速速get!一文(wén)搞懂數據安(ān)全風險評估與等保測評、密評的區(qū)别→
編輯:2024-04-30 10:32:05
數據要素是數字經濟的核心生産(chǎn)要素,數據安(ān)全是事關國(guó)家安(ān)全和經濟社會發展的重大問題。近年來,我國(guó)數據安(ān)全保障體(tǐ)系建設穩步推進,但随着數據規模不斷擴大、數據價值不斷提高、數據應用(yòng)場景和參與主體(tǐ)日益多(duō)樣化、數據安(ān)全的外延不斷擴展,數據洩露、數據濫用(yòng)、數據篡改、數據僞造和隐私保護等風險也與日俱增。如何有(yǒu)效防範數據安(ān)全風險與事件,是全球數字經濟發展下的重點問題。
數據安(ān)全風險評估受到高度重視
數據安(ān)全相關政策的發布,為(wèi)各行業企業開展數據安(ān)全評估提供了方法指引 ,推動了數據安(ān)全評估工(gōng)作(zuò)的落地實施 。
《數據安(ān)全法》(2021年9月1日實施) 第二十二條 國(guó)家建立集中(zhōng)統一、*權威的數據安(ān)全風險評估、報告、信息共享、監測預警機制。國(guó)家數據安(ān)全工(gōng)作(zuò)協調機制統籌協調有(yǒu)關部門加強數據安(ān)全風險信息的獲取、分(fēn)析、研判、預警工(gōng)作(zuò)。 第三十條 重要數據的處理(lǐ)者應當按照規定對其數據處理(lǐ)活動定期開展風險評估,并向有(yǒu)關主管部門報送風險評估報告。風險評估報告應當包括處理(lǐ)的重要數據的種類、數量,開展數據處理(lǐ)活動的情況,面臨的數據安(ān)全風險及其應對措施等。
《工(gōng)業和信息化領域數據安(ān)全管理(lǐ)辦(bàn)法(試行)》(工(gōng)信部 2022年12月8日發布) 第三十一條 工(gōng)業和信息化部制定行業數據安(ān)全評估管理(lǐ)制度,開展評估機構管理(lǐ)工(gōng)作(zuò)。制定行業數據安(ān)全評估規範,指導評估機構開展數據安(ān)全風險評估、出境安(ān)全評估等工(gōng)作(zuò)。 地方行業監管部門分(fēn)别負責組織開展本地區(qū)數據安(ān)全評估工(gōng)作(zuò)。 工(gōng)業和信息化領域重要數據和核心數據處理(lǐ)者應當自行或委托第三方評估機構,每年對其數據處理(lǐ)活動至少開展一次風險評估,及時整改風險問題,并向本地區(qū)行業監管部門報送風險評估報告。 第六十六條 (風險評估與審計) 銀行保險機構應當每年開展一次數據安(ān)全風險評估。….. 那麽數據安(ān)全風險評估 與我們所了解的等保測評、密評 有(yǒu)何區(qū)别呢(ne)? 跟着小(xiǎo)密一起了解~
數據安(ān)全風險評估 與等保測評、密評的區(qū)别
開展網絡安(ān)全等級保護測評、商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估與數據安(ān)全風險評估都是網絡安(ān)全運營者義不容辭的職責與義務(wù),這三項工(gōng)作(zuò)并非按照重要性排序,而是在安(ān)全防護的深度與廣度上各有(yǒu)側重。
網絡安(ān)全等級保護測評是滿足《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》第二十一條“國(guó)家實行網絡安(ān)全等級保護制度”的要求; 商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估是滿足《中(zhōng)華人民(mín)共和國(guó)密碼法》第二十七條“法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的關鍵信息基礎設施,其運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護,自行或者委托商(shāng)用(yòng)密碼檢測機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估”的要求; 數據安(ān)全風險評估是滿足《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》第三十條“重要數據的處理(lǐ)者應當按照規定對其數據處理(lǐ)活動定期開展風險評估,并向有(yǒu)關主管部門報送風險評估報告。風險評估報告應當包括處理(lǐ)的重要數據的種類、數量,開展數據處理(lǐ)活動的情況,面臨的數據安(ān)全風險及其應對措施等”的要求。
網絡安(ān)全等級保護測評和商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估針對已定級的等級保護對象開展,等級保護對象的範圍包括“應用(yòng)、服務(wù)、信息技(jì )術資産(chǎn)或其他(tā)信息處理(lǐ)組件”,根據國(guó)家标準分(fēn)别對等級保護對象的安(ān)全防護現狀、密碼技(jì )術應用(yòng)情況開展測評。 數據安(ān)全風險評估圍繞數據和數據處理(lǐ)活動開展,可(kě)以是單位的全部數據,也可(kě)以選取重點等級保護對象開展。數據處理(lǐ)活動包括已經開展的數據處理(lǐ)活動,如數據采集、數據存儲、數據使用(yòng)等,也可(kě)以針對即将開展的數據處理(lǐ)活動進行評估,綜合評價即将開展的數據處理(lǐ)活動是否滿足合規要求和安(ān)全防護要求,如數據共享、數據交易、數據出境等。
網絡安(ān)全等級保護測評,對等級保護對象開展測評,圍繞等級保護對象可(kě)能(néng)遭受的安(ān)全風險開展,遭受的風險包括惡意攻擊、軟硬件故障和管理(lǐ)不到位等安(ān)全風險。 商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估,對等級保護對象開展測評,主要圍繞密碼算法、密碼協議、密碼産(chǎn)品、密鑰管理(lǐ)等棄用(yòng)、錯用(yòng)、誤用(yòng)等風險。 數據安(ān)全風險評估,對數據流動過程和數據處理(lǐ)過程的風險進行評估,數據遭受的風險包括數據洩露、數據破壞、數據丢失等數據安(ān)全風險,還關注數據處理(lǐ)活動的合規性,對違法違規獲取數據、違法違規出售數據、違法違規購(gòu)買數據、違法違規出境數據等數據合規性風險進行評估。 為(wèi)了确保網絡運營者的網絡與數據安(ān)全得到有(yǒu)效保障,在開展網絡安(ān)全等級保護測評、商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估時,還應積極開展數據安(ān)全風險評估。通過數據安(ān)全評估服務(wù),掌握數據安(ān)全總體(tǐ)狀況,發現數據安(ān)全隐患,提出數據安(ān)全管理(lǐ)和技(jì )術防護措施建議,提升數據安(ān)全能(néng)力以及滿足監管合規的要求。
開展數據安(ān)全風險評估
是數據安(ān)全保護的重要環節
是主管部門落實監管職能(néng)的重要抓手
也是各方履行法定義務(wù)的必要程序
來源:成華密語
咨詢熱線(xiàn):0351-4073466
地址:(北區(qū))山(shān)西省太原市迎澤區(qū)新(xīn)建南路文(wén)源巷24号文(wén)源公(gōng)務(wù)中(zhōng)心5層
(南區(qū))太原市小(xiǎo)店(diàn)區(qū)南中(zhōng)環街(jiē)529 号清控創新(xīn)基地A座4層
