大数据安全评估与测评技术

大数据安全评估与测评技术 演讲者：刘尧昌 01 政策法规 02 大数据安全评估与测评 目 录 C O N T E N T S 目 录 C O N T E N T S 02 大数据安全 评估与测评 01 政策法规 全球数据安全政策汇总 引用炼石网络 数据安全法律法规 ISO 27005 信息安全风险评估标准 ISO 31000 风险评估标准 《中华人民共和国数据安全法》 《工业企业数据安全防护要求（草案）》 《工业领域重要数据和核心数据识别规则（草案）》 《工业和信息化领域数据安全管理办法（试行）》 《工业领域数据安全标准体系建设指南（2023版）》（征求意见稿） 《工业数据安全评估指南（草案）》 《数据出境安全评估办法》 GB/T 27921-2023 《风险管理 风险评估技术》 GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》 GB/T 31509-2015 《信息安全技术 信息安全风险评估实施指南》 GB/T 36466-2018 《信息安全技术 工业控制系统风险评估实施指南》 GB/T 26333-2010 《工业控制网络安全风险评估规范》 中华人民共和国数据安全法 中华人民共和国数据安全法-重要条款总结 中华人民共和国个人信息保护法 网络数据安全管理条例（征求意见稿） 网络数据分类分级要求（征求意见稿） 工业和信息化领域数据安全管理办法（试行） 2022年12月，文件再次公开征求意见：新增无线电数据、个人信息保护相关要求。 第一章 总则 第二章 数据分类分级管理 第三章 数据全生命周期安全管理 第六章 监督检查 第四章 数据安全监测预警与应急管理 第七章 法律责任 第五章 数据安全检测、认证、评估管理 第八章 附则 目的依据 适用范围 数据定义 监管机构 产业发展 标准制定 分类分级工作要求 分类分级方法 一般数据 重要数据 核心数据 数据目录备案 主体责任 数据提供 委托处理 跨主体处理 数据收集 数据存储 数据传输 数据销毁 数据使用加工 数据转移 数据公开 数据出境 日志留存 监测预警机制 应急处置 信息上报共享 举报投诉处理 安全检测与认证 监督检查 和协助义务 数据安全审查 保密要求 约谈整改 法律责任 个人 信息 保护 其他 规定 参照 政务 数据 排除 国防 科工 烟草 领域 施行 日期 安全评估 工业和信息化领域数据安全管理办法（试行） •安全检测与认证：鼓励、引导具有相应资质的机构，依据相关标准开展行业数据安全检测、认证工作； •安全评估： • 工业和信息化部：制定评估机构管理制度和规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作； • 地方工业和信息化主管部门、通信管理局和无线电管理机构：组织开展本地区数据评估工作； • 工业和信息化领域重要数据和核心数据处理者：自行或委托第三方评估机构，每年至少开展一次安全评估，及时整改风险问题，并报送评估报告。 行业（领域） 监管部门 工业和信息化部 地方工业 和信息化主管部门 地方通信管理局 地方无线电管理机构 促进产业发展 推动标准规定 督促指导下级单位 监督管理本地 工业数据处理者 监督管理本地区电信数据处理者 监督管理本地区无线电数据处理者 核心数据、重要数据判别 《网络数据安全管理条例（征求意见稿）》 第七十三条（四）：核心数据是指关系国家安全、国家经济命脉、重要民生和重大公共利益等的数据； 第七十三条（三）：重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。 1 未公开的政务数据工作秘密、情报数据和执法司法数据; 2 出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据: 3 国 家 法 律 、行 政 法 规 、部 门 规 章 明确 规 定 需 要保 护 或 者 控制 传 播 的 国家 经 济 运 行数 据 、 重 要行 业 业 务 数据 、 统 计 数据等: 4 工业、电信、能源交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产运行的数据，关键系统组件、设备供应链数据; 5 达 到 国 家 有关 部 门 规 定的 规 模 或 者 精 度 的 基 因 、地 理 、 矿 产 、气 象 等 人 口与 健 康 、 自然 资 源 与 环境 国 家 基 础数据 6 国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事科研生产单位等重要敏感区域的地理位置、安保情况等数据 7 其 他 可 能 影响 国 家 政 治 、国 土 、 军 事 、经 济 、 文 化 、社 会 、 科 技 、生 态 、 资 源 、核 设 施 、 海外 利 益 、 生物 、 太 空 、极 地 深 海 等安全的数据 重要数据识别规则 重要数据描述格式 重要数据处理者的数据安全责任 《网络数据安全管理条例（征求意见稿）》第三十二条： 自行或委托数据安全服务机构 每年一次 于1月31日前提报上一年度数据安全评估报告 开展数据安全评估 市级网信部门 企业 【定期评估】年度数据安全评估报告的内容： 1、重要数据处理情况 2、发现风险及处置措施 3、管理制度及实施情况，防护措施及有效性 4、国家法律、行政法规和标准落实情况 5、安全事件及处置情况 6、共享、交易、委托处理、向境外提供重要数据的安全评估情况 7、投诉及处理情况 8、国家网信部门和主管、监管部门明确的其他数据安全情况 【场景评估】重点评估内容： 1、提供方与接收方的合法性、正当性、必要性 2、泄露、损毁、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险 3、数据接收方背景情况及有效保障数据安全的能力 4、合同中针对数据安全保护义务的有效约束性 5、管理和技术措施的风险防范能力 评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。 保留期限：数据处理者应当保留风险评估报告至少三年。 报告共享：依据部门职责分工，网信部门与有关部门共享报告信息。 目 录 C O N T E N T S 01 政策法规 02 大数据安全评估与测评 基于风险控制的数据安全管理体系 基于风险控制的思想是建立自我持续改进和发展的数据安全管理体系，使用合理成本投入达到可接受的数据安全目标。保护数据资产，将安全事件的损失和影响降到可接受程度。 开展数据安全风险评估，识别、分析和评价风险 为处理风险选择控制目标和控制措施 数据安全风险评估 数据安全风险评估在原有信息安全风险评估理论基础上，更多关注于数据资产本身的安全性，呈现出围绕数据资产、强调数据应用场景的特点。其核心是对潜在风险进行发现，包括数据资产类型识别、处理活动合规点识别、已有合规措施识别、数据价值识别、已有技术安全措施识别、脆弱性识别、威胁识别等。 数据安全风险评估能够帮助企业发现自身数据安全问题和短板，明确数据安全保护需求，为建设数据安全管理和技术手段指明方向。 保护对象关注系统资产评估过程关注资产所在系统安全， 资产所处环境相对静态稳定 保护对象关注数据资产