如何进行网络数据安全风险评估？信安标委官方给出答案

近日，全国信息安全标准化技术委员会官网发布《网络安全标准实践指南——网络数据安全风险评估实施指引》（下称《指南》）。

网络数据安全风险评估思路、内容及流程

1、风险评估思路

《指南》中指出，网络数据安全风险评估思路要坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。

2、风险评估内容

网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。评估内容框架如下图所示。

3、风险评估流程

《指南》还明确，网络数据安全风险评估具体的工作流程主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。

首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险，并给出整改建议。

网络数据安全风险评估的方式

1、自评估

数据处理者进行自评估时，可依据本指南进行风险自查，具体实施步骤如下图所示。

 

2、检查评估

有关部门进行检查评估时，可参考指南进行检查工作，具体实施步骤如下图所示。

 

网络数据安全风险评估实施指引-网络数据安全深度评估

传统的数据安全评估主要有等保测评、风险评估、渗透测试这三种表现方式，这几种安全评估方式更多倾向于合规性审计和安全问题存在性的验证，对于网络安全本质的探究反而被有意识的弱化。

如今《指南》给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险，本质上是更全面、更客观、更深入对网络数据安全进行深度评估、对网络安全风险源进行迭代验证。

在攻击与窃取手段不断进化的今天，数据安全面临的风险日增、形势严峻。因此数据安全深度评估可广泛适用于包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等国家关键信息基础设施。

国城【网络数据安全深度评估】服务

深度贴合《指南》要求，重点突出对数据防泄漏能力的评估与验证。通过开展敏感数据的互联网暴露面核查、漏洞扫描与分析、弱口令检查、暗网及深网分析一系列活动，对企业的数据安全进行综合性深度评估，可有效识别和防范潜在的数据泄露风险，提高数据的安全保障能力，帮助企业保护自身的数据和信息安全。

服务价值

1、通过全面检测潜在的网络安全风险，可以及时发现数据泄漏风险，保护企业的敏感数据免于被盗取或泄露。

2、帮助企业满足数据安全法、个人信息保护法等法律法规要求。

3、增强企业的信誉和声誉，避免因数据泄漏而引发的安全风险和经济损失。