为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,制定《网络安全标准实践指南—网络数据安全风险评估实施指引》(以下简称《评估指引》)。
《评估指引》给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险;适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。
《评估指引》第3条指出,网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
网络数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。
附:《网络安全标准实践指南—网络数据安全风险评估实施指引》全文
文章来自:https://www.freebuf.com/