《数据安全风险评估报告(对标网络数据安全风险评估实施指引).docx》由会员分享,可在线阅读,更多相关《数据安全风险评估报告(对标网络数据安全风险评估实施指引).docx(14页珍藏版)》请在第一文库网上搜索。
1、数据安全风险评估报告评估单位:评估系统:时间:一、评估摘要为履行网络安全法、数据安全法、个人信息保护法关于数据安全管理的要求,确保企业数据安全管理工作合法合规,依据网络安全标准实践指南-网络数据安全风险评估实施指引通过访谈、检查、测试等方式,对本系统涉及的数据处理活动开展了安全风险评估工作。评估发现本系统涉及的数据处理活动,处理数据的目的、范围、方式均合法、正当、必要:综合分析数据安全事件发生的可能性等级以及对国家、经济、网络、社会、科技安全影响程度两个方面的因数,研判得出本系统涉及的数据处理活动安全风险等级为:低风险。体系统涉及数据处理活动的网络环境和技术措施、管理制度和处理流程、参与人员和
2、第三方管理、业务特点和安全态势目前均处于可控状态,可有效降低重要数据泄露、损毁等风险。但在未部署数据防泄漏系统方面仍存在不足,尚需进一步改进。I批注:需依据总体修改二、评估概述2.1评估背景近年来数据泄露事件频发,危害公民权益和生命财产安全,更对国家安全、社会经济和公共秩序造成严重影响。针对数据安全,国家“十四五”规划强调保障国家数据安全加强个人信息保护,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。在法律法规方面国家已出台网络安全法、数据安全法、个人信息保护法等一系列法律法规。同时为确保数据安全工作落实至IJ位,I工信部!在|省级基础电信企业网络与
3、信息安全工作考核要点核评分标准|1批注:校杳单位.名称对I电信I领域企业数据安全管提出了监管要求。F注:检查要求为履行网络安全法、数据安全法、个人信息保护法要求的社会批注【.涉及领域责任,进一步加强数据安全管理工作,提高数据安全保护水平,确保企业数据安全管理工作合法合规,根据I工信部!监管要求以及网络安全标准实践指南-网络批注:检杳单位名称数据安全风险评估实施指引,特组织开展了本次数据安全风险评估工作。2.2评估目的本次评估旨在通过系统地识别、分析、评估数据安全风险,以发现数据安全隐患、防范数据泄露、滥用、丢失等安全事件的可能性,保护数据的机密性、完整性和可用性,保障数据的安全和稳定。同时,使
4、数据安全管理更加科学化、规范化和有效化,提高企业对数据安全风险的认知和掌控,减少数据安全风险对企业造成的损失和影响。1)通过信息数据资产调查,得出数据资产状况,并建立数据资产库。2)通过数据安全风险评估,得到数据安全整体现状。3)根据数据安全规划,设计数据安全解决方案,实施方案等,指导下步安全建设工作。2.3评估方法开展数据安全风险评估时,综合采取下列手段进行评估:a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况;b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料;c)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备
5、安全策略、配置、防护措施情况:d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。2.4评估团队本次数据安全风险评估团队主要由专业第三方数据安全公司、被测单位数据安全负责人、数据相关系统管理人员等组成。姓名单位/部门职务职责分工2.5评估时间评估准备阶段:向XXX有限公司收集系统相关信息,了解系统基本情况,收集系统相关管理制度资料文档,确认数据资产分布情况、数据处理活动范围、已有安全防护措施。评估实施阶段:评估人员对系统相关人员进行了现场调研,通过人员访谈、系统查看、评测验证等多种方式对系统的数据安全风险保障能力进行了核实验证。评估总结阶段:针对系统数据安全管理及保
6、障措施,提出系统后续发展中管理及技术保障能力改进方向及重点,并与企业相关部门人员召开会议进行确认,对评估结果达成了一致意见。整改复查阶段:根据已检查到的数据安全风险,形成数据风险清单,与企业数据安全责任人核实复查整改情况,依据数据处理者决定的风险处置措施,结合风险识别和评估方法,预判措施有效性和残余风险,形成记录。2. 6评估依据本次为XX单位提供的数据安全风险评估,参考的安全相关标准如下: 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 信息安全技术个人信息安全规范GB/T35273-2023 网络安全等级保护基本要求GB/T22239-2019 网络安全标
7、准实践指南-网络数据安全风险评估实施指引征求意见稿 I1j批注6:行标、集团要求、三、准备阶段3.1 数据处理者调研3.1.1 单位基本信息类别内容单位名称单位性质单位人员规模法定代表人信息主营业务范围组织机构代码所属行业领域单位地址是否(计划)境外上市数据处理基本信息类别内容数据安全负责人及职务联系方式企业是否属于特定类型数据处理者开展数据处理活动所在行政区划数据处理相关服务取得行政许可情况对国家安全、公共利益、公民和组织合法权益的影响XX公司为XX公司控制全股,持股比例100%。(1)股权结构:(2)实际控制人信息:3.2业务与信息系统调研/3.2.1网络和信息系统基本情况批注18):应包
8、含内容:(1)系统名称(2)网络规模(3)拓扑结构(4)对外情况(5)系统功能概述(6)对外连接、运营维护等情况(7)是否为关键信息基础设3.2.2业务基本信息I3.2.3业务提供政府或境外情况3.2.4第三方产品接入情况批注9):应包含内容:(1)业务描述(2)业务类型(3)服务对象(4)业务流程(5)用户规模(6)履盖地域,批注a。1:应包含内容:/接入的外部第三方产品.服务或SDK的情况包括名称、版本、提供方使用目的.合同冰议等3.3数据资产调研3. 3.1数据资产概况数据项名称数据总量数据资产类型数据席表字段规模数据:变化情况境外存数据分布3. 3.2数据分类分级情况/批注11:叙述分
9、类分毁情况、是否符合国家标准和行/业管理规范等4. 3.3个人信息情况个人信息名称数据规模数据敏感程度数据来源业务流转情况5. 3.4重要数据情况要数据项名斡数据规模涉及行业1城数据敏感程度数据来源业务漉转情况核心数据项名称数据规模涉及行业领城数据敏感程度数据来源业务流转情况3.4数据处理活动调研3.4.1 数据收集情况数据收集渠道收集方式数据范围收集目的收的率外部数据源合同协议3.4.2 2数据存储情况数据存储方式数据中心存储系统(如数据库、大数据平台、云存储、网盘、存储介质等)外部存储机构存储地点存储期限备份冗余策略3.4.3 4.3数据传输情况数据传输途径和方式传,协议内部数据共享情况数
10、据接口3.4.4 数据使用和加工情况数据使用目的和方式敷据使用范围数据使用场景数据清洗、转换、标注等加工情况敏感数据处理情况3. 4.5数据提供情况数据提供目的和方式数据提供范围数据接收方合同办议提供敏感效据虹提供敏感数据范围敏感程度数据保存期限3.4.6数据公开情况数据公开目的和方式公开对象莅H受众数爱涉及行业涉及地域涉及如R3.4.7数据删除情况数据副除情形数据除方式数据归档情况介房销毁情况3.4.8数据出境情况境外接收系统出境数据类型出境敏感数据类型及程度出境数据量境外数据中心情况出境数据使用情况3. 5安全防护措施调研批注口讣进行概述,内容包括:/a)巳开展的等级保护测评、商用密码应用
11、安全性评估、安全检四、风险评估4.1 数据安全管理风险4.1.1 安全管理制度4.1.2 安全组织机构4.1.3 分类分级管理4.1.4 人员安全管理测.风跄评估.安全认证、合规审计情况;13b)数据安全管理机构、人员及制度情况:c)防火墙,入侵检测、入侵防御等网络安全设备及策电情况;1)网络访问控制和身份要别情况;c)网络安全漏洞管理及修曳情况;f)VPN等远程管理软件的用户及管理情况;g)设备、系统及用户的账号口令管理情况;h)加密.脱敏、匿名化、去标识化等安全技术应用情况:1) 3年内发生的网珞和数据安全事件及处置情况4.1.5合作外包管理4.1.6安全应急管理4.1.7开发运维管理4.
12、1.8云数据安全4. 2数据处理活动风险4.2.1数据收集4 .2.2数据存储5 .2.4数据使用和加工4. 2.5数据提供4. 2.6数据公开4. 2.7数据删除4. 3数据安全技术风险4.3.1网络安全防护4.3.2身份鉴别与访问控制4.3.3监测预警4.3.4数据脱敏4.3.5数据防泄漏4.3.6数据接口安全4.3.7数据备份恢复4.3.8安全审计4.4个人信息保护风险4.4.1个人信息处理基本原则4.4.2个人信息告知4.4.3个人信息同意4.4.4个人信息处理4.4.5敏感个人信息处理4.4.6个人信息主体权利4.4.7个人信息安全义务五、综合分析数据安全风险分析,主要在数据安全风险
13、识别的基础上,分析数据、数据处理活动、数据安全风险源、数据安全措施之间的关系,并从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源或问题可能带来的数据安全风险,形成初步的数据安全风险清单。初步风险清单,至少应针对各项风险源或问题,列出风险类别、风险源或问题描述、风险描述、已采取的安全措施、涉及的数据、涉及的数据处理活动、评估情况描述等内容。5.1风险问题清单序号风险类别风除K或问题风险描述采取的安全指风险W风险他害程度风险发生的可能性涉及的数据涉及的效据处理活动评估情况描述数据存在非安全法方式Xxxx无重大很高高个人收集、存活动获取数X信息储风险据5.2风险整改建议评估人员结合实际情况,对发现的数据安全风险提出处置建议,酌情指导数据处理者整改。数据处理者按照组织的风险接受规则,制定相应的数据安全风险处置方案。常见数据安全风险处置措施包括不限于以下选项:a)停止收集某些类型的数据;b)预处理阶段对某些类型数据进行销毁