h t i g b u c . 5 全知科技（杭州）有限责任公司 m o 版权声明 数据安全治理之数据安全风险评估白皮书权利归属于全知科技(杭州)有限 责任公司所有。未经许可，任何人不得将报告的全部内容或部分内容为营利目 的出版、编辑、翻译、网络传播、转让或出售等方式使用。转载、摘编使用本 白皮书文字或观点应注明来源。 m o c . 5 b u th i g 第２页 h t i g 第３页 b u c . 5 m o h t i g 第４页 b u c . 5 m o 中国数字经济快速发展。相关数据显示，2020年中国数字经济规模已达 到39.2万亿元人民币，占GDP的38.6%，居世界第二位，已成为中国经济增长 的重要价值。因此，识别数据安全风险、构建数据安全治理机制的重要性日 益凸显。 随着数字经济的快速发展以及传统业务的数字化转型推进，数据价值化 加速推进，数据安全已成为数字经济时代最紧迫和最基础的安全问题。如何 能系统、全面、有效的建设和提升数据安全防护能力，在数据经济、数据价 值和数据安全之间达到平衡，是当下国家、行业以及各企业和组织都非常关 注的问题。数据安全治理也成为了近年国际国内的热点，这是一个覆盖了组 织架构、数据资产、风险防范、运营监测等多个方面的，从整体策略到具体 执行的大命题。 c . 5 1.1.数据安全治理介绍 m o 数据安全治理，是指依照法律、法规、国家标准、行业标准规范等的规 定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措 施，保障数据安全。数据安全治理的必要性： 一是法律有规定，数据安全上升到国家层面，国际上欧盟发布《欧洲数 据保护监管局战略计划(2020-2024)》，继续加强数据安全保护，保证个人 隐私的基本权利美国发布《联邦数据战略与2020年行动计划》，确立了保护 数据完整性、确保流通数据真实性、数据存储安全性等基本原则。我国在2021 年6月《中华人民共和国数据安全法》正式颁布，2021年9月1日正式实施， 第四条 维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理 体系，提高数据安全保障能力。 二是数据价值有待释放，数据是企业重要的生产要素，对数据的合理利 用能有效打破数据孤岛，推进各地区各部门各组织之间的数据要素流通，能 进一步鼓励数据价值的探索和提升。数据价值的释放，对数据的共享开放提 出了要求，特别是政务数据在经过了长年累月的积累，形成了海量且权威的 数据资源，具备极大的数据价值释放需求和能力。目前各地方也都在积极开 展公共数据共享开放的规范制定，数据安全也自然成为了数据共享开放过程 中的安全保障基础。 三是现实的需求，数据作为新型生产要素，由于其本身具有流动性、分 散性、可复制性等不同于传统生产要素的特性，随着数据价值的升高，个人 隐私信息、商业机密甚至国家重要情报均面临着不同程度的敏感数据泄露、 数据贩卖、数据篡改、数据跨境流动等数据安全风险。 h t i g b u 1.2.数据安全治理主流认知 数据安全相关的法律法规对数据安全职责、数据资产安全、数据处理活 动、数据安全风险评估、数据安全监测等均提出了要求，各行业也在陆续开 第５页 展有针对性的规范和指导细化。满足法律法规要求，实现数据安全风险管控， 是各企业和组织开展数据安全治理的首要目标。 企业和组织需要在实用性和时效性的前提下，识别其当前存在和面临的 数据安全风险，特别是需要迫切解决的风险，从而有目标地快速实现数据安 全防护能力的提升。数据安全风险评估，是数据安全治理的起点。风险评估 能够帮助企业或组织发现业务和自身数据安全问题，明确数据安全治理需求， 为建设数据安全管理和数据安全风险处置手段指明方向，给出可落地的实施 方案。 目前国家层面密集发布的各种法律法规，结合监管指引的各种要求，企 业在落实数据安全治理责任的过程中，广泛遇到的问题，除了合法合规要求 的落地执行外，更多的是基于生产经营过程中，如何平衡发展与安全特性的 要求，保证数据生产要素发挥更大的价值。数据作为生产资料所体现的新特 性，是现阶段治理落地面临的新问题，是企业面临的新难点。以往的数据安 全治理往往延续了之前信息系统安全防护的惯性理念，从边界防护出发，试 图将数据锁在“笼子”里。但不管从国家出台颁布的相关法律法规也好，还 是企业自身经营过程中面临的新发展新问题也好，数据安全治理都是从保证 数据流动产生价值的核心出发，在保证价值前提下的安全防护。基于数据流 动的特性，数据安全治理工作也面临新的挑战，如何在企业纷繁复杂的生产 经营活动中，既能保证数据安全治理工作的顺利进行，又能平衡生产与安全 的要求。 基于多年对企业和组织在数据安全治理工作上的实践经验，本白皮书提 出了基于数据与数据处理活动的数据安全治理框架（如图1所示），包括数 据资产梳理、数据安全风险评估、数据安全风险处置三部分内容。 h t i g b u 图1 基于数据与数据处理活动的数据安全治理框架 第６页 c . 5 m o 本数据安全治理框架内容，着重于从企业数据资产本身出发，基于企业 生产经营活动中所经历的各阶段数据处理活动的不同内容，紧贴法律法规、 行业规范等要求，解决企业合法合规经营和生产活动风险安全可控两方面的 需求。基于数据与数据处理活动的数据安全治理框架由以下三个方面内容构 成： 1) 数据资产梳理，提供了企业数据资产盘点与数据分类分级相关工作的 实践指南。 2) 数据安全风险评估，基于企业数据资产梳理工作的内容，提供了企业 在不同数据处理活动中，通过数据安全风险评估方法提供实施落地指 导，落实数据安全风险评估工作。 3) 数据安全风险处置，基于数据安全风险评估结果，依据不同的发展阶 段和生产经营中解决问题的优先级，参照国家法律法规、行业规范等 要求，通过数据安全管理、数据本体保护、数据安全管控、数据风险 监测等手段，提高企业履行保护管理责任和保障持续安全状态能力。 h t i g 第７页 b u c . 5 m o h t i g 第８页 b u c . 5 m o 2.1.风险评估综述 风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威 胁、存在的脆弱性、造成的影响，以及三者综合作用所带来风险的可能性的 评估。风险评估方法包括：评估准备、风险识别、风险分析及风险评价。 《中华人民共和国数据安全法》第三十条中，明确规定“重要数据的处 理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门 报送风险评估报告。”其中风险评估报告中的内容包括“重要数据的种类、 数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等”。 2.2.数据安全风险评估 m o 参照《中华人民共和国数据安全法》中的定义，数据安全风险评估的核 心内容，是基于数据资产，在数据处理活动中，识别所面临的风险及其应对 措施。其中数据处理活动，指执行数据处理的企业业务活动。数据处理，包 括数据的收集、存储、使用、加工、传输、提供、公开等。本文中所涉及的 数据安全风险泛指广义的风险，既包括合法合规性风险，又包括技术安全性 风险。 h t i g b u c . 5 2.2.1.数据安全风险评估要素关系 信息安全风险评估方法，是针对信息系统生命周期不同阶段的实施要点 和工作形式的总结，包括：评估准备、风险识别、风险分析、风险评价四部 分内容。数据安全风险评估方法在参照原有信息安全风险评估方法基础上， 更关注数据资产，以及在相关数据处理活动中所面临的风险情况。参照信息 安全风险评估要素及其关系，数据安全风险评估中要素及其关系如图2所示。 图2 数据安全风险要素及其关系 第９页 2.2.2.数据安全风险分析原理 参照信息安全风险分析原理，结合数据安全风险评估中各个要素关联的 特性，梳理出数据安全风险分析原理，如图3所示。 h t i g c . 5 m o b u 图3 数据安全风险分析原理 通过对数据资产和数据处理活动中要素的梳理，结合已有合规措施，在 充分识别法律法规对不同数据类型的要求和处理活动中合规点要求的基础 上，完成数据安全合法合规性分析。 通过对数据资产和数据处理活动中要素的梳理，结合已有技术安全措施， 参考数据资产价值、处理活动脆弱性和威胁识别等要素，完成技术脆弱性和 威胁分析，形成数据安全事件分析。 综合数据安全合法合规分析和数据安全事件分析，最终形成数据安全风 险值。 2.2.3.数据安全风险评估方法 信息安全风险评估工作的开展，可参考GB/T 20984-2007《信息安全技 术 信息安全风险评估规范》中的内容执行，但数据安全风险评估工作的内 容，暂时还没有发布国家层面的可参考标准。不管是国家相关法律法规中的 第１０页 要求，还是行业标准落地检查中的要求，相关企业都迫切需要可参照、可落 地的方法，来指导数据安全风险评估工作的落实。基于以上需求，全知科技 联合相关研究院所和机构，共同推出了数据安全风险评估的实施方法，立足 于指导相关企业落实数据安全风险评估工作。 参照信息安全风险评估方法，结合多年来在企业数据安全风险评估领域 的工作实践，依据法律法规、行业标准规范等要求，以企业的数据资产为评 估对象，数据处理活动中所面临的风险为评估内容，提供一套可落地可指导 实践的数据安全风险评估方法，如图4所示。核心内容包括：评估准备、风 险识别、风险分析和风险评价。 h t i g c . 5 m o b u 图4 数据安全风险评估方法 评估准备：当前企业与组织实施风险评估工作，更多是从国家法律法规 及行业监管、业务需求评估等相关要求出发，从战略层面考量风险评估结果 对企业相关的影响。数据安全风险评估准备的内容，主要包括：评估对象、 评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案 并获得管理层支持。 风险识别：主要包括资产价值识别、数据处理活动要素识别、合法合规 性识别、威胁识别、脆弱性识别以及已有安全措施识别。 风险分析：完成了资产价值识别、处理活动要素识别、合法合规性识别、 已有安全措施识别、威胁识别和脆弱性识别后，通过采取适当的方法与工具， 可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据 安全事件发生对组织的影响度，从而得到数据安全风险值。 第１１页 风险评价：企业在执行完数据安全风险分析后，通过风险值计算方法， 会得到风险值的分布状况，对风险等级进行划分，一般会划分为：高、中、 低三个等级。依据风险评价中风险值的等级，明确风险评估结果内容。 企业通过数据安全风险评估，最终得到企业风险评估结果。依据风险评 价等级结合企业面临的生产活动