件。
• 对象：从传统的主机、网络、系统等资产扩展到APP隐私合规评估、业务活动数据安全评估、组织或单位合规评估。
• 理念：从保密性、完整性、可用性（CIA）扩展到PIA（个人信息保护影响评估），强调用户权益和公平公正原则。

2. 安全风险评估的需求扩展

• 需求：评估目的、评估对象、评估依据、评估资源、评估实施流程、风险管理。
• 特点：注重全面性和有效性，周期较长，强调PDCA流程，具有一定的强制性，通常由第三方开展。

3. 评估流程

• 组织流程：明确评估目的、评估对象、评估依据，组建评估团队，准备评估工具，确定评估时间。
• 实施流程：识别资产，评估数据和数据处理活动，进行系统、应用、网络脆弱性评估，合规评估，风险计算和处置。
• 决策：评估实施人员提出建议，评估对象负责人做出决策。

4. 应用结果

• 改进措施：根据评估结果进行技术措施、管理制度和流程的补充和完善。
• 持续监测：持续监测和追踪整改结果，不断优化和固化风险评估流程。

5. 动态环境影响

• 法律法规：持续追踪新法新规的修订与制定，关注网络安全事件和APP违法违规通报中的问题。
• 外部事件：外部事件对风险评估和处置决策产生重要影响。

关注

• 安世加：专注于网络安全行业，通过多种形式促进交流合作，培养安全人才，提升行业整体素质，助力安全生态圈健康发展。