近日,全国网络安全标准化技术委员会秘书处在北京举行了国家标准《数据安全技术 数据安全风险评估方法》(报批稿)试点启动会。此次会议不仅标志着我国数据安全风险评估工作又迈出了坚实的一步,更在金融领域选取了数家单位作为标准应用试点单位,为金融行业的稳健发展筑牢了数据安全防线。
此次试点工作,旨在通过实践检验《数据安全技术 数据安全风险评估方法》的科学性、合理性、可操作性和适用性。金融领域的多家单位将作为先行者,率先应用这一标准,形成数据安全风险评估的典型案例和应用经验。这不仅为标准的推广应用积累了宝贵经验,更为金融领域数据安全风险评估工作提供了强有力的标准支撑。
金融行业作为国民经济的命脉,其数据安全的重要性不言而喻。全国金融标准化技术委员会早在2021年就发布了《金融数据安全 数据安全评估规范》,为金融业机构开展金融数据安全评估提供了明确的指导。此次数据安全风险评估标准的试点应用,将进一步推动金融数据安全评估工作的深入开展,确保金融数据的完整性、可用性和保密性。
在大数据时代,数据已经成为企业最宝贵的资产之一。然而,数据泄露、数据滥用、数据篡改等各类安全风险的存在,让数据安全问题变得日益突出。对于金融行业而言,数据泄露可能导致客户隐私泄露、资金损失等严重后果,因此开展数据安全风险评估工作显得尤为紧迫和必要。
我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。金融行业也出台了一系列《关于银行业保险业数字化转型的指导意见》《中国银保监会监管数据安全管理办法》《保险中介机构信息化工作监管办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。
数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。
业务对数据流动性要求日益增加,使得数据流动路径变长,给监测带来困难。
在数字经济时代,数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生,企业面临着盗窃、勒索和恶意软件等多种风险。
随着大数据、云计算等新技术的应用,金融数据安全面临新的威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。
数据风险评估作为保障金融数据安全的重要途径,能够帮助金融机构识别潜在的安全风险,制定针对性的防范措施。道普信息数据安全风险评估专家表示,借助专业的第三方评估服务,基于数据分类分级的风险评估模型,通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估,发现金融数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。
数据安全风险评估准备的内容,主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。
通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度,从而得到数据安全风险值。
企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,对风险等级进行划分,一般会划分为:高、中、低三个等级。依据风险评价中风险值的等级,明确风险评估结果内容。
随着大数据时代的深入发展,数据安全已成为各行业共同关注的焦点。全国网络安全标准化技术委员会此次组织的数据安全风险评估标准试点启动会,不仅为金融领域的数据安全风险评估工作提供了有力支持,更为我国金融行业、数字经济的健康发展注入了新的活力。我们有理由相信,在不久的将来,数据安全风险评估将成为保障金融数据安全的重要屏障,为我国金融行业的稳健发展保驾护航。
来源:数字化安全官
浙公网安备 33010502006954号 
