隨著《數(shù)據(jù)安全法》等一系列法律法規(guī)的頒布實(shí)施，我國(guó)網(wǎng)絡(luò)空間的法律法規(guī)秩序體系逐步完善，網(wǎng)絡(luò)安全工作邁入了新時(shí)代。在促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)，需要進(jìn)一步提升數(shù)據(jù)安全保障能力、風(fēng)險(xiǎn)發(fā)現(xiàn)能力，確保數(shù)據(jù)安全風(fēng)險(xiǎn)可控在控，對(duì)切實(shí)維護(hù)國(guó)家主權(quán)、國(guó)家安全和社會(huì)發(fā)展利益等方面具有重大意義。

　　一、數(shù)據(jù)安全的理解與風(fēng)險(xiǎn)評(píng)估需求

　?。ㄒ唬?shù)據(jù)安全的理解

　　《數(shù)據(jù)安全法》第三條，給出了數(shù)據(jù)安全的明確定義，是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。結(jié)合定義，應(yīng)該從廣義和狹義兩個(gè)角度理解數(shù)據(jù)安全概念內(nèi)涵。

　　廣義地說(shuō)，數(shù)據(jù)安全作為國(guó)家重要戰(zhàn)略基礎(chǔ)資源時(shí)的安全要義，主要是根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，確定數(shù)據(jù)安全定義。狹義地說(shuō)，數(shù)據(jù)安全一是指數(shù)據(jù)本身及數(shù)據(jù)處理活動(dòng)的安全性，主要包括數(shù)據(jù)本身保密性、完整性和可用性，以及圍繞數(shù)據(jù)處理活動(dòng)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等環(huán)節(jié)的安全性考慮。二是數(shù)據(jù)支撐環(huán)境以及防護(hù)措施的安全，主要包括數(shù)據(jù)載體、防護(hù)設(shè)備、加解密算法等主動(dòng)防護(hù)措施。

　?。ǘ?shù)據(jù)面臨的安全風(fēng)險(xiǎn)

　　1. 數(shù)據(jù)合規(guī)安全風(fēng)險(xiǎn)

　　數(shù)據(jù)安全合法合規(guī)已經(jīng)成為企業(yè)對(duì)數(shù)據(jù)進(jìn)行處理的原則和底線，但大部分企業(yè)的數(shù)據(jù)安全合規(guī)體系建設(shè)還處于起步狀態(tài)，對(duì)違規(guī)所帶來(lái)的風(fēng)險(xiǎn)缺乏相應(yīng)的評(píng)估機(jī)制，可能存在潛在的數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改、數(shù)據(jù)濫用等安全風(fēng)險(xiǎn)。

　　2. 關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全風(fēng)險(xiǎn)

　　目前，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱“運(yùn)營(yíng)者”）重要數(shù)據(jù)的全生命周期保護(hù)嚴(yán)重不足，未建立起有效的防護(hù)體系機(jī)制。尤其是個(gè)人信息保護(hù)方面，未采取有效的數(shù)據(jù)防篡改和防外泄手段 , 一旦攻擊者成功獲取服務(wù)器權(quán)限后，可隨意竊取、篡改和刪除重要數(shù)據(jù)，造成大面積敏感信息泄露。此外，運(yùn)營(yíng)者在供應(yīng)鏈開(kāi)發(fā)、運(yùn)維等環(huán)節(jié)數(shù)據(jù)保護(hù)方面存在缺陷，導(dǎo)致系統(tǒng)“帶病上線”的情況，形成攻擊者竊取數(shù)據(jù)的重要突破口。

　　3. 數(shù)據(jù)出境安全風(fēng)險(xiǎn)

　　數(shù)據(jù)的跨境流動(dòng)是數(shù)據(jù)價(jià)值最大化的必經(jīng)之路，數(shù)據(jù)出境是必然趨勢(shì)，其安全風(fēng)險(xiǎn)也是其派生的產(chǎn)物。數(shù)據(jù)出境的風(fēng)險(xiǎn)重點(diǎn)來(lái)源于數(shù)據(jù)出境的合規(guī)類風(fēng)險(xiǎn)。企業(yè)在出境業(yè)務(wù)穩(wěn)定發(fā)展的前提下，要保證出境數(shù)據(jù)不存在違反國(guó)家法規(guī)標(biāo)準(zhǔn)要求的風(fēng)險(xiǎn)，尤其是數(shù)據(jù)在出境前、傳輸過(guò)程和數(shù)據(jù)落地的過(guò)程中是否存在違法風(fēng)險(xiǎn)，以及數(shù)據(jù)出境后接收方對(duì)數(shù)據(jù)的保護(hù)是否存在數(shù)據(jù)濫用風(fēng)險(xiǎn)等都是需要重點(diǎn)關(guān)注的問(wèn)題。

　?。ㄈ?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估需求

　　為了了解目前國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的理解以及需求，中國(guó)信息安全測(cè)評(píng)中心從數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)、重點(diǎn)關(guān)注數(shù)據(jù)安全方向、保護(hù)數(shù)據(jù)類型等方面，對(duì)國(guó)家水利、電力、能源等行業(yè)進(jìn)行了實(shí)際調(diào)研，梳理形成以下共性需求。

　　1. 數(shù)據(jù)安全法出臺(tái)后的合法性評(píng)估需求

　　《數(shù)據(jù)安全法》的出臺(tái)使得數(shù)據(jù)不僅擁有了“價(jià)值”屬性，也具備了“法律”屬性。調(diào)研結(jié)果表明，各行業(yè)明確將數(shù)據(jù)安全的合法合規(guī)情況作為未來(lái)一段時(shí)間內(nèi)的重點(diǎn)工作，企業(yè)管理者開(kāi)始關(guān)注面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)以及如何實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)。對(duì)于企業(yè)管理者來(lái)講，目前最緊急的工作是需要全面開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，找出是否存在違法的情況以及和法律要求之間的差距，從而為數(shù)據(jù)安全建設(shè)和治理提供依據(jù)。

　　2. 關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)的評(píng)估需求

　　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)數(shù)據(jù)安全評(píng)估的需求主要有以下幾點(diǎn)。一是需要通過(guò)風(fēng)險(xiǎn)評(píng)估促進(jìn)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)分類分級(jí)制度體系建設(shè)和重點(diǎn)保護(hù)措施的落實(shí)，做到重要數(shù)據(jù)和核心數(shù)據(jù)重點(diǎn)保護(hù)，明確保護(hù)對(duì)象范圍，厘清保護(hù)責(zé)任和保護(hù)主體；二是需要通過(guò)風(fēng)險(xiǎn)評(píng)估找出可能導(dǎo)致重要數(shù)據(jù)失竊、泄露、破壞的安全隱患，降低重要數(shù)據(jù)一旦遭受攻擊后可能帶來(lái)的惡劣影響，尤其是涉及國(guó)家政治安全、經(jīng)濟(jì)安全以及民生安全的重要數(shù)據(jù)和個(gè)人信息；三是需要通過(guò)風(fēng)險(xiǎn)評(píng)估促進(jìn)數(shù)據(jù)安全防御體系的改進(jìn)提升，檢驗(yàn)當(dāng)前的數(shù)據(jù)安全防護(hù)措施是否有效，防護(hù)體系是否可以滿足當(dāng)下的網(wǎng)絡(luò)安全形勢(shì)，最終達(dá)到“以評(píng)促建”，提升整體數(shù)據(jù)安全防御體系的目的。

　　3. 數(shù)據(jù)出境傳輸?shù)陌踩u(píng)估需求

　　出境數(shù)據(jù)的主要評(píng)估需求點(diǎn)集中在：一是數(shù)據(jù)跨境傳輸安全評(píng)估，根據(jù)不同地區(qū)的監(jiān)管要求、數(shù)據(jù)敏感度和數(shù)據(jù)使用情況，需要為數(shù)據(jù)傳輸、訪問(wèn)、監(jiān)控、跟蹤以及跨技術(shù)棧的存儲(chǔ)等方面建立不同的技術(shù)控制措施，同時(shí)還需要具備報(bào)告和監(jiān)測(cè)的能力，對(duì)其安全防護(hù)措施有效性進(jìn)行評(píng)估；二是出境數(shù)據(jù)合規(guī)性評(píng)估，評(píng)估企業(yè)是否建立適當(dāng)?shù)目刂拼胧?，?lái)應(yīng)對(duì)跨境數(shù)據(jù)傳輸和數(shù)據(jù)本地化是否符合以上相關(guān)國(guó)內(nèi)法律的要求，從而最終為數(shù)據(jù)出境業(yè)務(wù)保駕護(hù)航。

　　二、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估整體框架

　?。ㄒ唬?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估總體框架

　　在新時(shí)代背景下，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估也應(yīng)具備時(shí)代特性。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的發(fā)展一定是以《數(shù)據(jù)安全法》為根本出發(fā)點(diǎn)，以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的理論框架為準(zhǔn)繩，且風(fēng)險(xiǎn)評(píng)估的內(nèi)容和指標(biāo)將圍繞數(shù)據(jù)為核心對(duì)象，以發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)為主要目的。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估不應(yīng)該以某個(gè)標(biāo)準(zhǔn)作為基準(zhǔn)來(lái)設(shè)置評(píng)估項(xiàng)，也無(wú)法固化出一個(gè)固定模式去開(kāi)展，主要是由于數(shù)據(jù)是一類特殊的評(píng)估對(duì)象，是具備動(dòng)態(tài)性的，隨著數(shù)據(jù)在不同環(huán)境下的流動(dòng)，其面臨的安全風(fēng)險(xiǎn)也是不同的。應(yīng)當(dāng)圍繞被評(píng)估的特定數(shù)據(jù)對(duì)象數(shù)據(jù)資產(chǎn)、數(shù)據(jù)所面臨的威脅和脆弱性，綜合開(kāi)展風(fēng)險(xiǎn)評(píng)估找出其在特定威脅環(huán)境下所面臨的風(fēng)險(xiǎn)。其風(fēng)險(xiǎn)評(píng)估方法理論和模式應(yīng)該是多樣性的，適用于不同環(huán)境和目標(biāo)。

　　本文提出的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，有其獨(dú)特的視角和思路，重點(diǎn)解決某一類安全需求，主要以發(fā)現(xiàn)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)數(shù)據(jù)安全方面的大風(fēng)險(xiǎn)、大隱患為主要目的，在數(shù)據(jù)識(shí)別、法律遵從、數(shù)據(jù)處理、支撐環(huán)境和特殊場(chǎng)景數(shù)據(jù)跨境流動(dòng)安等方面開(kāi)展風(fēng)險(xiǎn)評(píng)估。其主要思路為：首先對(duì)業(yè)務(wù)進(jìn)行梳理、理清數(shù)據(jù)資產(chǎn)、確認(rèn)數(shù)據(jù)資產(chǎn)范圍及重要程度，這是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，因此數(shù)據(jù)識(shí)別安全重點(diǎn)是進(jìn)行數(shù)據(jù)資產(chǎn)的識(shí)別摸底工作。其次在梳理數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)時(shí)，首先考慮是否存在違法行為風(fēng)險(xiǎn)，依據(jù)已發(fā)布的法律法規(guī)進(jìn)行法律遵從性評(píng)估。在滿足合法性的基礎(chǔ)上進(jìn)而開(kāi)展數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)評(píng)估工作，一方面，是數(shù)據(jù)自身的風(fēng)險(xiǎn)發(fā)現(xiàn)，另一方面，是承載數(shù)據(jù)所需環(huán)境的風(fēng)險(xiǎn)發(fā)現(xiàn)。在風(fēng)險(xiǎn)發(fā)現(xiàn)過(guò)程中，一旦涉及數(shù)據(jù)的跨境流動(dòng)和數(shù)據(jù)主權(quán)風(fēng)險(xiǎn)，將以數(shù)據(jù)跨境流動(dòng)為重點(diǎn)關(guān)注場(chǎng)景，開(kāi)展數(shù)據(jù)跨境流轉(zhuǎn)的風(fēng)險(xiǎn)評(píng)估工作，評(píng)估數(shù)據(jù)跨境流動(dòng)過(guò)程中的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果可作為數(shù)據(jù)安全治理、監(jiān)督、審計(jì)和評(píng)價(jià)的重要參考依據(jù)。

　　圖 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估總體框架

　?。ǘ?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估核心內(nèi)容

　　1. 數(shù)據(jù)識(shí)別安全評(píng)估

　　數(shù)據(jù)識(shí)別是數(shù)據(jù)安全評(píng)估的基礎(chǔ)。通過(guò)對(duì)數(shù)據(jù)的識(shí)別，可以確定數(shù)據(jù)在業(yè)務(wù)系統(tǒng)的內(nèi)部分布、確定數(shù)據(jù)是如何被訪問(wèn)的、當(dāng)前的數(shù)據(jù)訪問(wèn)賬號(hào)和授權(quán)狀況。數(shù)據(jù)識(shí)別能夠有效解決運(yùn)營(yíng)者對(duì)數(shù)據(jù)安全狀況的摸底管理工作。基于國(guó)家、行業(yè)的法律法規(guī)及標(biāo)準(zhǔn)要求，數(shù)據(jù)識(shí)別通常包括業(yè)務(wù)流識(shí)別、數(shù)據(jù)流識(shí)別、數(shù)據(jù)安全責(zé)任識(shí)別和數(shù)據(jù)分類分級(jí)識(shí)別。

　　2. 數(shù)據(jù)安全法律遵從性評(píng)估

　　數(shù)據(jù)安全符合相關(guān)法律要求是開(kāi)展一切數(shù)據(jù)處理活動(dòng)的前提和基礎(chǔ)，也是最受關(guān)注的安全保障能力之一。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估不能完全避免數(shù)據(jù)安全風(fēng)險(xiǎn)的發(fā)生，但可以減少違法違規(guī)行為的發(fā)生。本文中的數(shù)據(jù)安全法律遵從性評(píng)估核心在于依據(jù)國(guó)家、行業(yè)的法律法規(guī)及標(biāo)準(zhǔn)要求，重點(diǎn)評(píng)估運(yùn)營(yíng)者及其他數(shù)據(jù)處理者關(guān)于數(shù)據(jù)安全在相關(guān)法律法規(guī)中的落實(shí)情況，包括個(gè)人信息保護(hù)情況、重要數(shù)據(jù)出境安全情況、網(wǎng)絡(luò)安全審查情況、密碼技術(shù)落實(shí)情況、機(jī)構(gòu)人員的落實(shí)情況、制度建設(shè)情況、分類分級(jí)情況、數(shù)據(jù)安全保障措施落實(shí)情況，以及其他法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范落實(shí)情況等。法律遵從性評(píng)估的目的不僅在于應(yīng)對(duì)風(fēng)險(xiǎn)，更多的是在于找出差距，驅(qū)動(dòng)數(shù)據(jù)安全建設(shè)合法化，完善數(shù)據(jù)安全治理體系。

　　3. 數(shù)據(jù)處理安全評(píng)估

　　數(shù)據(jù)處理安全的評(píng)估是圍繞數(shù)據(jù)處理活動(dòng)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等環(huán)節(jié)開(kāi)展。主要針對(duì)數(shù)據(jù)處理過(guò)程中收集的規(guī)范性、存儲(chǔ)機(jī)制安全性、傳輸安全性、加工和提供的安全性、公開(kāi)的規(guī)范性等開(kāi)展評(píng)估。

　　4. 數(shù)據(jù)環(huán)境安全評(píng)估

　　數(shù)據(jù)環(huán)境安全是指數(shù)據(jù)全生命周期安全的環(huán)境支撐，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，主要包括主機(jī)、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、存儲(chǔ)介質(zhì)等環(huán)境基礎(chǔ)設(shè)施。針對(duì)數(shù)據(jù)支撐環(huán)境的安全評(píng)估主要包括通信環(huán)境安全、存儲(chǔ)環(huán)境安全、計(jì)算環(huán)境安全、供應(yīng)鏈安全和平臺(tái)安全等方面。

　　5. 重要數(shù)據(jù)出境安全評(píng)估

　　重要數(shù)據(jù)出境是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估所重點(diǎn)關(guān)注的風(fēng)險(xiǎn)場(chǎng)景，如果被評(píng)估對(duì)象中包括數(shù)據(jù)出境的業(yè)務(wù)，需要按此部分開(kāi)展專項(xiàng)評(píng)估，重點(diǎn)評(píng)估出境數(shù)據(jù)發(fā)送方的數(shù)據(jù)出境約束力、監(jiān)管情況、救濟(jì)途徑，以及出境數(shù)據(jù)接收方的主體資格和承諾履約情況等。

　?。ㄈ?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估綜合判定

　　風(fēng)險(xiǎn)分析的原理主要是通過(guò)資產(chǎn)識(shí)別、脆弱性識(shí)別及威脅識(shí)別，分別計(jì)算出威脅造成損失的嚴(yán)重程度以及該安全事件發(fā)生的可能性，然后利用損失嚴(yán)重程度與事件發(fā)生的可能性得到風(fēng)險(xiǎn)值，最后賦予風(fēng)險(xiǎn)等級(jí)。

　　分析和確定數(shù)據(jù)全風(fēng)險(xiǎn)的方法是，考慮已知威脅利用數(shù)據(jù)資產(chǎn)已知脆弱性的可能性，以及如果發(fā)生這種利用所產(chǎn)生的后果或不利影響（即危害程度），使用威脅和脆弱性信息以及可能性和后果 /影響信息定性或定量地確定數(shù)據(jù)安全風(fēng)險(xiǎn)。在分析中重點(diǎn)要圍繞“數(shù)據(jù)生命周期”或者“數(shù)據(jù)應(yīng)用場(chǎng)景”，最終的評(píng)估結(jié)果是某個(gè)業(yè)務(wù)或威脅場(chǎng)景之下利用某個(gè)資產(chǎn)的某個(gè)脆弱性造成某種破壞，該破壞的可能性有多大，破壞后影響有多大，進(jìn)而綜合評(píng)價(jià)風(fēng)險(xiǎn)有多大。

　　1. 可能性分析

　　可能性是指攻擊事件可能導(dǎo)致任務(wù)能力喪失的概率。可能性判定應(yīng)該考慮威脅假設(shè)，即闡明數(shù)據(jù)資產(chǎn)以及支撐環(huán)境可能面臨的威脅類型，如網(wǎng)絡(luò)安全威脅、自然災(zāi)害或物理安全威脅；還要考慮實(shí)際基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全脆弱性信息，包括識(shí)別的系統(tǒng)、數(shù)據(jù)或支撐環(huán)境的脆弱性；可能性分析要綜合考慮利用漏洞成功利用的難度并將其與威脅信息相結(jié)合，在其實(shí)際應(yīng)用場(chǎng)景下確定風(fēng)險(xiǎn)評(píng)估過(guò)程中成功攻擊的可能性。

　　2. 影響分析

　　影響分析是一個(gè)關(guān)聯(lián)分析過(guò)程，由數(shù)據(jù)所涉及的系統(tǒng)、數(shù)據(jù)的價(jià)值以及數(shù)據(jù)被破壞后對(duì)組織的影響等因素綜合考慮。影響分析很大程度上要結(jié)合脆弱性被威脅利用的可能性，以及被評(píng)估單位管理者基于業(yè)務(wù)角度對(duì)風(fēng)險(xiǎn)的決策的判斷，最終決定對(duì)風(fēng)險(xiǎn)是否接受、避免、減輕、分擔(dān)或轉(zhuǎn)移。

　　3. 風(fēng)險(xiǎn)結(jié)論

　　數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的結(jié)論應(yīng)涵蓋三個(gè)層級(jí)的風(fēng)險(xiǎn)。一是根據(jù)被評(píng)估組織或行業(yè)的性質(zhì)和重要程度，可形成國(guó)家組織或者行業(yè)層面的數(shù)據(jù)安全戰(zhàn)略風(fēng)險(xiǎn)報(bào)告。二是根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)使命和形式，形成各自企業(yè)層面的數(shù)據(jù)安全風(fēng)險(xiǎn)報(bào)告。三是依據(jù)數(shù)據(jù)本身的特點(diǎn)或場(chǎng)景，形成面向系統(tǒng)級(jí)別、數(shù)據(jù)級(jí)別或者供應(yīng)鏈級(jí)別等重點(diǎn)關(guān)注方面的風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估的結(jié)論應(yīng)包括潛在破壞數(shù)據(jù)安全的可能性和影響，特定場(chǎng)景和特定數(shù)據(jù)的風(fēng)險(xiǎn)發(fā)生的可能性以及目前現(xiàn)有的數(shù)據(jù)安全防護(hù)措施的有效性和差距性，進(jìn)而為被評(píng)估單位數(shù)據(jù)安全系統(tǒng)建設(shè)、支撐環(huán)境建設(shè)以及數(shù)據(jù)安全整體規(guī)劃做決策依據(jù)。

　　三、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的建議

　?。ㄒ唬?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)體系存在空缺，需盡快建立完善提供依據(jù)

　　當(dāng)前，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的通用方法論、標(biāo)準(zhǔn)體系尚未建立，亟需提出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法，制定數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)來(lái)指導(dǎo)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估活動(dòng)，以滿足當(dāng)前數(shù)據(jù)安全保護(hù)的迫切需求。建議在充分借鑒現(xiàn)有標(biāo)準(zhǔn)基礎(chǔ)之上，聚焦國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施重要行業(yè)、重點(diǎn)領(lǐng)域，在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵環(huán)節(jié)、關(guān)鍵業(yè)務(wù)場(chǎng)景、關(guān)鍵網(wǎng)絡(luò)產(chǎn)品和服務(wù)等方面進(jìn)一步細(xì)化規(guī)范，提出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南、提出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)，建設(shè)和完善數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估體系，滿足當(dāng)前數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法論和評(píng)估指標(biāo)建設(shè)的迫切需求，進(jìn)一步推進(jìn)數(shù)據(jù)安全政策和法律法規(guī)落地實(shí)施。

　?。ǘ?shù)據(jù)資產(chǎn)識(shí)別和分類分級(jí)存在難度，急需行業(yè)主管部門及企業(yè)自身統(tǒng)籌解決

　　很多企業(yè)數(shù)據(jù)資產(chǎn)類型呈多樣化，數(shù)據(jù)載體分布廣、數(shù)據(jù)源眾多，這些都給數(shù)據(jù)識(shí)別和分類分級(jí)造成困難。數(shù)據(jù)資產(chǎn)未有效識(shí)別，數(shù)據(jù)未科學(xué)分類分級(jí)使得數(shù)據(jù)安全保護(hù)對(duì)象不明確，數(shù)據(jù)安全保護(hù)要求不清晰，進(jìn)而影響數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的有效開(kāi)展。因此，數(shù)據(jù)識(shí)別和分類分級(jí)是數(shù)據(jù)安全保護(hù)和風(fēng)險(xiǎn)評(píng)估工作的當(dāng)務(wù)之急，應(yīng)加快推動(dòng)自上而下數(shù)據(jù)分類分級(jí)安全保護(hù)制度建設(shè)，結(jié)合行業(yè)重要數(shù)據(jù)特點(diǎn)和安全保護(hù)需求，對(duì)數(shù)據(jù)進(jìn)行準(zhǔn)確識(shí)別，明確各行業(yè)，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所涉及行業(yè)的核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。與此同時(shí)，推動(dòng)數(shù)據(jù)分類分級(jí)安全風(fēng)險(xiǎn)評(píng)估體系建設(shè)，以在數(shù)據(jù)安全保護(hù)措施建設(shè)初期給予安全風(fēng)險(xiǎn)防范指導(dǎo)，建設(shè)完成后用于檢驗(yàn)成效，使得數(shù)據(jù)安全風(fēng)險(xiǎn)防范的思想貫穿數(shù)據(jù)安全治理的各個(gè)環(huán)節(jié)。

　?。ㄈ?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的健康生態(tài)尚未建立，需各方協(xié)作助力生態(tài)建設(shè)

　　多年來(lái)對(duì)數(shù)據(jù)重要性以及數(shù)據(jù)安全的認(rèn)知盲區(qū)使得很多企業(yè)在大肆采集個(gè)人信息和重要數(shù)據(jù)之后，對(duì)數(shù)據(jù)缺少必要的管理，對(duì)其所掌握的數(shù)據(jù)資產(chǎn)數(shù)量、敏感程度以及具體分布情況不夠清晰準(zhǔn)確，甚至是一無(wú)所知，而相應(yīng)的數(shù)據(jù)安全防護(hù)能力建設(shè)更加滯后，數(shù)據(jù)安全有效治理的大環(huán)境遠(yuǎn)未形成，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的健康生態(tài)也尚未建立。未來(lái)需要借助《數(shù)據(jù)安全法》出臺(tái)的東風(fēng)，深入推進(jìn)數(shù)字基礎(chǔ)設(shè)施建設(shè)，建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估業(yè)界健康生態(tài)，建立健全適應(yīng)人工智能、萬(wàn)物互聯(lián)、跨行業(yè)、跨境數(shù)據(jù)規(guī)范和使用等支持大數(shù)據(jù)關(guān)鍵風(fēng)險(xiǎn)評(píng)估技術(shù)的基礎(chǔ)性研究風(fēng)險(xiǎn)評(píng)估基礎(chǔ)方法研究和技術(shù)攻關(guān)關(guān)鍵評(píng)估技術(shù)裝備，建立適應(yīng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估發(fā)展需求的人才培養(yǎng)體系。把維護(hù)核心數(shù)據(jù)、重要數(shù)據(jù)安全、確保國(guó)家經(jīng)濟(jì)金融安全作為底線，形成數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)問(wèn)題責(zé)任追究、整改效果考核評(píng)價(jià)相結(jié)合的工作機(jī)制，進(jìn)一步強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作閉環(huán)，為生態(tài)建設(shè)決策提供支撐。