一、如何确定評估觸發條件

《網絡安(ān)全法》提出網絡運營者應開展網絡安(ān)全認證、檢測、風險評估等活動，并通過網絡安(ān)全等級保護、信息安(ān)全風險評估等一系列标準對組織的網絡、信息安(ān)全風險評估工(gōng)作(zuò)進行落地指導。相較于網絡、信息安(ān)全風險評估，數據安(ān)全風險評估的工(gōng)作(zuò)要求、标準依據或正在征求意見，或尚未正式發布——這導緻許多(duō)數據處理(lǐ)者的數據安(ān)全風險評估工(gōng)作(zuò)仍處于起步階段，面臨着評估觸發條件不明确的“0号困境”。

部分(fēn)組織将同地區(qū)、同行業的組織遭遇數據安(ān)全事件或受到監管部門處罰作(zuò)為(wèi)自身開展風險評估的觸發條件：通過将這些公(gōng)開的事件或處罰信息内化形成風險信息檢查表單，對業務(wù)部門逐個開展數據安(ān)全風險排查專項工(gōng)作(zuò)。然而，此類專項排查工(gōng)作(zuò)投入高、收效低：不同的組織對數據安(ān)全風險的承受能(néng)力與管理(lǐ)需求存在較大的差異，公(gōng)開的信息披露有(yǒu)限且存在一定的滞後性，導緻組織難以有(yǒu)規劃地開展數據安(ān)全風險評估工(gōng)作(zuò)，評估内容參考性較低，對組織的風險啓示性不足。

解決思路：梳理(lǐ)适用(yòng)情形

針對這一問題，組織或評估機構可(kě)以參考國(guó)家标準《數據安(ān)全風險評估方法（征求意見稿）》的“5.4 評估适用(yòng)情形”。評估适用(yòng)情形列出了數據處理(lǐ)者開展數據安(ān)全風險評估的一些具(jù)體(tǐ)适用(yòng)情形。這些情形一是引述了國(guó)家法律法規中(zhōng)有(yǒu)關開展風險評估的要求與場景（例如：數據處理(lǐ)者在重要數據共享、交易、委托處理(lǐ)之前），在明确數據安(ān)全風險評估活動開展的必要性的同時，也提供了評估活動開展的法規依據；二是總結了組織常見的高風險數據處理(lǐ)活動（例如：基于不同業務(wù)目的的數據彙聚融合），為(wèi)組織或評估機構提供了更為(wèi)明确、直接的工(gōng)作(zuò)指引與建議；三是回應了如何持續開展評估的關切，已開展過風險評估的數據和數據處理(lǐ)活動一旦發生重大變更或變化，組織或評估機構應重新(xīn)實施風險評估，将風險評估融入組織的數據安(ān)全運營機制。實務(wù)操作(zuò)上，組織或評估機構可(kě)通過持續梳理(lǐ)數據安(ān)全風險評估的适用(yòng)情形，從評估要求的來源、内容等角度入手，分(fēn)析、判斷自身适宜開展評估活動的觸發條件、實施時機以及具(jù)體(tǐ)評估項的必要性，推動數據安(ān)全風險評估工(gōng)作(zuò)的常态化開展。

二、如何制定評估工(gōng)作(zuò)目标

數據處理(lǐ)者開展數據安(ān)全風險評估工(gōng)作(zuò)的主要目标可(kě)以被分(fēn)為(wèi)三層：一是落實監管要求，滿足國(guó)家法律法規關于開展風險評估的要求；二是摸底數據現狀，摸清自身數據和數據處理(lǐ)活動基本情況；三是提升安(ān)全能(néng)力，檢查重要的數據處理(lǐ)活動中(zhōng)是否存在管理(lǐ)、技(jì )術風險隐患，推動完善數據安(ān)全保護措施。三層目标共同促進數據處理(lǐ)者履行法定義務(wù)、建立健全數據安(ān)全制度、排查解決漏洞隐患，使數據處于有(yǒu)效保護和合法利用(yòng)、持續安(ān)全的狀态。

然而，大量組織未能(néng)正确、全面地認識數據安(ān)全風險評估的價值與目标：多(duō)數組織将第一層目标作(zuò)為(wèi)開展風險評估或其他(tā)風險治理(lǐ)工(gōng)作(zuò)的唯一目标——這導緻一旦缺少了國(guó)家法規或監管部門的強制性要求，這些組織開展數據安(ān)全風險評估工(gōng)作(zuò)的意願與動力也會随之喪失。

此外，由于大量組織前期未能(néng)全面掌握業務(wù)、數據和數據處理(lǐ)活動的特點以及潛在的漏洞隐患，其制定的數據安(ān)全風險管理(lǐ)策略無法反映組織的風險管理(lǐ)需求與準則，這也導緻組織即使開展了數據安(ān)全風險評估工(gōng)作(zuò)，也無法基于評估結果準确地衡量風險問題整改措施的投入産(chǎn)出比、實施優先級，甚至産(chǎn)生内部多(duō)方對風險評估結果難以達成共識、風險問題整改推進困難等問題，長(cháng)遠(yuǎn)來看，不利于組織數據安(ān)全風險的防範與治理(lǐ)。

解決思路：建立風險準則

針對這一問題，組織可(kě)以參考數據安(ān)全推進計劃發布的《數據安(ān)全治理(lǐ)實踐指南3.0》（以下簡稱《實踐指南3.0》），開展數據安(ān)全風險評估及治理(lǐ)專項，通過系統化的數據安(ān)全風險治理(lǐ)，建立組織的數據安(ān)全風險準則。

數據安(ān)全風險治理(lǐ)是以風險為(wèi)中(zhōng)心的方法論，提煉了組織管理(lǐ)數據安(ān)全風險時需要重點關注的五大環節，即：風險準則建立、風險要素識别、風險評估分(fēn)析、風險處置解決、風險治理(lǐ)改進。其中(zhōng)，風險準則建立是指通過分(fēn)析組織數據安(ān)全風險需求，識别組織的關鍵業務(wù)、數據和數據處理(lǐ)活動，形成風險治理(lǐ)準則，幫助組織将注意力與資源集中(zhōng)在那些超出自身承受能(néng)力的數據安(ān)全風險，在明确了風險治理(lǐ)重點對象的同時，也為(wèi)風險評估、整改等具(jù)體(tǐ)活動提供了判斷與執行标準。

實務(wù)操作(zuò)上，組織一是通過分(fēn)析風險需求，具(jù)體(tǐ)任務(wù)包括收集、整理(lǐ)自身适用(yòng)的數據安(ān)全、隐私保護法律法規，識别組織的關鍵業務(wù)、數據和數據處理(lǐ)活動，明确數據安(ān)全風險治理(lǐ)的範圍與重點對象；二是創建數據安(ān)全風險治理(lǐ)願景、使命，這一步需要與組織高層人員進行溝通、協商(shāng)，在獲得其批準與支持之後，形成基本的風險準則，明确組織的風險管理(lǐ)偏好；三是制定數據安(ān)全風險治理(lǐ)政策，這一步需要與内部相關方（例如：人力資源、法務(wù)、安(ān)全、營銷、IT團隊）進行商(shāng)議，在充分(fēn)了解相關方的業務(wù)與合規需求之後，制定風險管理(lǐ)政策，為(wèi)後續風險評估以及其他(tā)風險治理(lǐ)相關的工(gōng)作(zuò)提供實施方針、标準。

此外，針對組織或内部相關方無法正确理(lǐ)解風險評估的價值與目标這一問題，組織還可(kě)以通過工(gōng)作(zuò)動員會、研讨會、培訓講座等方式，宣貫組織的風險治理(lǐ)政策，解讀評估标準，讨論評估方案，加強業務(wù)部門對數據安(ān)全風險評估及其目标、價值的認知與理(lǐ)解，提升内部相關方對風險評估工(gōng)作(zuò)的參與程度，持續強化各方在數據安(ān)全風險評估以及治理(lǐ)工(gōng)作(zuò)的協同能(néng)力。

三、如何規劃評估實施範圍

組織數據安(ān)全風險的邊界持續擴展：傳統的安(ān)全防護通常采用(yòng)邊界防護策略保障靜态數據的安(ān)全。然而，一方面，組織的業務(wù)活動必然伴随着數據的流動，而數據廣泛存在于數據中(zhōng)心、雲端、終端等位置，數據資源暴露面的擴大意味着其面臨的威脅也成倍增加；另一方面，組織數據在多(duō)個業務(wù)、數據處理(lǐ)活動中(zhōng)與大量設備、人員産(chǎn)生交互，異常的行為(wèi)隐匿于海量的數據訪問行為(wèi)中(zhōng)，不僅變得更加隐蔽、難以識别，也無形中(zhōng)擴大了數據安(ān)全風險可(kě)波及的範圍。

因此，組織如何在日益複雜的業務(wù)及數據處理(lǐ)活動中(zhōng)，規劃數據安(ān)全風險評估的範圍，在既定的評估時間、範圍内識别出組織最為(wèi)關注的數據安(ān)全風險，是廣大數據處理(lǐ)者、評估機構在籌備評估工(gōng)作(zuò)過程中(zhōng)需要重點思考的問題。

解決思路：識别重點對象

為(wèi)了避免風險邊界過大導緻的評估“失焦”問題，提高數據安(ān)全風險評估的投入産(chǎn)出比，針對這一問題，組織可(kě)以參考《網絡數據安(ān)全風險評估實施指引》，在規劃評估範圍時，首先明确評估工(gōng)作(zuò)中(zhōng)的重點評估對象。

實務(wù)操作(zuò)上，組織可(kě)以參考數據分(fēn)類分(fēn)級的成果，将個人信息、重要數據、核心數據以及這些數據的處理(lǐ)活動作(zuò)為(wèi)重點評估對象，并抽樣選取一般數據及其數據處理(lǐ)活動，一并納入本次風險評估的範圍，在确保識别出重點評估對象面臨的風險的同時，也保障了評估的全面性。由于一般數據涵蓋範圍較廣，數據處理(lǐ)者可(kě)結合組織自身安(ān)全需求，對一般數據進行細化分(fēn)級，本報告将一般數據從低到高分(fēn)為(wèi)1級、2級、3級。

如果組織尚未開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)，則可(kě)以參考信息系統等級保護的相關要求，根據業務(wù)、信息系統的重要程度，選取核心業務(wù)系統或内部的重要信息系統（例如：大數據平台、人力資源系統、供應鏈系統）的數據和數據處理(lǐ)活動作(zuò)為(wèi)重點評估對象，重點評估其承載的數據和數據處理(lǐ)活動面臨的風險。這一解決思路目前已應用(yòng)于許多(duō)組織的數據安(ān)全風險評估實踐：組織選取某一重要的信息系統作(zuò)為(wèi)評估實施的“原點”，将其數據的來源、去向系統作(zuò)為(wèi)評估的範圍邊界，梳理(lǐ)該系統涉及的數據、數據處理(lǐ)活動并繪制數據流向圖，識别數據流轉過程中(zhōng)的操作(zuò)人員、操作(zuò)行為(wèi)以及操作(zuò)結果等信息，從而分(fēn)析潛在的數據安(ān)全風險問題。

轉載自：數據安(ān)全推進計劃