数据安全评估体系建设
数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。
数据安全评估的重要性和背景
1.国家法律法规下的合规需要
目前数据安全法、个人信息保护法、网络数据安全管理条例(征求意见稿)、数据出境评估办法等文件均对数据安全评估提出了明确要求。数据安全法提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。个人信息保护法提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”、“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;.......”。网络数据安全管理条例(征求意见稿)提到“第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。
2.日益严重且多样化的数据安全风险分析需要
2022年由IBM和Ponemon研究所联合发布的一份全球性的研究报告,分析了550家遭受数据泄露事件的组织的各种成本和影响因素。根据报告,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元,比2021年增长了2.6%,自2020年以来增长了12.7%。在数据安全风险多样性方面,数据采集侧:2020年滴滴违规采集和使用个人信息,被罚款80亿。数据存储侧:2021年GetHealth子公网数据库位置密码保护没导致6100多万条健康数据泄露。数据传输侧:2022年Accellion文件传输系统遭到黑客攻击,导致多家企业数据泄露。数据使用与加工侧:2023年日产汽车北美公司的第三方服务提供商在使用客户数据开发软件时,发生了数据泄露事件,约18000名客户受到影响。数据销毁侧:2018年,链家删库事件,导致链家大部分业务瘫痪。
3.未来全球化“数字双循环”情况下的提前规划需要
RCEP、CPTPP、DEPA、中欧贸易投资协定都是一些涉及数字贸易的区域性或双边的自由贸易协定,它们对于数据共享、数据流动、数字经济合作的要求各有不同,但都体现了推动数字贸易发展和规则制定的意愿和方向。
(1)RCEP其中包括了对跨境信息传输和数据本地化等议题的重要共识,为各成员国加强电子商务领域合作提供制度保障。RCEP有利于推动区域经济一体化升级和数字贸易全球规则的制定;对于推动数字产品嵌入全球价值链,实现数字贸易的全产业链发展具有重要意义;
(2)CPTPP对数据开放的程度更高,致力于减少数字贸易发展阻碍,包括禁止强制性数据本地化要求、禁止限制跨境数据流动、禁止对电子商务征收关税等。
(3) DEPA旨在促进数字经济创新和增长,为数字技术应用提供更多机会,并为参与国提供更多选择。DEPA涵盖了数据流动、数据本地化、人工智能、电子身份认证、电子支付等多个方面,并设立了一个数字经济合作委员会来监督和推进协定的实施。
(4)中欧贸易投资协定主要包括保障跨境数据流动的自由,禁止强制数据本地化,但同时允许各方为了保护公共利益而采取必要的限制措施。确保电子签名、电子合同和电子身份认证的法律效力,促进电子商务的便利化。保护消费者权益和个人数据隐私,防止不正当竞争和网络诈骗。
数据安全宏观体系分析
数据安全评估对于企业有助于摸清数据资产情况、基础环境情况并对数据资产进行盘点。开展系统性、综合性、全面性的安全分析,发展数据资产的威胁性和脆弱性,从而更加准确识别安全风险。针对安全风险提出对应解决方案,并结合组织实际情况制定可执行的安全策略与安全目标,实现数据资产在安全的环境下进行有效利用;对于行业。通过安全评估,发现共性数据安全风险问题,帮助主管部门落实数据安全法要求,实现数据安全风险监测;提升行业数据安全保障水平,保障行业的发展战略、关键技术等重要数据不受到非法侵害,有助于推动数据交易、数据交换共享等应用场景的落地,强化数据资产要素化,促进数据流动,推动数字化转型升级;对于国家。以评促建,以评促改,以评促管,评建结合,重在建设通过数据安全评估,推动《数据安全法》的落实,压实数据安全保护主体责任,切实履行数据安全保护义务,助力维护国家安全,保障社会秩序和公众利益,有效推动数字经济安全健康发展。
根据目前我国法律法规,数据安全评估整体可分为数据安全风险评估、个人信息保护安全影响评估与数据出境风险评估三种类型。
1.数据安全风险评估
数据安全风险评估在数据安全法、工业和信息化领域数据安全管理办法(试行)、网络数据安全管理条例(征求意见稿)等文件均有体现。具体流程如下图。
2.数据出境风险评估
数据出境风险评估在数据安全法、个人信息保护法、网络数据安全管理条例(征求意见)、个人信息跨境处理活动安全认证规范、数据出境安全评估申报指南(第一版)等文件中均有体现。具体流程如下图。
3.个人信息保护安全影响评估
个人信息保护安全影响评估在数据安全法、个人信息保护法、个人信息出境标准合同办法、个人信息安全规范等文件均有体现。具体流程如下图。
数据安全评估体系建设
1.数据安全广度评估
数据安全评估流程首先是利用调研表,通过人员访谈、文档翻阅、系统查看、检测工具检测等方式了解、识别被评估单位数据安全防护情况。
随后利用依据法律法规及规范、技术标准、政策要求形成的度量指标(度量指标分为组织建设度量指标、制度流程度量指标、技术工具度量指标、人员能力度量指标)与识别安全现状结果进行对标分析,形成安全评估报告,在对标分析过程中要保持客观性、独立性,真实性、完整性,一致性、谨慎性,条理清楚及判断准备。在编制安全评估报告过程中要具有科学性、系统性,延伸线、兼容性及具有综合实用性。
数据安全广度评估,应包含组织建设、制度流程、技术能力、人员能力、个人信息保护、数据跨境保护等维度。并按照以下法律、法规及行业政策规范要求,编制评估矩阵及评估要点。
技术能力矩阵-示例表
2.数据安全精准评估
数据安全深度评估,是针对数据资产生命周期不同阶段的实施要点和工作形式总结,评估内容包括:资产识别、威胁识别、脆弱性识别、风险分析与数据安全评估报告。数据安全风险评估方法在参照原有信息安全风险评估方法基础上,更关注数据资产,以及在相关数据处理活动中所面临的风险情况。
资产识别通过分析信息系统的业务流程和功能,从业务数据的完整性、可用性和机密性的保护要求出发,识别出对CIA三性有一定影响的信息流及其承载体。
威胁识别。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种,环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性和可用性等方面造成损害,也可能是偶发的或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点可能成功地对目标造成伤害。安全事件及其后果是分析威胁的重要依据。
脆弱性识别。脆弱性识别主要从技术和管理两个方面进行开展。依据脆弱性识别表,通过工具识别扫描、配置核查、策略文档分析、安全审计、网络架构分析当前组织业务流程、管理体系、安全能力建设、数据生命周期等方面脆弱性情况,并根据脆弱性严重程度的不同,进行等级确定。
通过对目标对象的资产识别、威胁识别与脆弱性识别后,采用适当的方法与工具确定威胁利用脆弱性导致安全事件的可能性。
综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。
相关文章:
数据安全评估体系建设
数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。 数据安全评估的重要性和背景 1.国家法律法规下的合规需要 目前数…...
论文阅读 - ANEMONE: Graph Anomaly Detection with Multi-Scale Contrastive Learning
目录 摘要 1 简介 2 问题陈述 3 PROPOSED ANEMONE FRAMEWORK 3.1 多尺度对比学习模型 3.1.1 增强的自我网络生成 3.1.2 补丁级对比网络 3.1.3 上下文级对比网络 3.1.4 联合训练 3.2 统计异常估计器 4 EXPERIMENTS 4.1 Experimental Setup 4.1.1 Datasets 4.1.2 …...
数据密集型应用存储与检索设计
本文内容翻译自《数据密集型应用系统设计》,豆瓣评分高达 9.7 分。 什么是「数据密集型应用系统」? 当数据(数据量、数据复杂度、数据变化速度)是一个应用的主要挑战,那么可以把这个应用称为数据密集型的。与之相对的是…...
Spring Boot集成Redis实现keyspace监听 | Spring Cloud 34
一、前言 在前面我们通过以下章节对Redis的keyevent(键事件通知)使用有了基础的了解: Spring Boot集成Redis实现keyevent监听 | Spring Cloud 33 现在开始我们正式学习Redis的keyspace(键空间通知),在本…...
如何搭建chatGPT4.0模型-国内如何用chatGPT4.0
国内如何用chatGPT4.0 在国内,目前可以通过以下途径使用 OpenAI 的 ChatGPT 4.0: 自己搭建模型:如果您具备一定的技术能力,可以通过下载预训练模型和相关的开发工具包,自行搭建 ChatGPT 4.0 模型。OpenAI提供了相关的…...
【故障定位】基于多元宇宙算法的主动配电网故障定位方法研究(Matlab代码实现)
💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…...
基于html+css的自适应展示1
准备项目 项目开发工具 Visual Studio Code 1.44.2 版本: 1.44.2 提交: ff915844119ce9485abfe8aa9076ec76b5300ddd 日期: 2020-04-16T16:36:23.138Z Electron: 7.1.11 Chrome: 78.0.3904.130 Node.js: 12.8.1 V8: 7.8.279.23-electron.0 OS: Windows_NT x64 10.0.19044 项目…...
DolphinDB +Python Airflow 高效实现数据清洗
DolphinDB 作为一款高性能时序数据库,其在实际生产环境中常有数据的清洗、装换以及加载等需求,而对于该如何结构化管理好 ETL 作业,Airflow 提供了一种很好的思路。本篇教程为生产环境中 ETL 实践需求提供了一个解决方案,将 Pytho…...
pip3 升级软件包时遇到超时错误解决方法
如果你在使用 pip3 升级软件包时遇到超时错误,可能是因为下载速度缓慢或网络不稳定。以下是解决方法: 更改 pip3 源:你可以切换到其他 pip3 源,例如清华、阿里等等,以提高下载速度。 pip3 install -i https://pypi.tun…...
Linux环境开机自启动
1.制作服务 在/etc/systemd/system/路径下创建kkFile.service文件 cd /etc/systemd/system/ vim kkFile.service2.写入如下内容 [Unit] DescriptionkkFile service [Service] Typeforking ExecStart/sinosoft/yjya/kkFileView-4.0.0/bin/startup.sh [Install] WantedBymulti…...
字节8年测试经验,送给想要学习自动化测试的同学6条建议
我的职业生涯开始和大多数测试人一样,开始接触都是纯功能界面测试。那时候在一家电商公司做测试,做了有一段时间,熟悉产品的业务流程以及熟练测试工作流程规范之后,效率提高了,工作比较轻松,也得到了更好的…...
快速搭建springboot websocket客户端
一、前言WebSocket 是 HTML5 开始提供的一种在单个 TCP 连接上进行全双工通讯的协议。HTML5 定义的 WebSocket 协议,能更好的节省服务器资源和带宽,并且能够更实时地进行通讯。HTML5 定义的 WebSocket 协议,能更好的节省服务器资源和带宽&…...
Python 操作 MongoDB 详解
嗨害大家好鸭!我是芝士❤ 一、前言 MongoDB属于 NoSQL(非关系型数据库), 是一个基于分布式文件存储的开源数据库系统。 二、操作 MongoDB 1. 安装 pymongo python 使用第三方库来连接操作 MongoDB, 所以我们首先安…...
虹科案例 | 丝芙兰xDomo:全球美妆巨头商业智能新玩法
全球美妆行业的佼佼者丝芙兰,其走向成功绝非仅依靠品牌知名度和营销手段。身为数据驱动型企业,2018年以来,丝芙兰就率先在行业内采用虹科提供的Domo商业智能进行数据分析和决策,并首先享受了运营优化、效率提升所带来的商业价值。…...
10种优雅的MyBatis写法,同事用了都说好
用来循环容器的标签forEach,查看例子 foreach元素的属性主要有item,index,collection,open,separator,close。 item:集合中元素迭代时的别名, index:集合中元素迭代时的索引 open…...
SQL删除记录方式汇总
大家好,我是RecordLiu! 今天给大家分享的是SQL中删除记录的不同方式,我会用几道真题来给大家讲解。 题目直达链接: 牛客网在线SQL编程练习 切换到SQL篇就能看到了。 我这里先列下知识点: SQL中进行简单删除的语法是什么?SQL…...
用in函数嵌入子查询作为条件时查出结果为空
用in函数嵌入子查询作为条件时查出结果为空 问题: SELECT * FROM SGGCDB_VIEW sv WHERE RES_ID IN (SELECT urrv.RES_ID FROM IBPS_ERP.USER_ROLE_RES_VIEW urrv WHERE urrv.ID_ 1069978138403930112 )结果未空值。 原因: 首先,SELECT u…...
电商行业如何利用飞项解决跨部门协作难题
在电商行业中,跨部门合作是最常见的事。从产品方案到设计方案,从市场定价到销售策略,从采购需求到成本清单……在电商新品研发到正式售卖的过程中,存在着大量跨部门协作与逆向流程,但任务零碎、沟通难、进度难同步、文…...
全网最详细,Jmeter性能测试-性能基础详解,参数化函数取值(二)
目录:导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜)前言 参数化详解 Jmeter中…...
选择排序的简单理解
详细描述 选择排序的工作原理是:首先在未排序序列中找到最小(大)元素,存放到排序序列的起始位置,然后再从剩余未排序元素中继续寻找最小(大)元素,然后放到已排序序列的末尾…...
XCTF-web-easyupload
试了试php,php7,pht,phtml等,都没有用 尝试.user.ini 抓包修改将.user.ini修改为jpg图片 在上传一个123.jpg 用蚁剑连接,得到flag...
Appium+python自动化(十六)- ADB命令
简介 Android 调试桥(adb)是多种用途的工具,该工具可以帮助你你管理设备或模拟器 的状态。 adb ( Android Debug Bridge)是一个通用命令行工具,其允许您与模拟器实例或连接的 Android 设备进行通信。它可为各种设备操作提供便利,如安装和调试…...
在鸿蒙HarmonyOS 5中实现抖音风格的点赞功能
下面我将详细介绍如何使用HarmonyOS SDK在HarmonyOS 5中实现类似抖音的点赞功能,包括动画效果、数据同步和交互优化。 1. 基础点赞功能实现 1.1 创建数据模型 // VideoModel.ets export class VideoModel {id: string "";title: string ""…...
【HarmonyOS 5.0】DevEco Testing:鸿蒙应用质量保障的终极武器
——全方位测试解决方案与代码实战 一、工具定位与核心能力 DevEco Testing是HarmonyOS官方推出的一体化测试平台,覆盖应用全生命周期测试需求,主要提供五大核心能力: 测试类型检测目标关键指标功能体验基…...
2024年赣州旅游投资集团社会招聘笔试真
2024年赣州旅游投资集团社会招聘笔试真 题 ( 满 分 1 0 0 分 时 间 1 2 0 分 钟 ) 一、单选题(每题只有一个正确答案,答错、不答或多答均不得分) 1.纪要的特点不包括()。 A.概括重点 B.指导传达 C. 客观纪实 D.有言必录 【答案】: D 2.1864年,()预言了电磁波的存在,并指出…...
在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module
1、为什么要修改 CONNECT 报文? 多租户隔离:自动为接入设备追加租户前缀,后端按 ClientID 拆分队列。零代码鉴权:将入站用户名替换为 OAuth Access-Token,后端 Broker 统一校验。灰度发布:根据 IP/地理位写…...
Reasoning over Uncertain Text by Generative Large Language Models
https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829 1. 概述 文本中的不确定性在许多语境中传达,从日常对话到特定领域的文档(例如医学文档)(Heritage 2013;Landmark、Gulbrandsen 和 Svenevei…...
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)
漏洞概览 漏洞名称:Apache Flink REST API 任意文件读取漏洞CVE编号:CVE-2020-17519CVSS评分:7.5影响版本:Apache Flink 1.11.0、1.11.1、1.11.2修复版本:≥ 1.11.3 或 ≥ 1.12.0漏洞类型:路径遍历&#x…...
安全突围:重塑内生安全体系:齐向东在2025年BCS大会的演讲
文章目录 前言第一部分:体系力量是突围之钥第一重困境是体系思想落地不畅。第二重困境是大小体系融合瓶颈。第三重困境是“小体系”运营梗阻。 第二部分:体系矛盾是突围之障一是数据孤岛的障碍。二是投入不足的障碍。三是新旧兼容难的障碍。 第三部分&am…...
9-Oracle 23 ai Vector Search 特性 知识准备
很多小伙伴是不是参加了 免费认证课程(限时至2025/5/15) Oracle AI Vector Search 1Z0-184-25考试,都顺利拿到certified了没。 各行各业的AI 大模型的到来,传统的数据库中的SQL还能不能打,结构化和非结构的话数据如何和…...