本標(biāo)準(zhǔn)實(shí)現(xiàn)了事前明確數(shù)據(jù)安全風(fēng)險(xiǎn)關(guān)鍵要素,事中建立全面的風(fēng)險(xiǎn)治理體系,事后健全風(fēng)險(xiǎn)治理的監(jiān)控與管理改進(jìn)體系。
2023年1月5日,在第二屆數(shù)據(jù)安全治理峰會(huì)上,《數(shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評(píng)價(jià)模型》標(biāo)準(zhǔn)正式發(fā)布,由中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所大數(shù)據(jù)與區(qū)塊鏈部高級(jí)業(yè)務(wù)主管龔詩(shī)然進(jìn)行介紹。
《數(shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評(píng)價(jià)模型》標(biāo)準(zhǔn)立足于數(shù)據(jù)安全風(fēng)險(xiǎn)層出不窮、危害嚴(yán)重的現(xiàn)狀,歷經(jīng)4個(gè)月的理論研究與多輪專家研討論證,于2022年9月由中國(guó)信通院牽頭中國(guó)電信、聯(lián)通數(shù)科、百度、安恒、綠盟等十余家單位專家共同編制,現(xiàn)已進(jìn)入評(píng)估單位征集階段。
數(shù)據(jù)安全已成為國(guó)家安全戰(zhàn)略、數(shù)字經(jīng)濟(jì)發(fā)展的重要議題。“十三五”以來(lái),國(guó)家持續(xù)強(qiáng)調(diào)數(shù)據(jù)安全保護(hù)與數(shù)據(jù)流動(dòng)安全,強(qiáng)化數(shù)據(jù)全生命周期安全保護(hù)與立法,為數(shù)據(jù)成為新型生產(chǎn)要素奠定堅(jiān)實(shí)基礎(chǔ),至此數(shù)據(jù)安全成為我國(guó)數(shù)字化進(jìn)程重要一環(huán)。然而,企業(yè)數(shù)字化轉(zhuǎn)型大潮來(lái)臨,數(shù)據(jù)泄露、破壞與濫用事件高頻發(fā)生,已嚴(yán)重威脅國(guó)家、社會(huì)公眾安全,數(shù)據(jù)安全風(fēng)險(xiǎn)防范刻不容緩:一是數(shù)據(jù)泄露事件持續(xù)增長(zhǎng),全球數(shù)據(jù)泄露記錄近千億條;二是數(shù)據(jù)破壞嚴(yán)重影響社會(huì)生產(chǎn),企業(yè)數(shù)據(jù)遭到破壞、勒索的事件同樣屢屢發(fā)生;三是數(shù)據(jù)濫用嚴(yán)重威脅個(gè)人權(quán)益,“大數(shù)據(jù)殺熟”、“竊聽(tīng)式營(yíng)銷”等亂象頻發(fā),以違約、違規(guī)收集使用數(shù)據(jù)、權(quán)限為主的數(shù)據(jù)濫用行為亟需整治。以上問(wèn)題均表明數(shù)據(jù)安全風(fēng)險(xiǎn)亟需體系化治理,數(shù)據(jù)安全風(fēng)險(xiǎn)治理將成為業(yè)內(nèi)又一重要議題。
數(shù)據(jù)安全風(fēng)險(xiǎn)治理一方面是企業(yè)數(shù)據(jù)安全治理的重要一環(huán),另一方面數(shù)據(jù)安全風(fēng)險(xiǎn)治理發(fā)現(xiàn)的問(wèn)題也是企業(yè)數(shù)據(jù)安全治理的持續(xù)性輸入?!稊?shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評(píng)價(jià)模型》將企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)治理按照風(fēng)險(xiǎn)治理的階段分為5大能力域:分別是風(fēng)險(xiǎn)準(zhǔn)則確立、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)評(píng)估分析、風(fēng)險(xiǎn)處置解決、風(fēng)險(xiǎn)治理改進(jìn),并進(jìn)一步細(xì)分成15個(gè)能力項(xiàng)。
-
“風(fēng)險(xiǎn)準(zhǔn)則確立”能力域主要是指企業(yè)通過(guò)分析組織數(shù)據(jù)安全風(fēng)險(xiǎn)需求,識(shí)別組織的關(guān)鍵業(yè)務(wù)及數(shù)據(jù)處理活動(dòng),制定組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理準(zhǔn)則,明確組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理的業(yè)務(wù)對(duì)象和范圍。
-
“風(fēng)險(xiǎn)要素識(shí)別”能力域主要是指企業(yè)通過(guò)圍繞組織的數(shù)據(jù)安全風(fēng)險(xiǎn)準(zhǔn)則,開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)要素識(shí)別活動(dòng),識(shí)別數(shù)據(jù)資產(chǎn)在組織的業(yè)務(wù)運(yùn)行、數(shù)據(jù)處理活動(dòng)過(guò)程中面臨的威脅、缺陷、漏洞等。
-
“風(fēng)險(xiǎn)評(píng)估分析”能力域主要是指企業(yè)通過(guò)關(guān)聯(lián)已識(shí)別的數(shù)據(jù)安全風(fēng)險(xiǎn)要素,對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行定性或定量分析,開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估活動(dòng),判斷數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的可能性與影響程度。
-
“風(fēng)險(xiǎn)處置解決”能力域主要是指企業(yè)通過(guò)建立數(shù)據(jù)安全風(fēng)險(xiǎn)處置原則、策略、流程等,實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)處置策略,并通過(guò)監(jiān)控、提升處置策略有效性、提升處置流程效率等方式,降低數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的可能性或損失的影響程度。
-
“風(fēng)險(xiǎn)治理改進(jìn)”能力域主要是指企業(yè)建立數(shù)據(jù)安全風(fēng)險(xiǎn)治理改進(jìn)機(jī)制,通過(guò)加強(qiáng)相關(guān)團(tuán)隊(duì)及人員培訓(xùn)與考核、規(guī)范風(fēng)險(xiǎn)資源規(guī)劃與項(xiàng)目管理等方式,提升組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理技能,防范數(shù)據(jù)安全風(fēng)險(xiǎn)治理過(guò)程中出現(xiàn)的嚴(yán)重偏差,持續(xù)優(yōu)化組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力。
評(píng)價(jià)模型的等級(jí)設(shè)置依據(jù)組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理的覆蓋范圍、支撐力度進(jìn)行劃分。
第一級(jí)“初始級(jí)”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要依靠突發(fā)事件或臨時(shí)需求驅(qū)動(dòng),具有明顯的滯后性缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)治理的目標(biāo)、規(guī)劃、依據(jù)、資源保障。
第二級(jí)“基礎(chǔ)級(jí)”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要體現(xiàn)在個(gè)別業(yè)務(wù)活動(dòng)或項(xiàng)目活動(dòng)中,能主動(dòng)識(shí)別法律法規(guī)與外部監(jiān)管要求,使個(gè)別業(yè)務(wù)活動(dòng)或項(xiàng)目活動(dòng)中可以滿足組織的數(shù)據(jù)安全保護(hù)與合規(guī)需求。
第三級(jí)“已定義級(jí)”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要體現(xiàn)在組織整體層面,考慮了法律法規(guī)和外部監(jiān)管要求下,兼顧了組織內(nèi)部發(fā)展需求,建立了覆蓋數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別、評(píng)估、處置、監(jiān)控等標(biāo)準(zhǔn)化管理機(jī)制、技術(shù)和運(yùn)營(yíng)體系,能夠保障組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理工作的有序開(kāi)展與規(guī)范化落地。
第四級(jí)“量化級(jí)”指在第三級(jí)的基礎(chǔ)上對(duì)組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理效率、效果能量化分析和監(jiān)控。
第五級(jí)“卓越級(jí)”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理成為行業(yè)標(biāo)桿并推廣至行業(yè)。
本標(biāo)準(zhǔn)實(shí)現(xiàn)了事前明確數(shù)據(jù)安全風(fēng)險(xiǎn)關(guān)鍵要素,事中建立全面的風(fēng)險(xiǎn)治理體系,事后健全風(fēng)險(xiǎn)治理的監(jiān)控與管理改進(jìn)體系。未來(lái),標(biāo)準(zhǔn)將會(huì)從交流分享、企業(yè)評(píng)估、標(biāo)準(zhǔn)迭代、案例征集四個(gè)方面開(kāi)展工作,廣泛聽(tīng)取專家意見(jiàn)進(jìn)行標(biāo)準(zhǔn)完善、征集優(yōu)秀企業(yè)落地案例,共同完善數(shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評(píng)價(jià)模型。