2024年6月20日,上海市通信管理局(以下简称“上海管局”)印发《上海市通信管理局关于纵深推进“浦江护航”数据安全专项行动的通知》(以下简称“‘浦江护航’专项行动”),部署了七项重点任务,其中重点任务四“全面加强行业数据安全风险评估管理”,要求电信领域重要数据处理者,每年至少开展一次数据安全风险评估,并在11月30日前向上海管局提交评估报告。该项重点任务是落实《数据安全法》、《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)及2024年6月1日刚生效的《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》)关于电信领域重要数据处理者应当开展数据安全风险评估的要求。本文将介绍《实施细则》的相关要求,以及如何开展数据安全风险评估,为企业落实评估工作提供参考。
一、《实施细则》关于数据安全风险评估的规定
《实施细则》的制定是为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,适用于对中国境内工信领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估,其要点包括:
二、数据安全风险评估的落地实践
《实施细则》提出数据安全风险评估的相关要求,同时工业和信息化部发布了YD/T 3956-2024《电信领域数据安全风险评估规范》,取代原有标准YD/T 3956-2021,为电信领域重要数据处理者开展数据处理活动的数据安全风险评估提供具体操作指引,“浦江护航”专项行动关于数据安全风险评估任务的落实亦是参照YD/T 3956-2024《电信领域数据安全风险评估规范》开展。
YD/T 3956-2024《电信领域数据安全风险评估规范》总览
三、数据安全风险评估的实施流程
数据安全风险评估的实施过程一般包括组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告等内容。实施风险评估包括数据处理活动分析、合规性评估及安全风险分析三部分,具体流程见下图:
组建专业化评估团队
评估团队至少包括组织管理、业务运营、技术保障、安全合规等人员;原则上应具备不少于5名专业评估人员,包括1名评估团队组长、4名评估团队成员,其中至少4人应熟悉数据安全风险评估的方法和流程,掌握依据数据安全风险评估相关标准规范开展风险评估的能力,并取得工业和信息化领域数据安全风险评估相关技能评价证书。
确定评估范围
数据安全风险评估范围应覆盖数据处理者全部重要数据和核心数据, 以及一定比例的一般数据。
制定评估工作方案
明确评估范围后,评估团队可根据实际需要制定风险评估工作方案,评估方案包括:评估范围、评估依据、评估团队基本信息、工作计划、使用的评估工具情况、保障条件等。
评估过程可以综合运用人员访谈、资料查验、人工核验、工具测试等方法。
数据处理活动分析
实施风险评估的第一步,是对重要数据和一般数据分别进行数据处理活动分析,形成数据处理活动分析表。
合规性评估
完成数据处理活动分析后,针对每个重要数据/核心数据、一般数据处理活动分别开展合规性评估:
*若合规性评估中正当必要性未满足,则合规性评估不通过;
*重要数据处理活动和一般数据处理活动依据不同要求,逐一进行合规性评估;基础性安全评估和数据全生命周期安全评估每项评估结果可分为符合、部分符合、不符合、不适用,分别对应1分、0.5分、0分,以及不计算得分。
*得分计算方式:针对基础性安全评估和数据全生命周期安全评估指标项,若X为符合项数量,Y为部分符合项数量、Z为不符合项数量,则平均归一化算数分值=(X+0.5Y)/(X+Y+Z)。平均归一化算数分值小于0.7,则判定合规性评估不通过;平均归一化算数分值大于等于0.7且满足正当必要性,则判定合规性评估通过。
安全风险分析
完成合规性评估后,进一步开展数据处理活动的安全风险分析。分别进行风险源识别和安全影响分析,得出对应的安全事件发生的可能性级别及安全影响级别,再根据综合风险研判矩阵,得出最终的数据处理活动安全风险等级。
整改复核
完成初评后,若存在安全风险,建议企业对识别出的风险开展整改工作,完成整改后,评估团队进行整改结果复核。
形成评估报告
评估报告应当包括YD/T3956所要求的数据处理者基本情况、评估团队基本情况、数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等,以及《实施细则》所要求包含的重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境。
四、总结
从“浦江护航”通知文件的要求可以看出,相比2023年,2024年专项行动上海管局将强化评估报告的质量审查,指导建立数据安全专家评审组,开展报告评审工作,对评估不合规的报告予以退回,并加强相关企业的数据安全管理情况督查检查;对未落实评估责任的单位依法依规予以通报和处罚。一方面,加强对评估报告的整体质量评审,除对评估不合规的报告予以退回,还将通过现场检查等方式核验企业所提交的评估报告的真实性、准确性;另一方面,加强评估人员专业资质要求,依据YD/T 3956-2024《电信领域数据安全风险评估规范》要求,不管是第三方评估机构的评估人员或企业自评估的内部评估人员,评估人员需具备数据安全风险评估的专业能力,持有工业和信息化领域数据安全风险评估相关技能证书。
今年,数据安全风险评估所参照的评估规范、评估要求与2023年有较大不同,我们建议,企业内部管理层应当提升对“浦江护航”行动任务的认识,尤其应充分了解数据安全相关法律责任,在组织内部自上而下协调各部门人员积极配合,结合企业实际业务和数据处理情况,组建专业化评估团队并制定工作方案,以便尽快开展相关工作。此外,企业还可依托外部第三方机构的专业服务开展工作,赛博研究院作为上海市通信管理局选定的首批“数据安全评估服务机构”及网络和数据安全专业支撑单位,具备扎实的研究能力及显著的专业优势,欢迎企业就数据安全风险评估在内的浦江护航行动专业问题进行垂询。
(来源:赛博研究院)