行業(yè)動態(tài)

《數(shù)據(jù)安全風險治理成熟度評價模型》發(fā)布

來源:聚銘網(wǎng)絡    發(fā)布時間:2023-02-01    瀏覽次數(shù):
 
本標準實現(xiàn)了事前明確數(shù)據(jù)安全風險關鍵要素,事中建立全面的風險治理體系,事后健全風險治理的監(jiān)控與管理改進體系。


2023年1月5日,在第二屆數(shù)據(jù)安全治理峰會上,《數(shù)據(jù)安全風險治理成熟度評價模型》標準正式發(fā)布,由中國信息通信研究院云計算與大數(shù)據(jù)研究所大數(shù)據(jù)與區(qū)塊鏈部高級業(yè)務主管龔詩然進行介紹。

《數(shù)據(jù)安全風險治理成熟度評價模型》標準立足于數(shù)據(jù)安全風險層出不窮、危害嚴重的現(xiàn)狀,歷經(jīng)4個月的理論研究與多輪專家研討論證,于2022年9月由中國信通院牽頭中國電信、聯(lián)通數(shù)科、百度、安恒、綠盟等十余家單位專家共同編制,現(xiàn)已進入評估單位征集階段。

數(shù)據(jù)安全已成為國家安全戰(zhàn)略、數(shù)字經(jīng)濟發(fā)展的重要議題?!笆濉币詠?,國家持續(xù)強調(diào)數(shù)據(jù)安全保護與數(shù)據(jù)流動安全,強化數(shù)據(jù)全生命周期安全保護與立法,為數(shù)據(jù)成為新型生產(chǎn)要素奠定堅實基礎,至此數(shù)據(jù)安全成為我國數(shù)字化進程重要一環(huán)。然而,企業(yè)數(shù)字化轉(zhuǎn)型大潮來臨,數(shù)據(jù)泄露、破壞與濫用事件高頻發(fā)生,已嚴重威脅國家、社會公眾安全,數(shù)據(jù)安全風險防范刻不容緩:一是數(shù)據(jù)泄露事件持續(xù)增長,全球數(shù)據(jù)泄露記錄近千億條;二是數(shù)據(jù)破壞嚴重影響社會生產(chǎn),企業(yè)數(shù)據(jù)遭到破壞、勒索的事件同樣屢屢發(fā)生;三是數(shù)據(jù)濫用嚴重威脅個人權益,“大數(shù)據(jù)殺熟”、“竊聽式營銷”等亂象頻發(fā),以違約、違規(guī)收集使用數(shù)據(jù)、權限為主的數(shù)據(jù)濫用行為亟需整治。以上問題均表明數(shù)據(jù)安全風險亟需體系化治理,數(shù)據(jù)安全風險治理將成為業(yè)內(nèi)又一重要議題。


數(shù)據(jù)安全風險治理一方面是企業(yè)數(shù)據(jù)安全治理的重要一環(huán),另一方面數(shù)據(jù)安全風險治理發(fā)現(xiàn)的問題也是企業(yè)數(shù)據(jù)安全治理的持續(xù)性輸入?!稊?shù)據(jù)安全風險治理成熟度評價模型》將企業(yè)的數(shù)據(jù)安全風險治理按照風險治理的階段分為5大能力域:分別是風險準則確立、風險要素識別、風險評估分析、風險處置解決、風險治理改進,并進一步細分成15個能力項。

  • “風險準則確立”能力域主要是指企業(yè)通過分析組織數(shù)據(jù)安全風險需求,識別組織的關鍵業(yè)務及數(shù)據(jù)處理活動,制定組織的數(shù)據(jù)安全風險治理準則,明確組織的數(shù)據(jù)安全風險治理的業(yè)務對象和范圍。

  • “風險要素識別”能力域主要是指企業(yè)通過圍繞組織的數(shù)據(jù)安全風險準則,開展數(shù)據(jù)安全風險要素識別活動,識別數(shù)據(jù)資產(chǎn)在組織的業(yè)務運行、數(shù)據(jù)處理活動過程中面臨的威脅、缺陷、漏洞等。

  • “風險評估分析”能力域主要是指企業(yè)通過關聯(lián)已識別的數(shù)據(jù)安全風險要素,對數(shù)據(jù)安全風險進行定性或定量分析,開展數(shù)據(jù)安全風險評估活動,判斷數(shù)據(jù)安全風險發(fā)生的可能性與影響程度。

  • “風險處置解決”能力域主要是指企業(yè)通過建立數(shù)據(jù)安全風險處置原則、策略、流程等,實施數(shù)據(jù)安全風險處置策略,并通過監(jiān)控、提升處置策略有效性、提升處置流程效率等方式,降低數(shù)據(jù)安全風險發(fā)生的可能性或損失的影響程度。

  • “風險治理改進”能力域主要是指企業(yè)建立數(shù)據(jù)安全風險治理改進機制,通過加強相關團隊及人員培訓與考核、規(guī)范風險資源規(guī)劃與項目管理等方式,提升組織的數(shù)據(jù)安全風險治理技能,防范數(shù)據(jù)安全風險治理過程中出現(xiàn)的嚴重偏差,持續(xù)優(yōu)化組織的數(shù)據(jù)安全風險治理能力。

評價模型的等級設置依據(jù)組織數(shù)據(jù)安全風險治理的覆蓋范圍、支撐力度進行劃分。

第一級“初始級”指組織的數(shù)據(jù)安全風險治理主要依靠突發(fā)事件或臨時需求驅(qū)動,具有明顯的滯后性缺乏數(shù)據(jù)安全風險治理的目標、規(guī)劃、依據(jù)、資源保障。

第二級“基礎級”指組織的數(shù)據(jù)安全風險治理主要體現(xiàn)在個別業(yè)務活動或項目活動中,能主動識別法律法規(guī)與外部監(jiān)管要求,使個別業(yè)務活動或項目活動中可以滿足組織的數(shù)據(jù)安全保護與合規(guī)需求。

第三級“已定義級”指組織的數(shù)據(jù)安全風險治理主要體現(xiàn)在組織整體層面,考慮了法律法規(guī)和外部監(jiān)管要求下,兼顧了組織內(nèi)部發(fā)展需求,建立了覆蓋數(shù)據(jù)安全風險識別、評估、處置、監(jiān)控等標準化管理機制、技術和運營體系,能夠保障組織數(shù)據(jù)安全風險治理工作的有序開展與規(guī)范化落地。

第四級“量化級”指在第三級的基礎上對組織的數(shù)據(jù)安全風險治理效率、效果能量化分析和監(jiān)控。

第五級“卓越級”指組織的數(shù)據(jù)安全風險治理成為行業(yè)標桿并推廣至行業(yè)。

本標準實現(xiàn)了事前明確數(shù)據(jù)安全風險關鍵要素,事中建立全面的風險治理體系,事后健全風險治理的監(jiān)控與管理改進體系。未來,標準將會從交流分享、企業(yè)評估、標準迭代、案例征集四個方面開展工作,廣泛聽取專家意見進行標準完善、征集優(yōu)秀企業(yè)落地案例,共同完善數(shù)據(jù)安全風險治理成熟度評價模型。



 
 

上一篇:月薪2萬美元?網(wǎng)絡犯罪“薪酬”調(diào)查報告出爐

下一篇:聚銘網(wǎng)絡入選《CCSIP 2022中國網(wǎng)絡安全產(chǎn)業(yè)全景冊》(第五版)七大細分領域!