DB3212 泰州市地方标准 DB3212/T1117—2022 政务数据安全风险评估规范 GovernmentDataSecurityRiskAssessmentSpecification 2022-12-28发布 2022-12-28实施ICS35.020 CCSL70 泰州市市场监督管理局发布 DB3212/T1117—2022 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件由泰州市大数据管理局提出。 本文件由泰州市大数据管理局归口。 本文件起草单位：泰州市大数据管理局、泰州市标准化院。 本文件主要起草人：陈书剑、王小冬、孙慧、刘小芳、赵文涛、梁鑫晨、许鑫、施驰乐、吴薇、陈 蓝生、张婧娴、李海鹏、郭健、王友成。 DB3212/T1117—2022 1政务数据安全风险评估规范 1范围 本文件提供了政务数据安全风险评估的评估原则、风险评估框架及流程、风险评估实施等要求。 本文件适用于政务数据安全的风险评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T20984信息安全技术信息安全风险评估方法 GB/T25069信息安全技术术语 GB/T37973信息安全技术大数据安全管理指南 DB32/T3421基础地理信息安全系统安全风险评估规范 3术语和定义 下列术语和定义适用于本文件。 3.1 政务数据governmentdata 各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数 据。 3.2 数据安全datasecurity 指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能 力。 3.3 风险评估riskassessment 风险识别、风险分析和风险评价的整个过程。 3.4 数据安全风险评估datasecurityriskassessment 是指从风险管理角度，运用科学的方法与手段，根据数据分类分级情况，系统分析数据所面临的安 全威胁，以及可能遭受的危害程度，有针对性地提出抵御数据安全威胁的防护对策和措施。 3.5 安全威胁securityThreat 可能对系统或组织的数据处理活动造成危害的因素，其形式可以是对数据直接或间接的攻击，在数 据机密性、完整性和可用性等方面造成损害，也可能是偶发的或蓄意的事件。 3.6 安全脆弱性securityvulnerability 通过利用数据安全威胁，导致数据在处理活动中的安全属性被破坏的薄弱环节。 4风险评估原则 政务数据安全风险评估的基本原则包括： DB3212/T1117—2022 2a)安全保障性原则。不应因风险评估造成基础地理信息数据的泄露、篡改和删除，保障数据的安 全性； b)人员可控性原则。所有参与评估人员应签署保密协议，以保证项目信息的安全； c)信息可控性原则。评估方应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单 位和个人； d)过程可控性原则。按照项目管理要求，成立风险评估项目实施团队，并实行项目组长负责制， 达到项目过程的可控； e)工具可控性原则。评估人员所使用的评估工具应事先告知用户，并在评估实施前获得被评估方 的许可。 5风险评估框架及流程 5.1风险要素关系 风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并 基于以上要素开展风险评估。 图1风险评估基本要素之间关系 5.2风险分析原理 风险分析原理如下： a)根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁 的能力和频率； b)根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易 程度； c)确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度； d)根据威胁的能力和频率,结合脆弱性被利用难易程度，确定安全事件发生的可能性； e)根据资产在发展规划中所处的地位和资产的属性，确定资产价值； f)根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失； g)根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值； h)依据风险评价准则,确定风险等级，用于风险决策。 5.3风险评估流程 风险评估的实施流程如图2所示。风险评估流程应包括如下内容。 DB3212/T1117—2022 3图2风险评估实施流程图 a)评估准备，此阶段应包括： 1)确定风险评估的目标； 2)确定风险评估的对象、范围和边界； 3)组建评估团队； 4)开展前期调研； 5)确定评估依据； 6)建立风险评价准则； 7)制定评估方案。 b)评估实施，此阶段应包括： 1)政务数据分类； 2）政务数据分级； 3）政务数据安全威胁识别； 4）政务数据脆弱性识别； 5）政务数据安全措施确认。 c)风险分析与评价，此阶段应包括： 1)风险分析计算； 2)风险评估； 3)风险接受程度； 4)风险处置措施。 d)编制报告。此阶段应包括处理的重要数据的种类、数量，开展数据处理活动情况，面临数据安 全风险及其对应措施等。 6风险评估实施 DB3212/T1117—2022 46.1评估准备 组织实施风险评估是一种战略性的考虑，其结果将受到组织规划、业务、业务流程、安全需求、系 统规模和结构等方面的影响。因此，在风险评估实施前应准备以下工作。 a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上， 确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容，附录B给出了风 险评估的工作形式描述。 b)确定风险评估的对象、范围和边界。 c)组建评估团队、明确评估工具。附录C给出了风险评估的工具。 d)开展前期调研。 e)确定评估依据。 f)建立风险评价准则：组织应在考虑国家法律法规要求及行业背景和特点的基础上，建立风险评 价准则，以实现对风险的控制与管理。 风险评价准则应满足以下要求： 1）符合组织的安全策略或安全需求； 2）满足利益相关方的期望； 3）符合组织业务价值。 建立风险评价准则的目的包括但不限于： 1）对风险评估的结果进行等级化处理； 2）能实现对不同风险的直观比较； 3）能确定组织后期的风险控制策略。 g）制定评估方案。 h）评估方案需得到主管单位的支持和批准。 6.2评估实施 6.2.1数据分类 6.2.1.1根据组织的政务数据安全需求以及相关法律法规的规定，按照组织政务数据安全管理的目标 和原则，组织定期梳理重要政务数据处理活动有关情况，形成重要政务数据目录。 6.2.1.2根据政务数据在经济社会发展中的重要程度，以及遭到篡改、破坏、泄露或者非法获取、非 法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对政务数据实行分类保护。 6.2.1.3可参照各地区、各部门以及相关行业、领域按照分保分灰保护制度确定的重要政务数据具体 目录。 6.2.2数据识别 6.2.2.1识别内容 系统资产识别包括资产分类和业务承载性识别两个方面。表1给出了系统资产识别的主要内容描 述。系统资产分类包括信息系统、数据资源和通信网络，业务承载性包括承载类别和关联程度。