Image
全國統(tǒng)一服務(wù)熱線
0351-4073466

速速get!一文搞懂數(shù)據(jù)安全風險評估與等保測評、密評的區(qū)別→


編輯:2024-04-30 10:32:05

數(shù)據(jù)要素是數(shù)字經(jīng)濟的核心生產(chǎn)要素,數(shù)據(jù)安全是事關(guān)國家安全和經(jīng)濟社會發(fā)展的重大問題。近年來,我國數(shù)據(jù)安全保障體系建設(shè)穩(wěn)步推進,但隨著數(shù)據(jù)規(guī)模不斷擴大、數(shù)據(jù)價值不斷提高、數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化、數(shù)據(jù)安全的外延不斷擴展,數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)偽造和隱私保護等風險也與日俱增。如何有效防范數(shù)據(jù)安全風險與事件,是全球數(shù)字經(jīng)濟發(fā)展下的重點問題。



數(shù)據(jù)安全風險評估受到高度重視


數(shù)據(jù)安全相關(guān)政策的發(fā)布,為各行業(yè)企業(yè)開展數(shù)據(jù)安全評估提供了方法指引 ,推動了數(shù)據(jù)安全評估工作的落地實施 。


國家層面
?

《數(shù)據(jù)安全法》(2021年9月1日實施)

第二十二條 國家建立集中統(tǒng)一、*權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預(yù)警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預(yù)警工作。


第三十條 重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。


重點領(lǐng)域

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(工信部 2022年12月8日發(fā)布)

第三十一條  工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度,開展評估機構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范,指導(dǎo)評估機構(gòu)開展數(shù)據(jù)安全風險評估、出境安全評估等工作。

地方行業(yè)監(jiān)管部門分別負責組織開展本地區(qū)數(shù)據(jù)安全評估工作。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當自行或委托第三方評估機構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風險評估,及時整改風險問題,并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告。


六十六條 (風險評估與審計)

銀行保險機構(gòu)應(yīng)當每年開展一次數(shù)據(jù)安全風險評估。…..


那么數(shù)據(jù)安全風險評估

與我們所了解的等保測評、密評

有何區(qū)別呢?

跟著小密一起了解~

數(shù)據(jù)安全風險評估

與等保測評、密評的區(qū)別


開展網(wǎng)絡(luò)安全等級保護測評、商用密碼應(yīng)用安全性評估與數(shù)據(jù)安全風險評估都是網(wǎng)絡(luò)安全運營者義不容辭的職責與義務(wù),這三項工作并非按照重要性排序,而是在安全防護的深度與廣度上各有側(cè)重。


法律要求不同

網(wǎng)絡(luò)安全等級保護測評是滿足《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條“國家實行網(wǎng)絡(luò)安全等級保護制度”的要求;


商用密碼應(yīng)用安全性評估是滿足《中華人民共和國密碼法》第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”的要求;


數(shù)據(jù)安全風險評估是滿足《中華人民共和國數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等”的要求。

開展對象不同

網(wǎng)絡(luò)安全等級保護測評和商用密碼應(yīng)用安全性評估針對已定級的等級保護對象開展,等級保護對象的范圍包括“應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”,根據(jù)國家標準分別對等級保護對象的安全防護現(xiàn)狀、密碼技術(shù)應(yīng)用情況開展測評。


數(shù)據(jù)安全風險評估圍繞數(shù)據(jù)和數(shù)據(jù)處理活動開展,可以是單位的全部數(shù)據(jù),也可以選取重點等級保護對象開展。數(shù)據(jù)處理活動包括已經(jīng)開展的數(shù)據(jù)處理活動,如數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用等,也可以針對即將開展的數(shù)據(jù)處理活動進行評估,綜合評價即將開展的數(shù)據(jù)處理活動是否滿足合規(guī)要求和安全防護要求,如數(shù)據(jù)共享、數(shù)據(jù)交易、數(shù)據(jù)出境等。

安全風險不同

網(wǎng)絡(luò)安全等級保護測評,對等級保護對象開展測評,圍繞等級保護對象可能遭受的安全風險開展,遭受的風險包括惡意攻擊、軟硬件故障和管理不到位等安全風險。


商用密碼應(yīng)用安全性評估,對等級保護對象開展測評,主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯用、誤用等風險。


數(shù)據(jù)安全風險評估,對數(shù)據(jù)流動過程和數(shù)據(jù)處理過程的風險進行評估,數(shù)據(jù)遭受的風險包括數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)丟失等數(shù)據(jù)安全風險,還關(guān)注數(shù)據(jù)處理活動的合規(guī)性,對違法違規(guī)獲取數(shù)據(jù)、違法違規(guī)出售數(shù)據(jù)、違法違規(guī)購買數(shù)據(jù)、違法違規(guī)出境數(shù)據(jù)等數(shù)據(jù)合規(guī)性風險進行評估。


為了確保網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)與數(shù)據(jù)安全得到有效保障,在開展網(wǎng)絡(luò)安全等級保護測評、商用密碼應(yīng)用安全性評估時,還應(yīng)積極開展數(shù)據(jù)安全風險評估。通過數(shù)據(jù)安全評估服務(wù),掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,提出數(shù)據(jù)安全管理和技術(shù)防護措施建議,提升數(shù)據(jù)安全能力以及滿足監(jiān)管合規(guī)的要求。



圖片


開展數(shù)據(jù)安全風險評估

是數(shù)據(jù)安全保護的重要環(huán)節(jié)

是主管部門落實監(jiān)管職能的重要抓手

也是各方履行法定義務(wù)的必要程序


來源:成華密語

Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F