Image
全國統一服務(wu)熱線
0351-4073466

速速get!一文搞懂數據安全風險評估與等保測評、密評的區別→

編輯(ji):2024-04-30 10:32:05

數(shu)(shu)據(ju)要素是數(shu)(shu)字經(jing)濟(ji)的核心生產要素,數(shu)(shu)據(ju)安全是事關國家安全和經(jing)濟(ji)社會發展(zhan)的重大問題。近年來,我國數(shu)(shu)據(ju)安全保障體系建設穩步推進,但隨著數(shu)(shu)據(ju)規模不(bu)斷(duan)擴(kuo)大、數(shu)(shu)據(ju)價值不(bu)斷提高、數(shu)據(ju)應用場(chang)景(jing)和(he)參與主體日(ri)益多樣化、數(shu)(shu)據安全(quan)的(de)外延不斷(duan)擴展,數(shu)(shu)據泄露(lu)、數(shu)(shu)據濫用、數(shu)(shu)據篡改、數(shu)(shu)據偽(wei)造和(he)隱私保(bao)護等風險(xian)也與日(ri)俱增。如何有效防范數(shu)(shu)據安全(quan)風險(xian)與事件,是全(quan)球數(shu)(shu)字經(jing)濟發展下的(de)重點問題。



數據安全(quan)風險(xian)評估受到(dao)高度重視(shi)


數據(ju)安(an)全(quan)相關(guan)政策的發布,為各行(xing)業企業開展數據(ju)安(an)全(quan)評(ping)估提供了方法指引 ,推動了數據(ju)安(an)全(quan)評(ping)估工作的落地實施 。


國家層面
?

《數據安全(quan)法(fa)》(2021年9月1日實(shi)施)

第二(er)十二(er)條(tiao) 國家建立集中統一(yi)、*權威的(de)數(shu)據(ju)安(an)全風險評(ping)估(gu)、報告、信息共享、監測預警(jing)機制。國家數(shu)據(ju)安(an)全工作(zuo)協調機制統籌(chou)協調有關部門(men)加強數(shu)據(ju)安(an)全風險信息的(de)獲取、分析、研(yan)判、預警(jing)工作(zuo)。


第(di)三十條 重要數據(ju)的(de)(de)處(chu)理(li)者應當按照規定(ding)對(dui)(dui)其(qi)(qi)數據(ju)處(chu)理(li)活動定(ding)期開(kai)展風(feng)(feng)險評(ping)(ping)估(gu)(gu),并向有關主管部(bu)門報送風(feng)(feng)險評(ping)(ping)估(gu)(gu)報告(gao)。風(feng)(feng)險評(ping)(ping)估(gu)(gu)報告(gao)應當包括(kuo)處(chu)理(li)的(de)(de)重要數據(ju)的(de)(de)種(zhong)類、數量,開(kai)展數據(ju)處(chu)理(li)活動的(de)(de)情況,面臨的(de)(de)數據(ju)安全風(feng)(feng)險及其(qi)(qi)應對(dui)(dui)措施等(deng)。


重點領域

《工業和信(xin)息(xi)化領域(yu)數據安(an)全管理辦(ban)法(試行)》(工信(xin)部 2022年12月8日發布)

第三十一(yi)條  工(gong)業(ye)和信息化部制(zhi)定(ding)行(xing)業(ye)數據(ju)安全(quan)評(ping)估(gu)(gu)管理制(zhi)度,開展(zhan)評(ping)估(gu)(gu)機(ji)構管理工(gong)作。制(zhi)定(ding)行(xing)業(ye)數據(ju)安全(quan)評(ping)估(gu)(gu)規范,指導評(ping)估(gu)(gu)機(ji)構開展(zhan)數據(ju)安全(quan)風險評(ping)估(gu)(gu)、出(chu)境(jing)安全(quan)評(ping)估(gu)(gu)等工(gong)作。

地方行(xing)業(ye)監管部門分別負責組織(zhi)開展本地區數據(ju)安全(quan)評估工作。

工業和信息(xi)化領域(yu)重要數據(ju)(ju)(ju)和核心數據(ju)(ju)(ju)處理(li)者應(ying)當自(zi)行(xing)或委托(tuo)第三方評估機構,每年對其(qi)數據(ju)(ju)(ju)處理(li)活(huo)動至少開展一(yi)次風險評估,及時整改風險問(wen)題,并向本地(di)區(qu)行(xing)業監管部門報(bao)送風險評估報(bao)告。


六十六條(tiao) (風(feng)險(xian)評(ping)估與審計)

銀行保險機構應當每年開(kai)展一次(ci)數據安全風險評(ping)估(gu)。…..


那么(me)數據安全風(feng)險評估

與(yu)我們(men)所了解的(de)等(deng)保測(ce)評(ping)、密評(ping)

有何區別呢(ni)?

跟著小密一起了解~

數據(ju)安全風險(xian)評估(gu)

與等保測評、密評的區別


開展網絡安(an)全(quan)(quan)等級保(bao)護(hu)(hu)測(ce)評(ping)、商用密碼應用安(an)全(quan)(quan)性評(ping)估與(yu)(yu)數據安(an)全(quan)(quan)風險評(ping)估都是網絡安(an)全(quan)(quan)運營者義(yi)不容辭的職責(ze)與(yu)(yu)義(yi)務,這三項(xiang)工作并非按(an)照重(zhong)要性排(pai)序,而是在安(an)全(quan)(quan)防護(hu)(hu)的深度與(yu)(yu)廣度上(shang)各有側重(zhong)。


法律要求不同

網(wang)絡(luo)安全(quan)等級保護測(ce)評是滿足(zu)《中(zhong)華人民共(gong)和國(guo)網絡安全(quan)法》第二十(shi)一(yi)條“國(guo)家(jia)實(shi)行網絡安全(quan)等級保護制度”的要(yao)求;


商(shang)用(yong)(yong)密(mi)(mi)碼(ma)應(ying)用(yong)(yong)安(an)全性(xing)(xing)評估是滿足《中(zhong)華人民共和國密(mi)(mi)碼(ma)法》第(di)二十七(qi)條“法律、行(xing)(xing)政法規和國家有關規定要求(qiu)使用(yong)(yong)商(shang)用(yong)(yong)密(mi)(mi)碼(ma)進(jin)行(xing)(xing)保(bao)護的關鍵信息基礎設施,其運營者(zhe)應(ying)當使用(yong)(yong)商(shang)用(yong)(yong)密(mi)(mi)碼(ma)進(jin)行(xing)(xing)保(bao)護,自行(xing)(xing)或(huo)者(zhe)委托商(shang)用(yong)(yong)密(mi)(mi)碼(ma)檢測機(ji)構開展商(shang)用(yong)(yong)密(mi)(mi)碼(ma)應(ying)用(yong)(yong)安(an)全性(xing)(xing)評估”的要求(qiu);


數(shu)(shu)據(ju)安(an)全(quan)風(feng)險評(ping)估(gu)是(shi)滿足《中(zhong)華(hua)人民共和國數(shu)(shu)據(ju)安(an)全(quan)法》第(di)三十條(tiao)“重要數(shu)(shu)據(ju)的處理(li)者應當按(an)照(zhao)規(gui)定對其(qi)(qi)數(shu)(shu)據(ju)處理(li)活(huo)動(dong)定期開展(zhan)風(feng)險評(ping)估(gu),并向有關主(zhu)管部門(men)報送風(feng)險評(ping)估(gu)報告(gao)。風(feng)險評(ping)估(gu)報告(gao)應當包括處理(li)的重要數(shu)(shu)據(ju)的種類、數(shu)(shu)量,開展(zhan)數(shu)(shu)據(ju)處理(li)活(huo)動(dong)的情(qing)況(kuang),面臨的數(shu)(shu)據(ju)安(an)全(quan)風(feng)險及其(qi)(qi)應對措施等”的要求(qiu)。

開展對象不同

網絡安(an)全(quan)等(deng)(deng)級(ji)(ji)保護(hu)(hu)測評(ping)和商用(yong)(yong)密碼應用(yong)(yong)安(an)全(quan)性(xing)評(ping)估針對(dui)已定(ding)級(ji)(ji)的(de)(de)等(deng)(deng)級(ji)(ji)保護(hu)(hu)對(dui)象開展(zhan),等(deng)(deng)級(ji)(ji)保護(hu)(hu)對(dui)象的(de)(de)范圍包(bao)括“應用(yong)(yong)、服務(wu)、信息技術(shu)資產或其他信息處理組件(jian)”,根(gen)據(ju)國家標準分別對(dui)等(deng)(deng)級(ji)(ji)保護(hu)(hu)對(dui)象的(de)(de)安(an)全(quan)防護(hu)(hu)現(xian)狀、密碼技術(shu)應用(yong)(yong)情況開展(zhan)測評(ping)。


數(shu)(shu)(shu)據(ju)(ju)安(an)全風險評(ping)估圍繞數(shu)(shu)(shu)據(ju)(ju)和數(shu)(shu)(shu)據(ju)(ju)處理(li)(li)活(huo)動(dong)開展,可以(yi)是單位(wei)的(de)全部數(shu)(shu)(shu)據(ju)(ju),也(ye)可以(yi)選(xuan)取重點等(deng)級保護(hu)對象開展。數(shu)(shu)(shu)據(ju)(ju)處理(li)(li)活(huo)動(dong)包(bao)括已經(jing)開展的(de)數(shu)(shu)(shu)據(ju)(ju)處理(li)(li)活(huo)動(dong),如數(shu)(shu)(shu)據(ju)(ju)采集、數(shu)(shu)(shu)據(ju)(ju)存儲、數(shu)(shu)(shu)據(ju)(ju)使用等(deng),也(ye)可以(yi)針對即將開展的(de)數(shu)(shu)(shu)據(ju)(ju)處理(li)(li)活(huo)動(dong)進行評(ping)估,綜合(he)評(ping)價即將開展的(de)數(shu)(shu)(shu)據(ju)(ju)處理(li)(li)活(huo)動(dong)是否滿足合(he)規要求(qiu)和安(an)全防護(hu)要求(qiu),如數(shu)(shu)(shu)據(ju)(ju)共享(xiang)、數(shu)(shu)(shu)據(ju)(ju)交易、數(shu)(shu)(shu)據(ju)(ju)出境等(deng)。

安全風險不同

網絡(luo)安(an)全(quan)等級(ji)保(bao)護測評(ping),對等級(ji)保(bao)護對象(xiang)開(kai)(kai)展測評(ping),圍繞等級(ji)保(bao)護對象(xiang)可(ke)能(neng)遭受(shou)的安(an)全(quan)風(feng)(feng)險(xian)(xian)開(kai)(kai)展,遭受(shou)的風(feng)(feng)險(xian)(xian)包括惡意攻擊、軟(ruan)硬件故障和管理不到位等安(an)全(quan)風(feng)(feng)險(xian)(xian)。


商用(yong)密(mi)(mi)碼(ma)應用(yong)安全性評估(gu),對等級保(bao)護對象開展(zhan)測評,主(zhu)要圍繞密(mi)(mi)碼(ma)算法、密(mi)(mi)碼(ma)協議、密(mi)(mi)碼(ma)產品、密(mi)(mi)鑰管理(li)等棄用(yong)、錯(cuo)用(yong)、誤用(yong)等風險。


數(shu)(shu)(shu)據(ju)(ju)安全(quan)風險(xian)(xian)(xian)評估(gu)(gu),對數(shu)(shu)(shu)據(ju)(ju)流動過程(cheng)和數(shu)(shu)(shu)據(ju)(ju)處理(li)過程(cheng)的風險(xian)(xian)(xian)進(jin)行評估(gu)(gu),數(shu)(shu)(shu)據(ju)(ju)遭受的風險(xian)(xian)(xian)包(bao)括數(shu)(shu)(shu)據(ju)(ju)泄(xie)露、數(shu)(shu)(shu)據(ju)(ju)破壞、數(shu)(shu)(shu)據(ju)(ju)丟失等(deng)數(shu)(shu)(shu)據(ju)(ju)安全(quan)風險(xian)(xian)(xian),還關注數(shu)(shu)(shu)據(ju)(ju)處理(li)活動的合(he)規性(xing),對違(wei)法(fa)違(wei)規獲取數(shu)(shu)(shu)據(ju)(ju)、違(wei)法(fa)違(wei)規出售數(shu)(shu)(shu)據(ju)(ju)、違(wei)法(fa)違(wei)規購買數(shu)(shu)(shu)據(ju)(ju)、違(wei)法(fa)違(wei)規出境數(shu)(shu)(shu)據(ju)(ju)等(deng)數(shu)(shu)(shu)據(ju)(ju)合(he)規性(xing)風險(xian)(xian)(xian)進(jin)行評估(gu)(gu)。


為了(le)確保網(wang)絡(luo)運(yun)營者的網(wang)絡(luo)與數據(ju)安全得(de)到有效保障,在開展(zhan)網(wang)絡(luo)安全等級保護測評(ping)、商用(yong)密碼(ma)應(ying)用安全性(xing)評(ping)估(gu)時,還應(ying)積(ji)極開展數據安全風險評(ping)估(gu)。通過數(shu)據(ju)安全(quan)(quan)評估服務,掌握數(shu)據(ju)安全(quan)(quan)總體狀(zhuang)況,發(fa)現(xian)數(shu)據(ju)安全(quan)(quan)隱(yin)患,提(ti)出數(shu)據(ju)安全(quan)(quan)管理和技術(shu)防護措施(shi)建議,提(ti)升數(shu)據(ju)安全(quan)(quan)能(neng)力(li)以(yi)及滿足(zu)監管合規(gui)的要求。



圖片


開(kai)展(zhan)數據安(an)全風(feng)險評估(gu)

是數據安全保護的重(zhong)要(yao)環節

是主管部門落實監(jian)管職(zhi)能的重要抓(zhua)手

也是各方履行(xing)法定義(yi)務的必要程序


來源:成華密語

Image
Image
版權(quan)所有:山西科信源科技股份有限公司
咨詢熱線(xian):0351-4073466?
地址:(北區(qu))山西省太原(yuan)市迎(ying)澤(ze)區(qu)新(xin)建(jian)南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原(yuan)市小(xiao)店區南中環(huan)街529 號清控創新(xin)基地(di)A座(zuo)4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團