咨询服务 | 企业为什么要开展数据安全风险评估？怎么开展？

咨询服务上篇文章《咨询服务 | 数据安全评估、风险评估、合规评估……概念如何界定？》，我们从组织形式、触发场景、开展阶段、评估结论几个维度，介绍了数据安全评估的几种类型。下面，我们将聚焦数据安全风险评估，对该服务的含义、必要性、评估依据和实施方法进行介绍。

什么是数据安全风险评估？

数据安全风险评估是以主动发现潜在的安全风险为目标，基于合规要求和行业优秀实践，运用科学、自动化的方法和手段，识别分析组织数据资产以及在采集、存储、传输、使用、加工、处理、销毁等相关处理活动中面临的风险，最终输出风险等级判断和整改意见的服务。相比数据出境安全评估、个人信息安全影响评估（PIA），数据安全风险评估是日常性、连续性的，评估对象范围更灵活，既可以包含整个数据处理者和处理场景，也可聚焦具体业务场景和数据处理系统。

为什么要开展数据安全风险评估？

数字经济背景下，数据总量爆炸式增长，数据价值凸显、流通场景复杂多样，数据安全风险日益严峻；同时，数据成国家基础战略性资源，数据安全合规体系逐步完善，数据安全监管趋严。各类企业面临满足安全要求和合规要求的双向风险。数据安全风险评估可帮助企业发现数据安全潜在风险、识别数据安全合规差距，并以实现数据安全管理和技术手段有效联动为出发点，提出更有针对性的数据安全工作落地方案。

开展数据安全风险评估有何依据？

当前开展数据安全风险评估可参考依据包括《信息安全技术 大数据安全管理指南》《信息安全技术 信息安全风险评估方法》《网络安全标准实践指南——网络数据安全风险评估实施指引》等通用标准，以及《工业领域数据安全风险评估实施指南（征求意见稿）》《电信和互联网数据安全风险评估实施方法》《互联网新技术新业务安全评估要求 大数据技术应用与服务》等行业标准。综合分析来看，指导标准以确定风险要素、识别风险隐患、形成风险评估报告为整体路径，围绕数据（本身存在脆弱性）、数据处理活动（过程中存在管理或技术脆弱性）、数据安全措施（降低脆弱性被利用的可能性）三大要素展开评估，最终判断风险发生可能性和风险发生后的影响，得出评估结论。

如何开展数据安全风险评估

数据安全风险评估实施工作包括评估准备、信息调研、风险识别、综合分析、评估总结五个环节。评估准备阶段，通过确定评估目标、明确评估范围、组建评估团队等前期准备工作，制定数据安全现状调研表和整体评估方案。信息调研阶段，对数据资产、数据处理者、数据处理活动、业务和信息系统、安全防护措施展开调研，输出数据资产清单、数据处理者基本情况、数据处理活动清单、业务信息系统清单、数据安全措施使用情况等一系列调研结果。风险识别阶段，基于特定的风险评估清单，采用文档查阅、安全核查、人员访谈、技术检测等手段，从管理、技术、应用等方面开展风险识别，形成识别结果。综合分析阶段，基于识别结果，整体考虑数据价值、风险隐患严重程度、安全措施有效性和完备性等因素后，给出存在的主要问题、数据安全风险情况和整改建议。评估总结阶段，对项目各阶段交付物内容总结、分析，形成《数据安全风险评估报告》和《数据安全下一步建设方案》。

在实施过程中，确定数据安全风险评估范围和深度，根据实际情况完善风险评估模板，形成适用于具体行业、具体企业的风险评估项和风险分析策略至关重要。对企业的数据安全管理能力进行整体评估，针对关键系统、重要场景、高敏感数据的技术防护能力进行专项评估，以可能引发的安全事件为判定视角，以细粒度完善数据安全管理流程、聚焦性补齐数据安全技术措施为整改原则，有助于提高数据安全风险评估工作的效率和效果。

咨询服务下篇文章，我们将为大家呈现亿赛通数据安全风险评估方案，并分享从实际项目中获得的经验，敬请期待~