为保障数据安全和个人隐私,规范各类数据处理活动,数据处理者可以通过检测评估、安全认证、合规审计等方式发现数据安全风险,提升自身数据安全保护能力。
当前主要的数据安全风险识别手段包括数据安全风险评估、数据安全认证(含数据安全管理认证、个人信息保护认证、移动互联网应用程序(App)安全认证)、个人信息保护合规审计、个人信息保护影响评估等,如图1所示。本文主要针对数据安全风险评估、数据安全认证和个人信息保护合规审计的实施依据、实施流程等内容进行介绍。
【图1】 当前主要数据安全风险识别手段
一、数据安全风险评估
1.1 概述
数据安全风险评估主要围绕数据和数据处理活动,从数据的保密性、完整性和可用性,以及数据处理活动的合理性等方面掌握数据安全总体状况,识别可能存在的安全风险和隐患,并据此提出有效的防护对策和措施。
1.2 评估依据
《数据安全法》第三十条提出“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”;《网络数据安全管理条例》第三十三条提出“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关”。
1.3 实施流程
数据安全风险评估实施流程主要包括评估准备、信息调研、风险识别、综合分析和评估总结五个阶段,如图2所示。
评估准备阶段是数据安全风险评估的起始阶段;信息调研阶段主要用于识别数据处理者的基本情况;风险识别阶段针对各个评估对象,采取多种评估手段,识别可能存在的数据安全风险隐患;综合分析阶段是在风险识别的基础上对风险进行综合分析和评价,并提出整改建议;评估总结阶段主要完成数据安全风险评估报告编制,开展风险处置等。
【图2】 数据安全风险评估实施流程
二、数据安全认证
2.1 概述
数据安全认证是指由专业技术验证机构基于客观的标准和程序,对认证对象的安全保护能力进行评估和认定,并为符合认证要求的对象颁发认证证书的机制。目前数据安全领域(含个人信息保护)已相继颁布数据安全管理认证、个人信息保护认证、移动互联网应用程序(App)安全认证等认证服务。
2.2 认证依据
《网络安全法》第十七条提出“鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”,第二十六条提出“开展网络安全认证、检测、风险评估等活动”;《数据安全法》第十八条提出“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”;《个人信息保护法》第六十二条提出“支持有关机构开展个人信息保护评估、认证工作”。
2.3 实施流程
数据安全认证实施流程主要包括认证委托、技术验证、现场审核、认证结果评价和批准以及获证后监督等环节,如图3所示。
认证委托指认证委托人按照认证机构要求提交认证委托资料,认证机构对材料进行审查并反馈是否受理;技术验证和现场审核是针对认证委托人数据安全或个人信息保护的技术措施和能力、信息管理体系落实与执行等方面进行全面、系统评估的过程,并出具技术验证报告和现场审核报告;认证结果评价和批准指认证机构根据相关材料进行综合评价,并做出认证决定;获证后监督指认证机构在认证有效期内,采取适当的方式实施获证后监督,以确保获得认证的网络运营者或个人信息处理者持续符合认证要求。
【图3】 数据安全认证实施流程
三、个人信息保护合规审计
3.1 概述
个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合个人信息保护相关法律法规、标准规范以及内部政策等要求进行审查和评估的活动。
3.2 审计依据
《个人信息保护法》第五十四条提出“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”;《网络数据安全管理条例》第二十七条提出“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”;《个人信息保护合规审计管理办法》(征求意见稿)第四条提出“处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计”。
3.3 实施流程
个人信息保护合规审计实施流程包括审计准备、审计实施、审计报告、问题整改与跟踪等阶段,如图4所示。
审计准备阶段包括建立审计组、编制审计计划和审计方案,并与被审计方沟通审计进度和安排;审计实施阶段指审计人员现场收集审计证据,并形成审计记录、审计底稿,确认审计发现;审计报告阶段指审计人员根据审计实施情况编制审计报告;问题整改与跟踪阶段是指被审计方对审计发现问题进行整改并持续跟踪,以确保整改措施有效执行。
【图4】 个人信息保护合规审计实施流程
综上所述,无论是开展数据安全风险评估、数据安全认证还是个人信息保护合规审计,都是发现数据安全和个人信息保护风险的重要手段,有助于提升数据处理者的数据安全保护能力和整体数据安全防护水平。
标签:审计,风险,常见,个人信息,认证,数据安全,识别,评估 From: https://www.cnblogs.com/o-O-oO/p/18657757原创 安全架构