网络数据安全风险评估
按照国家数据安全相关法律法规和政策标准,对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价,形成数据安全风险评估报告。
网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估。旨在:
→ 掌握数据安全总体状况 → 发现数据安全隐患。 → 提出数据安全管理和技术防护措施建议。 → 提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
→ 数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
→ 首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安全风险、视情评价风险,并给出整改建议。
《网络数据安全风险评估报告》包含但不限于以下内容:
→ 评估概述:包括评估目的及依据,评估对象和范围,评估结论概要等。
→ 评估工作情况:包括评估人员、评估时间安排、评估工具和环境情况等。
→ 信息调研情况:包括数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等情况。
→ 数据安全风险识别:包括数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别的风险隐患和问题情况。
→ 风险综合分析:对数据安全问题可能带来的安全风险进行综合分析,视情从风险对国家安全、公共利益、行业、组织或者个人的合法权益造成的影响程度、风险发生可能性等角度对风险进行评价。
→ 整改建议:针对发现的数据安全问题或风险,提出整改措施或风险处置建议。
