2024企业数据安全风险管理指南.docx

《2024企业数据安全风险管理指南.docx》由会员分享，可在线阅读，更多相关《2024企业数据安全风险管理指南.docx（89页珍藏版）》请在优知文库上搜索。

1、企业数据安全风险管理指南目录1数据安全政策和背景91.1 数字经济发展现状91.2 数据安全政策现状132据安全风险管理262.1 数据生命周期处理活动概述262.2 数据安全风险概述282.3 数据安全风险影响分析302.4 数据安全风险管理的必要性333数据安全风险管理343.1 数据安全风险管理框架343.2 数据安全风险管理规划363.3 数据处理活动管理393.4 数据安全风险评估443.5 数据安全风险处置503.6 数据安全风险监督改进513.7 数据安全风险沟通与评审574企业数据安全风险管理典型实践604.1 企业数字化建设背景604.2 企业数据安全风险管理实践62附录A：

2、数据安全风险赋值表67A.1数据重要程度赋值表67A.2脆弱性可利用性赋值表67A.3威胁动机赋值表67A.4威胁能力赋值表68.5威胁发生频率赋值表68附录B：数据安全风险管理工具模板698.1 数据清单698.2 数据处理活动场景清单698.3 已有安全措施清单708.4 脆弱性清单708.5 应用场景脆弱性严重程度708.6 数据脆弱性严重程度708.7 数据脆弱性可造成的损失708.8 数据安全威胁清单718.9 风险清单71Bl()数据风险值计算结果清单71BJl风险处置建议清单71附录C:数据安全风险分析资料清单71C.1常见脆弱性示例71C.2数据安全威胁与脆弱性的利用关系示例8

3、1C.3数据安全风险等级划分参考表94C.4数据安全风险评估报告参考模板951数据安全政策和背景1.1 数字经济发展现状1.1.1 数字经济的概念界定和分类范围进入数字经济时代，世界各国对数据的依赖快速上升，数据已成为国家基础性战略资源，对社会生活方式、经济运行机制、国家治理能力等产生重要影响。数字经济，是指以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。“十三五”期间，我国数字经济增长主要体现在网上购物、移动支付、在线教育、短视频等领域。“十四五”规划纲要中明确指出，进一步发展云计算、大数据、物联网、工业

4、互联网、区块链、人工智能、VR与AR、数字社会建设等七大数字经济重点产业，意味着数字经济正在成为国家的重点发展对象。根据国家统计局发布的数字经济及其核心产业统计分类(2021)，数字经济产业范围被确定为：1数字产品制造业、2数字产品服务业、3数字技术应用业、4数字要素驱动业、5数字化效率提升业等5个大类。数字经济核心产业是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案，以及完全依赖于数字技术、数据要素的各类经济活动。分类中1-4大类为数字经济核心产业：主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等，是数字经济发展的基

5、础；第5大类为产业数字化部分，指应用数字技术和数据资源为传统产业带来的产出增加和效率提升,是数字技术与实体经济的融合。如图1所示：er钝济及其核心产业统计分类(2021)图1数字经济及其核心产业统计分类图1.1.2 我国主要区域相关政策和发展目标目前，我国各省市已陆续出台数字经济相关规划、行动计划、指导意见等，涵盖数字经济、制造业与互联网融合、智慧城市、数字政府等领域，持续推动数字经济战略政策落地实施。2021年我国各省市共出台216个数字经济相关政策，其中，32个顶层设计政策、6个数据价值化政策、35个数字产业化政策、54个产业数字化政策、89个数字化治理政策。我国数字经济发展具有区域聚集特

6、征，京津冀、长三角、珠三角、川渝等区域成为我国数字经济发展的核心区域，这些区域的数字经济发展目标在相关政策文件中基本明确,如表1所示：表1各区域数字经济发展目标表省(市)所属区域政策文件发展目标北京京津冀北京市促进数字经济创新发展行动纲要(2020-2022年)打造成为全国数字经济发展的先导区和示范区；到2022年，数字经济增加值占地区GDP比重达到55%o天津天津市促进数字经济发展行动方案(2019-2023年)到2023年，数字经济占GDP比重全国领先，力争把滨海新区打造成为国家数字经济示范区。河北河北省数字经济发展规划(2020-2025年)到2022年，基本形成以大数据产业、制造业数字

7、化、服务业数字化、电子信息产业为支撑的数字经济发原格局；到2025年，全省电子信息产业主营业务收入突破5000亿元。上海长三角关于全面推进上海城市数字化转型的意见到2025年，上海全面推进城市数字化转型取得显著成效，国际数字之都建设形成基本框架；到2035年，成为具有世界影响力的国际数字之都。浙江浙江省国家数字经济创新发展试验区建设工作方案到2022年，浙江数字经济增加值要达到4万亿元以上，占全省国民经济生产总值比重超过55%,基本建成全国领先的数字政府先行区、数字经济体制机制创新先导区、数字社会发展样板区、数字产业化发展引领区和产业数字化转型标杆区。江苏关于深入推进数字经济发展的意见以建设数

8、字经济强省为总目标，全力打造具有世界影响力的数字技术创新、国际竞争力的数字产业发展、未来引领力的数字社会建设和全球吸引力的数字开放合作“4”大高地。广东珠三角广东省培育数字经济产业集群行动计划（2019-2025年）建成“国家数字经济发展先导区”，力争2022年数字经济规模达7万亿元，占GDP比重接近55%o深圳深圳市数字经济产业创新发展实施方案（征求意见稿）到2022年，全市数字经济产业增加值突破2400亿元，年均t触15%左右；努力建成全国领先、全球一流的数字经济产业创新发展引领城市。佛山佛山市推动数字经济发展实施方案2035年全市数字经济总体规模达2万亿元，努力将佛山打造成全国数字经济发

9、展标杆城市之一。重庆川渝重庆建设国家数字经济创新发展试验区工作方案力争到2022年，数字经济总量达到万亿级规模，占GDP比重达到40%以上。四川国家数字经济创新发展试验区（四川）建设工作方案力争到2022年，全省数字经济规模超过2万亿元，占GDP比重达到40%o成都成都市推进数字经济发展实施方案到2022年，基本形成较为完善的数字经济生态体系，数字经济重点领域产业规模超过3000亿元。1.13数字经济时代的数据安全治理数据已经成为数字经济时代发展的核心生产要素，数据的安全保护和合法共享也被视为数字经济发展的重大挑战。从产业发展规律来看，数据安全作为新兴产业，仍面临制度体系、技术和管理体系、产品

10、体系、标准体系、人才体系、评价体系、生态体系等不完备的问题，对产业及企业发展形成诸多制约。现阶段，国家、行业主管部门的法律法规不断出台，产业、行业的标准规范也在加紧编制、发布，以数据安全合规和数据安全治理为主题发布的白皮书层出不穷，为各行业落实数据安全法律法规要求和初步试行数据安全治理提供了有效的参考和依据。但是，由于数据确权、敏感数据识别、数据流转保护等法律、技术难题的客观存在，从具体行业应用场景来讲，有效、可靠、方便、可负担的解决方案还是不够。本白皮书以企业数据处理者视角切入，从企业的合规遵循需求、业务发展需求、风险防控需求出发，尝试给出数据生命周期的风险管理方法和运营方案，以保障企业数字

11、化转型的顺利开展，促进数字经济的进一步发展。1.2数据安全政策现状国家竞争焦点正从土地、人口、资本、资源的争夺转向对数据的争夺。未来国家层面的竞争力将部分体现为一国拥有数据的规模、开发利用以及掌控的能力，“数据主权”将成为继边防、海防、空防之后另一个大国博弈的空间。发达国家和领先的发展中国家都在快速布局和完善数据安全政策和法规，以避免在数字经济发展中落后、受困。1.2.1 国内数据安全政策现状和趋势1.2.1.1 法律法规近年来，我国网络安全法数据安全法个人信息保护法等数据安全相关法律法规的相继颁布，为数据安全建设提供了制度支撑和法律保障。2015年7月1日，我国公布并施行了国家安全法，并提出

12、“维护国家网络空间主权、安全和发展利益”，为后续数据安全法等针对性法律的出台，奠定了基础。2017年6月1日，网络安全法施行，提出“采取技术措施和其他必要措施，维护网络数据的完整性、保密性和可用性”。2020年1月1口，密码法施行，为规范密码应用和管理、促进密码事业发展、保障网络与信息安全，提供有效法律支撑。2021年，民法典数据安全法个人信息保护法相继施行，标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道，重要数据及个人信息保护成为时代需求。从“五法一典”的发布进程来看，我国数据安全政策体系经历了从草创到完善的过程,数据安全领域的基础法规架构已初步构建完成，数据安全产业从此进

13、入新的发展快车道，迎来发展的黄金期。1.2.1.2 地方政策从地方维度看，广东省在数据安全立法方面，出台相关政策最多，高达7项；浙江省紧随其后，出台相关政策5项；其次是贵州省、山东省、江苏省、山西省等地区。此外，北京、上海、天津等数据要素市场化进程较深入的直辖市，均有出台相关政策。而地方性政策的发布时间，主要集中在2019年、2020年和2021年。近几年作为我国工业经济向数字经济迈进的关键时期，地方致力于促进数据依法有序自由流动，保障数据安全，加快数据要素市场培育，推动数字经济更好融入新发展格局,并以“数据”为中心，积极出台针对性政策条例。目前比较有代表性的地方性数据安全政策有深圳经济特区数

14、据条例和上海市数据条例等，这些地方性安全政策的不断出台，将为地方推动数字经济更好服务和融入新发展格局，奠定基础。中国各省份、直辖市，乃至主要城市，在未来几年内，将会陆续出台更多地方性数据安全相关政策，以保障地方在数据要素市场化以及数字化转型过程中数据的安全。1.2.1.3 行业政策从行业维度看，适用全行业的数据安全政策数量较多，为整体上落实数据安全措施提供多场景规范性指导作用。此外，从行业属性出发，政府领域因其行业特性，数据价值度高、敏感性强，针对数据安全的相关要求更高，成为出台数据安全政策数量最多的领域；互联网因为涉及大量用户个人信息，对数据安全也有较高要求，其次是金融、工业、医疗、教育、交

15、通、电信等行业，其相关政策数量分别为74项、36项、25项、17项、15项、9项、8项、7项、6项。数据安全政策分布图2数据安全行业政策分布从政策数量分布来看，数据安全政策的覆盖范围并不仅仅是政府、互联网等行业，而是全行业、全场景、全方位的。但由于数据安全治理和企业的业务运营高度相关，数据流转应用的场景和问题乂纷繁复杂，如何更好地既符合法规、政策要求，又满足企业业务发展，仍需要进一步细化的业务场景化的示范指南、标准规范来进一步支撑。12L4发展趋势中央关于“十四五”规划和二。三五年远景目标建议明确提出建设网络强国、数字中国，发展数字经济，建立数据安全保护基础制度和标准规范，保障国家数据安全。一是数据安全产业政策环境进一步完善。