Image
全國統(tǒng)一服務(wù)熱線
0351-4073466

速速get!一文搞懂?dāng)?shù)據(jù)安全風(fēng)險(xiǎn)評估與等保測評、密評的區(qū)別→


編輯:2024-04-30 10:32:05

數(shù)據(jù)要素是數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素,數(shù)據(jù)安全是事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展的重大問題。近年來,我國數(shù)據(jù)安全保障體系建設(shè)穩(wěn)步推進(jìn),但隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大、數(shù)據(jù)價值不斷提高、數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化、數(shù)據(jù)安全的外延不斷擴(kuò)展,數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)偽造和隱私保護(hù)等風(fēng)險(xiǎn)也與日俱增。如何有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)與事件,是全球數(shù)字經(jīng)濟(jì)發(fā)展下的重點(diǎn)問題。



數(shù)據(jù)安全風(fēng)險(xiǎn)評估受到高度重視


數(shù)據(jù)安全相關(guān)政策的發(fā)布,為各行業(yè)企業(yè)開展數(shù)據(jù)安全評估提供了方法指引 ,推動了數(shù)據(jù)安全評估工作的落地實(shí)施 。


國家層面
?

《數(shù)據(jù)安全法》(2021年9月1日實(shí)施)

第二十二條 國家建立集中統(tǒng)一、*權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。


第三十條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)評估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等。


重點(diǎn)領(lǐng)域

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(工信部 2022年12月8日發(fā)布)

第三十一條  工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度,開展評估機(jī)構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范,指導(dǎo)評估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估、出境安全評估等工作。

地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全評估工作。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機(jī)構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險(xiǎn)評估,及時整改風(fēng)險(xiǎn)問題,并向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。


六十六條 (風(fēng)險(xiǎn)評估與審計(jì))

銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每年開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評估?!?.


那么數(shù)據(jù)安全風(fēng)險(xiǎn)評估

與我們所了解的等保測評、密評

有何區(qū)別呢?

跟著小密一起了解~

數(shù)據(jù)安全風(fēng)險(xiǎn)評估

與等保測評、密評的區(qū)別


開展網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估與數(shù)據(jù)安全風(fēng)險(xiǎn)評估都是網(wǎng)絡(luò)安全運(yùn)營者義不容辭的職責(zé)與義務(wù),這三項(xiàng)工作并非按照重要性排序,而是在安全防護(hù)的深度與廣度上各有側(cè)重。


法律要求不同

網(wǎng)絡(luò)安全等級保護(hù)測評是滿足《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”的要求;


商用密碼應(yīng)用安全性評估是滿足《中華人民共和國密碼法》第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估”的要求;


數(shù)據(jù)安全風(fēng)險(xiǎn)評估是滿足《中華人民共和國數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)評估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等”的要求。

開展對象不同

網(wǎng)絡(luò)安全等級保護(hù)測評和商用密碼應(yīng)用安全性評估針對已定級的等級保護(hù)對象開展,等級保護(hù)對象的范圍包括“應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”,根據(jù)國家標(biāo)準(zhǔn)分別對等級保護(hù)對象的安全防護(hù)現(xiàn)狀、密碼技術(shù)應(yīng)用情況開展測評。


數(shù)據(jù)安全風(fēng)險(xiǎn)評估圍繞數(shù)據(jù)和數(shù)據(jù)處理活動開展,可以是單位的全部數(shù)據(jù),也可以選取重點(diǎn)等級保護(hù)對象開展。數(shù)據(jù)處理活動包括已經(jīng)開展的數(shù)據(jù)處理活動,如數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用等,也可以針對即將開展的數(shù)據(jù)處理活動進(jìn)行評估,綜合評價即將開展的數(shù)據(jù)處理活動是否滿足合規(guī)要求和安全防護(hù)要求,如數(shù)據(jù)共享、數(shù)據(jù)交易、數(shù)據(jù)出境等。

安全風(fēng)險(xiǎn)不同

網(wǎng)絡(luò)安全等級保護(hù)測評,對等級保護(hù)對象開展測評,圍繞等級保護(hù)對象可能遭受的安全風(fēng)險(xiǎn)開展,遭受的風(fēng)險(xiǎn)包括惡意攻擊、軟硬件故障和管理不到位等安全風(fēng)險(xiǎn)。


商用密碼應(yīng)用安全性評估,對等級保護(hù)對象開展測評,主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯用、誤用等風(fēng)險(xiǎn)。


數(shù)據(jù)安全風(fēng)險(xiǎn)評估,對數(shù)據(jù)流動過程和數(shù)據(jù)處理過程的風(fēng)險(xiǎn)進(jìn)行評估,數(shù)據(jù)遭受的風(fēng)險(xiǎn)包括數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險(xiǎn),還關(guān)注數(shù)據(jù)處理活動的合規(guī)性,對違法違規(guī)獲取數(shù)據(jù)、違法違規(guī)出售數(shù)據(jù)、違法違規(guī)購買數(shù)據(jù)、違法違規(guī)出境數(shù)據(jù)等數(shù)據(jù)合規(guī)性風(fēng)險(xiǎn)進(jìn)行評估。


為了確保網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)與數(shù)據(jù)安全得到有效保障,在開展網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估時,還應(yīng)積極開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估。通過數(shù)據(jù)安全評估服務(wù),掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,提出數(shù)據(jù)安全管理和技術(shù)防護(hù)措施建議,提升數(shù)據(jù)安全能力以及滿足監(jiān)管合規(guī)的要求。



圖片


開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估

是數(shù)據(jù)安全保護(hù)的重要環(huán)節(jié)

是主管部門落實(shí)監(jiān)管職能的重要抓手

也是各方履行法定義務(wù)的必要程序


來源:成華密語

Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F(tuán)