Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

速速get!一文搞懂數據安全風(fēng)險評估與等保測評、密評的區別→


編輯:2024-04-30 10:32:05

數據要素是數字經(jīng)濟的核心生產(chǎn)要素,數據安全是事關(guān)國家安全和經(jīng)濟社會(huì )發(fā)展的重大問(wèn)題。近年來(lái),我國數據安全保障體系建設穩步推進(jìn),但隨著(zhù)數據規模不斷擴大、數據價(jià)值不斷提高、數據應用場(chǎng)景和參與主體日益多樣化、數據安全的外延不斷擴展,數據泄露、數據濫用、數據篡改、數據偽造和隱私保護等風(fēng)險也與日俱增。如何有效防范數據安全風(fēng)險與事件,是全球數字經(jīng)濟發(fā)展下的重點(diǎn)問(wèn)題。



數據安全風(fēng)險評估受到高度重視


數據安全相關(guān)政策的發(fā)布,為各行業(yè)企業(yè)開(kāi)展數據安全評估提供了方法指引 ,推動(dòng)了數據安全評估工作的落地實(shí)施 。


國家層面
?

《數據安全法》(2021年9月1日實(shí)施)

第二十二條 國家建立集中統一、*權威的數據安全風(fēng)險評估、報告、信息共享、監測預警機制。國家數據安全工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)加強數據安全風(fēng)險信息的獲取、分析、研判、預警工作。


第三十條 重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告。風(fēng)險評估報告應當包括處理的重要數據的種類(lèi)、數量,開(kāi)展數據處理活動(dòng)的情況,面臨的數據安全風(fēng)險及其應對措施等。


重點(diǎn)領(lǐng)域

《工業(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》(工信部 2022年12月8日發(fā)布)

第三十一條  工業(yè)和信息化部制定行業(yè)數據安全評估管理制度,開(kāi)展評估機構管理工作。制定行業(yè)數據安全評估規范,指導評估機構開(kāi)展數據安全風(fēng)險評估、出境安全評估等工作。

地方行業(yè)監管部門(mén)分別負責組織開(kāi)展本地區數據安全評估工作。

工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動(dòng)至少開(kāi)展一次風(fēng)險評估,及時(shí)整改風(fēng)險問(wèn)題,并向本地區行業(yè)監管部門(mén)報送風(fēng)險評估報告。


六十六條 (風(fēng)險評估與審計)

銀行保險機構應當每年開(kāi)展一次數據安全風(fēng)險評估?!?.


那么數據安全風(fēng)險評估

與我們所了解的等保測評、密評

有何區別呢?

跟著(zhù)小密一起了解~

數據安全風(fēng)險評估

與等保測評、密評的區別


開(kāi)展網(wǎng)絡(luò )安全等級保護測評、商用密碼應用安全性評估與數據安全風(fēng)險評估都是網(wǎng)絡(luò )安全運營(yíng)者義不容辭的職責與義務(wù),這三項工作并非按照重要性排序,而是在安全防護的深度與廣度上各有側重。


法律要求不同

網(wǎng)絡(luò )安全等級保護測評是滿(mǎn)足《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”的要求;


商用密碼應用安全性評估是滿(mǎn)足《中華人民共和國密碼法》第二十七條“法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估”的要求;


數據安全風(fēng)險評估是滿(mǎn)足《中華人民共和國數據安全法》第三十條“重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告。風(fēng)險評估報告應當包括處理的重要數據的種類(lèi)、數量,開(kāi)展數據處理活動(dòng)的情況,面臨的數據安全風(fēng)險及其應對措施等”的要求。

開(kāi)展對象不同

網(wǎng)絡(luò )安全等級保護測評和商用密碼應用安全性評估針對已定級的等級保護對象開(kāi)展,等級保護對象的范圍包括“應用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”,根據國家標準分別對等級保護對象的安全防護現狀、密碼技術(shù)應用情況開(kāi)展測評。


數據安全風(fēng)險評估圍繞數據和數據處理活動(dòng)開(kāi)展,可以是單位的全部數據,也可以選取重點(diǎn)等級保護對象開(kāi)展。數據處理活動(dòng)包括已經(jīng)開(kāi)展的數據處理活動(dòng),如數據采集、數據存儲、數據使用等,也可以針對即將開(kāi)展的數據處理活動(dòng)進(jìn)行評估,綜合評價(jià)即將開(kāi)展的數據處理活動(dòng)是否滿(mǎn)足合規要求和安全防護要求,如數據共享、數據交易、數據出境等。

安全風(fēng)險不同

網(wǎng)絡(luò )安全等級保護測評,對等級保護對象開(kāi)展測評,圍繞等級保護對象可能遭受的安全風(fēng)險開(kāi)展,遭受的風(fēng)險包括惡意攻擊、軟硬件故障和管理不到位等安全風(fēng)險。


商用密碼應用安全性評估,對等級保護對象開(kāi)展測評,主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯用、誤用等風(fēng)險。


數據安全風(fēng)險評估,對數據流動(dòng)過(guò)程和數據處理過(guò)程的風(fēng)險進(jìn)行評估,數據遭受的風(fēng)險包括數據泄露、數據破壞、數據丟失等數據安全風(fēng)險,還關(guān)注數據處理活動(dòng)的合規性,對違法違規獲取數據、違法違規出售數據、違法違規購買(mǎi)數據、違法違規出境數據等數據合規性風(fēng)險進(jìn)行評估。


為了確保網(wǎng)絡(luò )運營(yíng)者的網(wǎng)絡(luò )與數據安全得到有效保障,在開(kāi)展網(wǎng)絡(luò )安全等級保護測評、商用密碼應用安全性評估時(shí),還應積極開(kāi)展數據安全風(fēng)險評估。通過(guò)數據安全評估服務(wù),掌握數據安全總體狀況,發(fā)現數據安全隱患,提出數據安全管理和技術(shù)防護措施建議,提升數據安全能力以及滿(mǎn)足監管合規的要求。



圖片


開(kāi)展數據安全風(fēng)險評估

是數據安全保護的重要環(huán)節

是主管部門(mén)落實(shí)監管職能的重要抓手

也是各方履行法定義務(wù)的必要程序


來(lái)源:成華密語(yǔ)

Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F