隨著《數(shù)據(jù)安全法》、《個人信息保護(hù)法》、《數(shù)據(jù)出境安全管理辦法》等法律法規(guī)的落地實施，數(shù)據(jù)安全風(fēng)險評估已成為企業(yè)滿足監(jiān)管合規(guī)要求的必要手段；與此同時，對于龐大復(fù)雜的數(shù)據(jù)安全治理工作而言，數(shù)據(jù)安全風(fēng)險評估是實施數(shù)據(jù)安全建設(shè)的基礎(chǔ)工作，做好風(fēng)險評估對幫助企業(yè)發(fā)現(xiàn)安全漏洞、確定防護(hù)策略及預(yù)防風(fēng)險行為方面都具有重大意義。

對于企業(yè)而言，面對日益加劇的數(shù)據(jù)安全威脅，可控的風(fēng)險是確保數(shù)據(jù)安全的前提；此外，數(shù)據(jù)安全風(fēng)險評估的結(jié)果也是形成數(shù)據(jù)安全治理策略的重要依據(jù)。《數(shù)據(jù)安全作戰(zhàn)地圖——數(shù)據(jù)安全風(fēng)險評估》知識圖譜，以國家和行業(yè)規(guī)范要求為依據(jù)，基于對合規(guī)要求的深度理解和豐富實踐經(jīng)驗，將分散的風(fēng)險評估定義、流程、方法、工具等碎片化信息整合成體系化的知識架構(gòu)，并以此為基礎(chǔ)繪制了規(guī)范的風(fēng)險評估實踐指南，幫助企業(yè)快速掌握實施要點。

01關(guān)注“數(shù)據(jù)”的風(fēng)險評估

數(shù)據(jù)安全風(fēng)險評估應(yīng)當(dāng)堅持預(yù)防為主、主動發(fā)現(xiàn)、積極防范。不同于信息安全風(fēng)險評估，數(shù)據(jù)安全風(fēng)險評估是以“數(shù)據(jù)”為中心，從數(shù)據(jù)資產(chǎn)出發(fā)，結(jié)合業(yè)務(wù)場景對開展數(shù)據(jù)處理活動的情況、面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等進(jìn)行識別和評估，更關(guān)注伴隨業(yè)務(wù)流動的數(shù)據(jù)安全。

企業(yè)在開展數(shù)據(jù)安全風(fēng)險評估過程中往往會引入對是否落實數(shù)據(jù)安全、個人信息保護(hù)相關(guān)法律法規(guī)要求的檢查，對業(yè)務(wù)合規(guī)要求較高，即：數(shù)據(jù)安全風(fēng)險評估既包括合法合規(guī)性風(fēng)險，也包括脆弱性、威脅、技術(shù)安全性等風(fēng)險。參考《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》，并依據(jù)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)規(guī)范等要求，企業(yè)進(jìn)行數(shù)據(jù)安全風(fēng)險評估具體流程包括：評估準(zhǔn)備、信息調(diào)研、風(fēng)險識別、綜合分析及評估總結(jié)5個階段。

02風(fēng)險評估的原理和本質(zhì)

風(fēng)險并非獨立存在，數(shù)據(jù)安全風(fēng)險評估需要結(jié)合不同的業(yè)務(wù)應(yīng)用場景及不同階段的數(shù)據(jù)處理活動去動態(tài)識別風(fēng)險。風(fēng)險分析的原理是通過資產(chǎn)價值識別、合法合規(guī)性識別、已有安全措施識別、威脅識別和脆弱性識別及處理活動要素識別，得出企業(yè)所面臨的合法合規(guī)性風(fēng)險、數(shù)據(jù)安全事件發(fā)生的可能性以及數(shù)據(jù)安全事件發(fā)生對組織的影響度，從而得到數(shù)據(jù)安全風(fēng)險值，最后賦予風(fēng)險等級。

風(fēng)險評估的本質(zhì)就是基于對企業(yè)業(yè)務(wù)活動的梳理，對其進(jìn)行全面、客觀、深入的識別評估，發(fā)現(xiàn)數(shù)據(jù)安全方面的缺陷和威脅，并降低風(fēng)險。企業(yè)通過數(shù)據(jù)安全風(fēng)險評估，最終得到風(fēng)險評估結(jié)果；依據(jù)風(fēng)險評價等級并結(jié)合企業(yè)生產(chǎn)經(jīng)營的實際業(yè)務(wù)情況，幫助企業(yè)制定后續(xù)的數(shù)據(jù)安全風(fēng)險管控策略。

03企業(yè)開展自評估的要點

數(shù)據(jù)安全風(fēng)險不是靜態(tài)的，因此企業(yè)需要定期開展數(shù)據(jù)安全風(fēng)險評估工作，以確保掌握最新的數(shù)據(jù)安全風(fēng)險狀況。此外，依據(jù)法律法規(guī)要求，不論是解決涉及敏感信息的處理問題，還是數(shù)據(jù)出境場景下的合規(guī)差距分析，亦或是提升企業(yè)自身的數(shù)據(jù)風(fēng)險管理能力，企業(yè)都需要開展風(fēng)險自評估。

數(shù)據(jù)安全風(fēng)險評估的基礎(chǔ)是要優(yōu)先做好數(shù)據(jù)分類分級工作，即依據(jù)相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)規(guī)范全面識別企業(yè)數(shù)據(jù)資產(chǎn)，按照標(biāo)準(zhǔn)完成數(shù)據(jù)的分類和分級，形成風(fēng)險評估具體范圍；其次需要對業(yè)務(wù)數(shù)據(jù)流動鏈路進(jìn)行梳理和識別，從角色、系統(tǒng)、場景、環(huán)境等多要素關(guān)聯(lián)分析數(shù)據(jù)流轉(zhuǎn)情況，輸出數(shù)據(jù)流轉(zhuǎn)圖；最后基于數(shù)據(jù)流轉(zhuǎn)圖，識別數(shù)據(jù)處理活動及其合規(guī)性、風(fēng)險性。

數(shù)據(jù)安全風(fēng)險評估是一項復(fù)雜的工作，要執(zhí)行有效的數(shù)據(jù)安全風(fēng)險評估需要盡可能全面得完成資產(chǎn)發(fā)現(xiàn)、漏洞檢測、數(shù)據(jù)識別等；在這個過程中，企業(yè)可以合理使用輔助數(shù)據(jù)安全風(fēng)險評估工具，以減輕風(fēng)險評估實施工作量和成本。

9月8日，更高效、更全面、更精準(zhǔn)，全新一代“知鏡-數(shù)據(jù)安全檢測工具箱”即將重磅發(fā)布，多個硬核產(chǎn)品功能等你一起解鎖，敬請期待！