近日,数据资产管理大会数据安全论坛在北京召开。本次大会由中国信通院、中国通信标准化协会主办,大会对《数据安全风险评估实务:问题剖析与解决思路》进行发布、解读,数安行作为“数据安全推进计划DSI”的成员单位,凭借在数据安全领域的丰富研究成果,参与此次的编写工作,进一步细化数据安全治理实践路线,助力数据安全行业发展。

全球数字经济持续发展,我国数字化转型加速推进,数据要素市场化进度加快。然而,数据泄露、数据破坏、数据滥用等安全事件频繁发生,这严重危害了国家、社会公众安全,数据安全风险防范的重要性日益凸显。

随着网络安全、数据安全领域的法律法规相继颁布,强调数据处理者应依法依规开展数据处理活动,建立健全数据安全管理制度,加强数据安全风险监测与防范,定期开展数据安全风险评估,数据安全风险的评估与治理已成为业内各方最为关切的话题。然而,尽管大量的法规、标准提供了丰富的理论指引,数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段,成因错综复杂,严重影响了组织的数据安全风险评估工作落地,长期来看不利于组织数据安全风险治理能力的持续提升。

在此背景下,数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA TC601),携手业内四十家企业、百余名专家撰写,旨在解决数据安全风险评估实务中问题,介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法,提炼了数据安全风险评估工作的具体实施流程,并以评估实施流程为主线,系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的七大实务问题,并提出问题解决思路,为数据处理者、评估机构的数据安全风险评估实务提供参考以及三项建议。

数据安全风险评估实务:问题剖析与解决思路》根据数据和数据处理活动,重点关注的数据安全管理、技术以及个人信息保护等方面的问题,建立了常态化的数据安全风险评估机制,明确实施数据安全风险评估的场景,将评估的实施频次、实施要求、评价标准等内容固化到内部的管理要求中。

为了更好地串联数据安全风险识别、评估、处置、监控以及后续改进等工作,推动基于风险评估的数据安全风险治理框架建设:2022年,中国信息通信研究院云大所数据安全团队在CCSA TC601携手近三十家企业,牵头开展了《数据安全风险治理成熟度评价模型》预研。2023年,中国信息通信研究院云大所数据安全团队基于行业服务实践,对内容进行优化,目前形成《电信和互联网 数据风险治理成熟度评估模型》标准草案,并在CCSA TC1成功立项。《电信和互联网 数据风险治理成熟度评估模型》首次将组织的数据安全风险治理按照风险治理的阶段分为五大能力域15个能力项,并划分了五级能力等级,提出组织应以风险为核心,构建覆盖风险准则建立、风险要素识别、风险评估分析、风险处置解决、风险治理改进的全面治理框架,从要素识别的全面性、评估分析的准确性、处置解决的有效性等方面持续优化风险治理能力,致力于推动企业事前明确数据安全风险关键要素,事中建立全面的风险治理体系,事后健全风险治理的监控与管理改进。

数安行作为参编单位一直专注于数据安全领域的技术创新,在国内首先提出了为数据运营内嵌数据安全属性(DataSecOps)的建设思路,通过数据运营安全平台构建全流程的数据自适应访问控制和防护规则体系,为企业用户提供自动化的数据价值发现及数据安全服务。同时,还会全程跟踪标注数据的使用及变化过程,以此来实时感知数据违规使用及流转风险,持续性为企业提供精准的数据服务,帮助企业保护数据安全。

未来,数安行继续投入数据安全领域的研究,不断创新以满足各类用户在数据安全风险评估与保护的诉求,助力企业开展数据安全治理建设。