《电信领域数据安全风险评估规范》YD/T 3956-2024(以下简称“本规范”)规定了电信领域数据安全风险评估的原则、流程、方法及工具等要求,为电信领域处理者围绕数据处理活动开展数据安全风险评估提供参考。本文结合本规范内容,重新组合梳理本规范的要点及内容,以问答的形式进行解读,便于电信领域相关主体更加全方位了解本规范的相关核心要点,进一步开展数据安全风险防范及评估工作。具体如下:
1
如何理解风险评估?
答:风险评估 = 风险识别 + 风险分析 + 风险评价。
2
如何界定电信处理者?
答:电信处理者 = 经营许可 && (自主决定处理目的 || 自主决定处理方式)。
3
何为电信领域重要数据?
答:电信领域重要数据 = 非法方式(篡改、破坏、泄露等) + 危害主体(国家安全、公共利益) 。
注:包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据。
4
何为电信领域核心数据?
答:电信领域核心数据 = 非法方式(篡改、破坏、泄露等) + 危害主体(国家安全、国民经济命脉、重要民生、重大公共利益等)。
注:包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据。
5
如何理解电信领域数据安全风险评估?
答:电信领域数据安全风险评估 = 合规性评估 + 安全风险分析。
6
电信数据安全领域合规性评估由什么组成?
答:合规性评估 = 主干(正当必要性评估 + 基础性安全评估 + 数据全生命周期安全评估) + 要点(重点分析数据处理目的、方式、范围以及保障能力等是否合法合规)。
7
何为电信数据安全领域安全风险分析?
答:安全风险分析 = 前置性分析(风险源识别(数据处理活动面临的威胁) + 安全影响分析(保障措施分析、发生安全事件影响范围和程度分析)) + 结果性分析( 综合风险研判(研判数据处理活动安全风险等级))。
8
本规范遵循的原则是什么,提出哪些要点?
答:结合本规范5.1章节对评估原则在规范性、客观公正、可复现、可控性、完备性、最小影响、保密性原则遵循可看出,原则涉及的主要元素可归纳为评估人员、评估对象、评估过程、评估结果。具体如下:
8.1评估人员:
充分收集证据;确定评估范围;遵循电信领域相关要求等。
8.2评估对象:
评估实施安全措施的有效性;评估实施安全措施的可靠性。
8.3评估过程:
保障参与人员可控;保障使用技术可控;保障使用工具可控;保障评估过程可控;保障不会对评估对象涉及的应用、系统、网络运行产生显著影响;保护数据处理者商业秘密不被泄露。
8.4评估结果:
保证客观公正;每个评估实施过程的重复执行都应得到同样的评估结果。
9
实施风险评估的整体流程有哪些步骤?
答:整体流程= 实施过程(组建评估团队 + 确定评估规范 + 制定评估方案 + 实施风险评估 + 形成评估报告) + 风险评估(数据处理活动分析 + 合规性评估 + 安全风险分析)。
电信领域数据安全评估流程
10
如何组建评估团队?
答:评估团队 = 人员 + 能力。
10.1人员:具备不少于5名专业评估人员,包括1名评估团队的组长、4名评估团队成员。
10.2能力:其中至少应熟悉数据安全风险评估的方法和流程,掌握依据数据安全风险评估相关标准规范开展风险评估的能力,并取得工业和信息化领域数据安全风险评估相关技能评价证书。
11
委托第三方进行评估规定了哪些要求?
答:委托第三方 = 共同组建 + 人员组成 + 职责安排 +书面契约。
11.1共同组建:数据处理者与被委托机构共同组建评估团队。
11.2人员组成:团队组长和团队成员。
11.3职责安排:数据处理者应指定本单位至少1名数据安全专业人员为评估工作对接人,负责协调本单位资源、对第三方评估机构工作进行管理和监督。
11.4书面契约:评估前签订书面评估委托协议或评估合同。
12
数据安全风险评估范围应覆盖哪些?
答:评估范围 = 覆盖数据处理者全部重要数据 + 覆盖一定比例的一般数据。
13
评估方案应包含哪些内容?
答:评估方案 = 评估范围 + 评估依据 + 评估团队基本信息 + 工作计划 + 使用的评估工具情况 + 保障条件等。
14
评估报告应包含哪些内容?(至少包括)
答:评估报告 = 数据处理者基本情况 + 评估团队基本情况 + 数据处理活动分析 + 合规性评估 + 安全风险分析 + 评估结论 + 应对措施。
15
风险评估应遵循的方法有哪些?
答:风险评估 = 人员访谈 + 资料查验 + 人工核验 + 工具测试。
15.1人员访谈:形式(交流、讨论、询问等)、评估人员(了解、分析、取证保障措施设计和实施情况)、数据处理者(安排熟悉情况人员参加访谈)。
15.2资料查验:评估人员(查阅数据安全管理制度、安全策略和机制、合同协议、安全配置和设计文档、系统运行记录等相关文件)、数据处理者(提前准备评估人员所需查阅的文档)。
15.3人工核验:数据处理者(围绕应用、系统、网络等评估数据安全保障措施有效性)。
15.4工具测试:评估人员(通过工具查看、分析被测试响应输出结果,评估数据安全保障措施有效性) + 数据处理者(提前准备测试环境) + 工具检测(使用前充分检测可能对数据载体、业务连续的影响)。
16
16.对评估工具有哪些限制要求?
答:评估工具要求 = 安全要求 + 使用要求。
16.1安全要求:
面向评估工具:来源可靠;不对生产运营造成影响;通过检测和校验。
16.2使用要求:
面向评估团队:人员对工具使用具有熟练度;安全、规范、合理使用工具;慎重实施(承载数据的系统、设备等);避免业务高峰期开展。
17
17.本规范提出的常见数据安全风险评估工具有哪些?
答:数据资产扫描工具、数据流量分析工具、系统脆弱性扫描工具、系统主机安全检查工具、数据安全检测评估工具等。
18
18. 如何实施风险评估?(至少包括)
答:实施风险评估 = 数据处理活动分析 + 开展合规性评估 + 开展安全风险分析 + 形成评估结论。
18.1数据处理活动分析:
正式开展风险评估前进行;识别所有数据处理活动;识别各处理活动所对应的数据类型、名称、数量;识别处理活动目的、方式、频率等;划分处理活动所涉及数据的级别(一般数据处理活动分析、重要数据和核心数据处理分析)。
18.2开展合规性评估:
正当必要性评估(充分必要条件):若正当必要性为满足,则合规性评估不通过。如:处理目的是否合理正当、所涉及的数据数量、类型、频率是否为该目的下的最小范围等。
基础性安全评估(必要条件):按照一般数据处理活动、重要数据和核心数据处理活动双维度,围绕组织保障、数据分类分级、权限管理、日志留存、风险监测预警、应急处置、安全评估、教育培训进行展开。
通过本规范要求可看出:
(一)组织保障:一是强调需匹配具有专业能力和经验的查验数据处理者数据安全岗位人员,并对人员名单的基本信息进行记录;二是对如何形成查验数据处理者数据安全管理制度文档进行了明确要求,要求围绕数据安全基础性管理和数据全生命周期各环节安全形成保护要求和操作规程、覆盖基本能力、建立数据安全管理制度等;
(二)数据分类分级:主要查验数据处理者的数据分类分级管理制度、数据资产相关制度文件及完备性。并强调要按照电信主管部门要求以及相关标准规则制定数据分级标准识别重要数据和核心数据,明确各级数据界限,制定差异化保护策略等;
(三)权限管理:主要对数据访问权限管理制度、演示账号生命周期管理流程、系统权限分配表更新情况、有关平台的风险操作及是否配备安全管理措施等进行查验;
(四)日志留存:对日志管理制度相关文件、日志审计相关制度、日志审计报告等的完备性、整改情况等进行查验;对日志及系统运行日志记录留存时间进行查验;
(五)风险监测预警:主要对数据安全风险预警相关制度文件、预警方案、上报记录的完备性、主动性(定期开展风险监测预警、主动上报风险记录)、处置记录等进行查验;
(六)应急处置:主要对应急预案的业务场景考虑情况,应急演练工作记录的完备性,应急响应处置记录的完备性进行查验;
(七)安全评估:主要对数据处理者数据安全风险评估报告或自查记录内容的完善性、对风险或问题跟踪记录的整改情况及整改的有效性进行查验;
(八)教育培训:主要对培训涵盖内容中否包含对意识、合规、技能、制度遵循等进行查验;并查验丢教育培训工作记录的完备性进行查验,尤其是针对考核评定的记录。
数据全生命周期安全评估(必要条件):
(一)数据收集:主要对数据收集相关的制度文件、管理要求的完备性进行查验;对用户协议、隐私政策文件的收集目的、用途、范围、公开等的明确性进行查验;
(二)数据存储:主要对数据存储环节相关制度文件的完备性查验;对保密协议或数据安全责任内容在范围、权限、违约责任约束上进行查验;对数据存储系统核心功能、安全配置策略等权限控制情况进行查验;
(三)数据使用加工:对数据使用加工管理制度在合规、数据分类分级策略明确性等内容的完备性进行查验;对数据导出动作在内容的明确上(如:场景、范围、审批规则、数量、类型)等明确性、最小必要原则遵循上进行查验;
(四)数据传输:对数据传输相关文件、操作规程的网络安全域划分合规、数据安全防护策略合规、数据安全保护规则等内容完善上进行查验;对数据传输安全防护技术措施的落实情况进行查验等;
(五)数据提供:对数据提供相关制度文件内容要点进行查验(如:区分场景、安全策略、操作规程、范围、类别、条件和程序等);对数据提供清单的内容及更新状态进行查验;对数据提供服务合同或协议所遵循的原则(最小必要)和数据范围、使用权、用途、保护责任等的明确性上进行查验;
(六)数据出境:制定数据出境活动清单、数据出境安全评估报告等,是否开展评估、评估结果如何、包含哪些内容、是否对国家安全合法权益、是否公共利益合法权益、是否对个人或组织合法权益、是否向主管单位申报并批准进行查验;对订立的合同或其他具有法律效力的文件内容、履行的义务、采取的措施进行查验;
(七)数据公开:对数据公开相关制度文件的范围、类型、条件、流程、影响、场景区分等的明确性上进行查验,对数据公开策略和操作规程是否针对不同的数据公开场景进行建立进行查验;对数据公开相关业务系统的审批记录的流程、内容、留存、业务场景满足、授权范围等进行查验;对是否在数据公开前开展数据安全风险评估进行查验等;
(八)数据销毁:对数据销毁相关制度文件形成基础(如:是否结合数据分类分级管理制度等)、内容明确性(如:销毁对象、销毁原因等)进行查验;对存储介质销毁措施进行查验;对销毁后资源回收和销毁过程记录进行查验。
18.3开展安全风险分析:
安全风险分析由风险源识别、安全影响分析、综合风险研判组成。其中综合风险研判是风险源识别和安全影响分析的终极形态,风险源识别和安全影响分析是综合风险研判的基础能力支撑;三者相互促进、相互辅助,形成针对安全风险分析的能力。
(一) 风险源识别:通过风险源识别中的网络环境和基础措施、管理制度和处理流程、参与人员和获取方管理、安全态势的可能性描述,判断其可能性级别。
(二) 安全影响分析:通过对安全影响分析的数据安全事件影响范围、类别、后果安全影响描述,判断其安全影响级别;
(三) 综合风险研判 :综合风险判断通过风险源识别判断的级别和安全影响分析判断的影响进行组合性判定,评估团队根据综合性判定研判数据处理活动安全风险等级,安全风险等级分为极高、高、中、低四级。
18.5形成评估结论:
评估团队需产出电信领域数据安全风险评估报告,并保障结果真实、准确。对发现的安全隐患,明确告诉数据处理者应及时采取有效措施消除风险。
基于YD/T 1730-2024《电信网和互联网安全风险评估规范》,我司可以提供如下服务:
1、数据安全风险评估服务
通过深度的业务需求对接,协助客户确定风险评估的目标、对象和范围,组建专业的评估团队,开展前期调研,制定详细的评估方案,并确定评价准则。包括业务识别、威胁识别、脆弱性识别、安全措施识别等风险要素识别,然后基于识别的风险要素,运用风险评估原理和方法,进行风险分析和计算,确定风险的严重程度和可能性。并根据风险分析和计算的结果,对风险进行评价和排序,确定风险等级和优先级,为企业提供针对性的风险处置建议。
2、安全解决方案设计与实施
根据风险评估结果,设计符合企业实际需求的数据安全解决方案,包括数据安全架构设计、数据安全策略制定、数据安全流程优化等。为企业提供部署必要的安全产品(如数据脱敏、数据防泄漏、加密设备等)和服务(如安全运维、应急响应等)建议,提升企业的安全防护能力。
3、数据安全专家培训与咨询
为企业提供数据安全专家培训服务,提高企业员工的数据安全意识和技能;同时提供数据安全咨询服务,帮助企业了解和遵守相关的法律法规、行业标准和政策要求,解答企业在安全管理和防护方面的疑问。
爱加密凭借深厚的行业底蕴与前沿的技术实力,始终站在信息安全的最前沿。我们致力于为金融、政府、运营商、军工、能源等各行业提供全方位、一站式的信息安全解决方案。爱加密以创新的安全策略与专业的服务团队,全程护航应用安全建设的每一个阶段。从初期的安全设计评估到中期的开发测试与优化,再到后期的安全发布与运营维护,我们确保每一环节都坚如磐石,为您打造一个安全无忧、和谐共生的数字世界。在数字化转型的浪潮中,爱加密愿与您并肩作战,共创辉煌!
欢迎给我们留言
点击关注,不错过下次精彩内容