速速get!一文搞懂?dāng)?shù)據(jù)安全風(fēng)險評估與等保測評、密評的區(qū)別→
編輯:2024-04-30 10:32:05
數(shù)據(jù)要素是數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素,數(shù)據(jù)安全是事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展的重大問題。近年來,我國數(shù)據(jù)安全保障體系建設(shè)穩(wěn)步推進(jìn),但隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大、數(shù)據(jù)價值不斷提高、數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化、數(shù)據(jù)安全的外延不斷擴(kuò)展,數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)偽造和隱私保護(hù)等風(fēng)險也與日俱增。如何有效防范數(shù)據(jù)安全風(fēng)險與事件,是全球數(shù)字經(jīng)濟(jì)發(fā)展下的重點問題。
數(shù)據(jù)安全風(fēng)險評估受到高度重視
數(shù)據(jù)安全相關(guān)政策的發(fā)布,為各行業(yè)企業(yè)開展數(shù)據(jù)安全評估提供了方法指引 ,推動了數(shù)據(jù)安全評估工作的落地實施 。
《數(shù)據(jù)安全法》(2021年9月1日實施) 第二十二條 國家建立集中統(tǒng)一、*權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機(jī)制。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。 第三十條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等。
《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(工信部 2022年12月8日發(fā)布) 第三十一條 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度,開展評估機(jī)構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范,指導(dǎo)評估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險評估、出境安全評估等工作。 地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全評估工作。 工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機(jī)構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險評估,及時整改風(fēng)險問題,并向本地區(qū)行業(yè)監(jiān)管部門報送風(fēng)險評估報告。 第六十六條 (風(fēng)險評估與審計) 銀行保險機(jī)構(gòu)應(yīng)當(dāng)每年開展一次數(shù)據(jù)安全風(fēng)險評估。….. 那么數(shù)據(jù)安全風(fēng)險評估 與我們所了解的等保測評、密評 有何區(qū)別呢? 跟著小密一起了解~
數(shù)據(jù)安全風(fēng)險評估 與等保測評、密評的區(qū)別
開展網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估與數(shù)據(jù)安全風(fēng)險評估都是網(wǎng)絡(luò)安全運營者義不容辭的職責(zé)與義務(wù),這三項工作并非按照重要性排序,而是在安全防護(hù)的深度與廣度上各有側(cè)重。
網(wǎng)絡(luò)安全等級保護(hù)測評是滿足《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”的要求; 商用密碼應(yīng)用安全性評估是滿足《中華人民共和國密碼法》第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估”的要求; 數(shù)據(jù)安全風(fēng)險評估是滿足《中華人民共和國數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等”的要求。
網(wǎng)絡(luò)安全等級保護(hù)測評和商用密碼應(yīng)用安全性評估針對已定級的等級保護(hù)對象開展,等級保護(hù)對象的范圍包括“應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”,根據(jù)國家標(biāo)準(zhǔn)分別對等級保護(hù)對象的安全防護(hù)現(xiàn)狀、密碼技術(shù)應(yīng)用情況開展測評。 數(shù)據(jù)安全風(fēng)險評估圍繞數(shù)據(jù)和數(shù)據(jù)處理活動開展,可以是單位的全部數(shù)據(jù),也可以選取重點等級保護(hù)對象開展。數(shù)據(jù)處理活動包括已經(jīng)開展的數(shù)據(jù)處理活動,如數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用等,也可以針對即將開展的數(shù)據(jù)處理活動進(jìn)行評估,綜合評價即將開展的數(shù)據(jù)處理活動是否滿足合規(guī)要求和安全防護(hù)要求,如數(shù)據(jù)共享、數(shù)據(jù)交易、數(shù)據(jù)出境等。
網(wǎng)絡(luò)安全等級保護(hù)測評,對等級保護(hù)對象開展測評,圍繞等級保護(hù)對象可能遭受的安全風(fēng)險開展,遭受的風(fēng)險包括惡意攻擊、軟硬件故障和管理不到位等安全風(fēng)險。 商用密碼應(yīng)用安全性評估,對等級保護(hù)對象開展測評,主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯用、誤用等風(fēng)險。 數(shù)據(jù)安全風(fēng)險評估,對數(shù)據(jù)流動過程和數(shù)據(jù)處理過程的風(fēng)險進(jìn)行評估,數(shù)據(jù)遭受的風(fēng)險包括數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險,還關(guān)注數(shù)據(jù)處理活動的合規(guī)性,對違法違規(guī)獲取數(shù)據(jù)、違法違規(guī)出售數(shù)據(jù)、違法違規(guī)購買數(shù)據(jù)、違法違規(guī)出境數(shù)據(jù)等數(shù)據(jù)合規(guī)性風(fēng)險進(jìn)行評估。 為了確保網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)與數(shù)據(jù)安全得到有效保障,在開展網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估時,還應(yīng)積極開展數(shù)據(jù)安全風(fēng)險評估。通過數(shù)據(jù)安全評估服務(wù),掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,提出數(shù)據(jù)安全管理和技術(shù)防護(hù)措施建議,提升數(shù)據(jù)安全能力以及滿足監(jiān)管合規(guī)的要求。
開展數(shù)據(jù)安全風(fēng)險評估
是數(shù)據(jù)安全保護(hù)的重要環(huán)節(jié)
是主管部門落實監(jiān)管職能的重要抓手
也是各方履行法定義務(wù)的必要程序
來源:成華密語
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層