速速get!一文搞懂?dāng)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與等保測(cè)評(píng)、密評(píng)的區(qū)別→
編輯:2024-04-30 10:32:05
數(shù)據(jù)要素是數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素,數(shù)據(jù)安全是事關(guān)國家安全和經(jīng)濟(jì)社會(huì)發(fā)展的重大問題。近年來,我國數(shù)據(jù)安全保障體系建設(shè)穩(wěn)步推進(jìn),但隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大、數(shù)據(jù)價(jià)值不斷提高、數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化、數(shù)據(jù)安全的外延不斷擴(kuò)展,數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)偽造和隱私保護(hù)等風(fēng)險(xiǎn)也與日俱增。如何有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)與事件,是全球數(shù)字經(jīng)濟(jì)發(fā)展下的重點(diǎn)問題。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估受到高度重視
數(shù)據(jù)安全相關(guān)政策的發(fā)布,為各行業(yè)企業(yè)開展數(shù)據(jù)安全評(píng)估提供了方法指引 ,推動(dòng)了數(shù)據(jù)安全評(píng)估工作的落地實(shí)施 。
《數(shù)據(jù)安全法》(2021年9月1日實(shí)施) 第二十二條 國家建立集中統(tǒng)一、*權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。 第三十條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。
《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(工信部 2022年12月8日發(fā)布) 第三十一條 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評(píng)估管理制度,開展評(píng)估機(jī)構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評(píng)估規(guī)范,指導(dǎo)評(píng)估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、出境安全評(píng)估等工作。 地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全評(píng)估工作。 工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評(píng)估機(jī)構(gòu),每年對(duì)其數(shù)據(jù)處理活動(dòng)至少開展一次風(fēng)險(xiǎn)評(píng)估,及時(shí)整改風(fēng)險(xiǎn)問題,并向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。 第六十六條 (風(fēng)險(xiǎn)評(píng)估與審計(jì)) 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每年開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。….. 那么數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 與我們所了解的等保測(cè)評(píng)、密評(píng) 有何區(qū)別呢? 跟著小密一起了解~
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 與等保測(cè)評(píng)、密評(píng)的區(qū)別
開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性評(píng)估與數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估都是網(wǎng)絡(luò)安全運(yùn)營者義不容辭的職責(zé)與義務(wù),這三項(xiàng)工作并非按照重要性排序,而是在安全防護(hù)的深度與廣度上各有側(cè)重。
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)是滿足《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”的要求; 商用密碼應(yīng)用安全性評(píng)估是滿足《中華人民共和國密碼法》第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估”的要求; 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是滿足《中華人民共和國數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等”的要求。
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和商用密碼應(yīng)用安全性評(píng)估針對(duì)已定級(jí)的等級(jí)保護(hù)對(duì)象開展,等級(jí)保護(hù)對(duì)象的范圍包括“應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”,根據(jù)國家標(biāo)準(zhǔn)分別對(duì)等級(jí)保護(hù)對(duì)象的安全防護(hù)現(xiàn)狀、密碼技術(shù)應(yīng)用情況開展測(cè)評(píng)。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估圍繞數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)開展,可以是單位的全部數(shù)據(jù),也可以選取重點(diǎn)等級(jí)保護(hù)對(duì)象開展。數(shù)據(jù)處理活動(dòng)包括已經(jīng)開展的數(shù)據(jù)處理活動(dòng),如數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用等,也可以針對(duì)即將開展的數(shù)據(jù)處理活動(dòng)進(jìn)行評(píng)估,綜合評(píng)價(jià)即將開展的數(shù)據(jù)處理活動(dòng)是否滿足合規(guī)要求和安全防護(hù)要求,如數(shù)據(jù)共享、數(shù)據(jù)交易、數(shù)據(jù)出境等。
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng),對(duì)等級(jí)保護(hù)對(duì)象開展測(cè)評(píng),圍繞等級(jí)保護(hù)對(duì)象可能遭受的安全風(fēng)險(xiǎn)開展,遭受的風(fēng)險(xiǎn)包括惡意攻擊、軟硬件故障和管理不到位等安全風(fēng)險(xiǎn)。 商用密碼應(yīng)用安全性評(píng)估,對(duì)等級(jí)保護(hù)對(duì)象開展測(cè)評(píng),主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯(cuò)用、誤用等風(fēng)險(xiǎn)。 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,對(duì)數(shù)據(jù)流動(dòng)過程和數(shù)據(jù)處理過程的風(fēng)險(xiǎn)進(jìn)行評(píng)估,數(shù)據(jù)遭受的風(fēng)險(xiǎn)包括數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險(xiǎn),還關(guān)注數(shù)據(jù)處理活動(dòng)的合規(guī)性,對(duì)違法違規(guī)獲取數(shù)據(jù)、違法違規(guī)出售數(shù)據(jù)、違法違規(guī)購買數(shù)據(jù)、違法違規(guī)出境數(shù)據(jù)等數(shù)據(jù)合規(guī)性風(fēng)險(xiǎn)進(jìn)行評(píng)估。 為了確保網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)與數(shù)據(jù)安全得到有效保障,在開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性評(píng)估時(shí),還應(yīng)積極開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。通過數(shù)據(jù)安全評(píng)估服務(wù),掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,提出數(shù)據(jù)安全管理和技術(shù)防護(hù)措施建議,提升數(shù)據(jù)安全能力以及滿足監(jiān)管合規(guī)的要求。
開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估
是數(shù)據(jù)安全保護(hù)的重要環(huán)節(jié)
是主管部門落實(shí)監(jiān)管職能的重要抓手
也是各方履行法定義務(wù)的必要程序
來源:成華密語
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層