2025企業(yè)數(shù)據(jù)安全風(fēng)險管理指南

??2023信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動力的一系列經(jīng)濟(jì)活45.516.2%GDP3.4%GDP39.8%。網(wǎng)、區(qū)塊鏈、人工智能、VRAR、數(shù)字社會建設(shè)等七大數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)，意味著素驅(qū)動業(yè)、55個大類。1所示：1個數(shù)據(jù)價值化政策、35個數(shù)字產(chǎn)業(yè)化政策、54個產(chǎn)業(yè)數(shù)字化政策、89個數(shù)字化治理政1所示：1（2020-2025年）20227萬GDP55%。（四川40%。2022年，基本形成較為完善的3000億元。2017612019年、20202021年。74項、36項、25項、17項、15項、9項、8項、7項、6項。220224\h/(來承擔(dān)A2限制披露各機(jī)構(gòu)保存的個人信息記限制披露各機(jī)構(gòu)保存的個人信息記197412美國國會通《電子通信隱私1986年美國19861016日美國總R里根簽20183該法案單方面賦予美國政府對全球絕大多數(shù)互聯(lián)網(wǎng)數(shù)據(jù)的“長臂管轄權(quán)”,有關(guān)人士指23日美國國《消費(fèi)者隱私法20186月，美國加利福尼亞州州長簽署公布《消費(fèi)者隱私法案》（California11日生效。CCPA為消費(fèi)者控制個人信息提供了合法定,一旦企業(yè)違反隱私保護(hù)要求,將面臨支75020186美國加州州絡(luò)安全的行政命SolarWinds供應(yīng)鏈攻擊、微軟ExchangeColonialPipeline2021512日美國總202132日，美國弗吉尼亞州州長拉爾夫-諾森（RalphNortham）簽署了《消費(fèi)CDPA參考借鑒了加州CCPA以及歐盟GDPR日美國弗吉尼亞州州長20218月，美國統(tǒng)一法律委員會投票通180日生UPDPA基于數(shù)據(jù)實踐有利于或不利于數(shù)據(jù)適用范圍，個人數(shù)據(jù)主體所持有的個人數(shù)自愿共識標(biāo)準(zhǔn)，執(zhí)行和規(guī)則制定。20218美國統(tǒng)一法律委員會投《108在對其個人數(shù)據(jù)進(jìn)行自動化處理過程中得《108號公約》（208年版）案、最后條款等八章節(jié)、32條款構(gòu)成。建立了有關(guān)個人數(shù)據(jù)保護(hù)的基本原則以及各由與權(quán)利的保護(hù)作為締約國履行條約規(guī)定1981年歐洲《95指令》直接以指令而非條約的形式要各國對自然人在數(shù)據(jù)處理領(lǐng)域的基本權(quán)利將“數(shù)據(jù)主體已明確表示同意”作為數(shù)據(jù)處《95指令》包括72條序言和34條條款，旨在提高歐洲個人信息保護(hù)法律的統(tǒng)一程190108而應(yīng)對高速發(fā)展的信息技術(shù)時代帶來的保199510242016414日，歐洲議會和歐盟理事會2018525日正式生效。GDPR被稱為“史上最嚴(yán)隱私法案”。一方GDPR的管制，GDPR20164142018525GDPR在《95指令》的基礎(chǔ)上重新制定，令》來說，做出了多達(dá)350處具體修改，GDPR生效的兩年后《95指令》被廢止。同時，GDPR電子通信隱私保護(hù)指令以及歐盟公民權(quán)利GDPR形成數(shù)《條例》界定了非個人數(shù)據(jù)的范疇，即為GDPR（任何已識別或可識別的自然人相關(guān)的信息歐盟法或國家法履行其職責(zé)要求獲取數(shù)據(jù)20181114201952838條，包括一般規(guī)定、重20211125日歐盟委法人在公共部門所提供的安全處理環(huán)境中求開展數(shù)據(jù)再利用的公共部門具有技術(shù)設(shè)援助對公共部門進(jìn)行支撐的數(shù)據(jù)再利用體用的安全處理環(huán)境的技術(shù)系統(tǒng)功能的完整性?！斗ò浮烦h建立非營利性質(zhì)的“數(shù)據(jù)中介機(jī)構(gòu)”數(shù)據(jù)中介機(jī)構(gòu)需要在指定的主管當(dāng)局進(jìn)行《聯(lián)邦數(shù)據(jù)保護(hù)該法使德國數(shù)據(jù)保護(hù)法律制度與歐盟206年頒布的《通用數(shù)據(jù)保護(hù)條例》（GDP）捕犯罪嫌疑人或執(zhí)行刑事處罰中自然人保1977年德國聯(lián)邦議會出最新修訂于201911《IT安全法》2.0版本，旨在保護(hù)重要基礎(chǔ)設(shè)施2021528對跨國傳輸要求設(shè)置官方查詢聯(lián)絡(luò)《隱私法》APP實體必須采取合理措施保護(hù)個人披露和以其他方式處理個人信息的要求。向境外傳輸個人信息之前，APP實體APP。()個人信息的使用和透露；個人信息的準(zhǔn)確1988《電信法》1997年頒布，確立了執(zhí)法和20條，附表三為承運(yùn)人的權(quán)利與豁免包括63ACMA1997《俄羅斯聯(lián)邦個人數(shù)據(jù)法》7月27也是數(shù)據(jù)與信息安全法律制度體系中主要法律準(zhǔn)則。其兩個特點(diǎn)為：20067最新修訂于強(qiáng)化數(shù)據(jù)安全，保護(hù)數(shù)據(jù)主權(quán)。在跨推行數(shù)據(jù)本地化制度其中包括隱私保護(hù)、維護(hù)網(wǎng)絡(luò)安全、便利執(zhí)法等具體監(jiān)管目標(biāo)，并且要求開始跨境傳輸個人數(shù)據(jù)之前，處理者有義務(wù)確保在個人數(shù)據(jù)傳輸?shù)降耐鈬鴩覍€人數(shù)據(jù)主體的權(quán)利提供充分的保護(hù)。20201210日，俄羅斯聯(lián)邦會議國家20201210《個人數(shù)據(jù)保護(hù)法》PDPA為主。護(hù)委員會(PDPC)出臺了一系列條例及指2021年《2021個人數(shù)據(jù)保護(hù)條例》、20212021年《個人數(shù)據(jù)保護(hù)（執(zhí)行）體具備以下數(shù)據(jù)處理行為，均適用于2012《個人信息保護(hù)法》PIPA2011329日，作為對于自動化決策的拒絕權(quán)和解釋權(quán)。PIA主要包括十章節(jié)76通信服務(wù)提供者等處理個人信息的特殊情2011329最新修訂于2020在GB/T35274-2017期（datalifecycle）”定義為：數(shù)據(jù)從產(chǎn)生，經(jīng)過數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)過程。該標(biāo)準(zhǔn)中的“數(shù)據(jù)生命周期（datalifecycle）”概念與GB/T35295-2017《信息技將“數(shù)據(jù)生存周期（datalifecycle）”定義為“將原始數(shù)據(jù)轉(zhuǎn)化為可用于行動的知識的在GB/T37988-2019存周期”的概念，并定義了6個階段，其命名與GB/T35274-2017完全一致。特定的數(shù)據(jù)所經(jīng)歷的生存周期由實際的業(yè)務(wù)所決定,6個階段或是其中GB/T37988-2019的定義比較接近。例如：lifecycle”T/ISEAA002-2021同GB/T35274-20176個階段描述。針對不同業(yè)務(wù)場景，如無特殊說367202191日起施行的《數(shù)據(jù)安全法》是為了規(guī)范數(shù)據(jù)處理活動，保障GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》和GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險評估方法》中對“信息安全風(fēng)險”的定義——特定威脅利用單3安全公司RiskIQ發(fā)布的年度報告(EvilInternetMinute)1.5家組織4GB/T31722-201551、決策層是企業(yè)數(shù)據(jù)安全風(fēng)險管理領(lǐng)導(dǎo)小組，由企業(yè)一把手負(fù)責(zé)，業(yè)務(wù)及技 3、執(zhí)行層負(fù)責(zé)落實數(shù)據(jù)安全風(fēng)險管理，根據(jù)公司的數(shù)據(jù)安全風(fēng)險管理策略和4、參與層是全部業(yè)務(wù)的參與者，包括內(nèi)部員工及外部合作伙伴，應(yīng)定期開展DIKW（Data-to-Information-to-Knowledge-to-WisdomModel）模型中提到：通過某6B.112】。B.113】。1信通院《數(shù)據(jù)資產(chǎn)管理實踐白皮書（5.0）B.114】。20219月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)2《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》征求意見稿47數(shù)據(jù)生命周期階段——采集、傳輸、存儲、處理、交換、銷毀，可參考【B.2數(shù)據(jù)處理16】。2表8數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)。為了將數(shù)據(jù)風(fēng)險進(jìn)行量化分析，參照【A.1數(shù)據(jù)重要程度本階段輸出成果為《數(shù)據(jù)處理活動場景清單》，模板見【B.2數(shù)據(jù)處理活動場景清安全脆弱性識別一般從數(shù)據(jù)生命周期進(jìn)行，常見的脆弱性示例見【C.1.1安全脆弱合規(guī)脆弱性識別可參考【C.1.2合規(guī)脆弱性】（隨著各行業(yè)最新監(jiān)管要求的發(fā)布，3個值進(jìn)行度量。2個值進(jìn)行度量。通過【A.2脆弱性可利用性賦值表】為各脆弱性進(jìn)行賦值，匯總到脆弱性清單中。本階段輸出成果為《脆弱性清單》，模板見【B.4脆弱性清單】。評估時應(yīng)根據(jù)當(dāng)前脆弱性識別的情況，依據(jù)【C.2數(shù)據(jù)安全威脅與脆弱性的利用關(guān)，威脅動機(jī)賦值表如【A.3威脅動機(jī)賦值表】所示。B.9風(fēng)險清單2.2.2據(jù)風(fēng)險值”，最終得到評估范圍內(nèi)的“總體風(fēng)險值”。參考GB/T20984-2022的風(fēng)險計 =1 =1 = ，其中，為第個應(yīng)用場景的脆弱性嚴(yán)重程度，為第個應(yīng)用場景存B5 =1 =1 = ，其中，為第個數(shù)據(jù)的“脆弱性嚴(yán)重程度”,為第B6= ×，其中為第個數(shù)據(jù)的“脆弱性可造成的損失”，為第7= +×，|1≤≤5，其中為第個數(shù)據(jù)威脅發(fā)生的可能性，∑=1，其中，為第個數(shù)據(jù)的“數(shù)據(jù)威脅發(fā)生可能性”，為第的第為第0=×，其中為第個數(shù)據(jù)的安全風(fēng)險值，為第為第B0∑= 理?！綜.3數(shù)據(jù)安全風(fēng)險等級劃分參考表】為風(fēng)險等級劃分方法示例，將總體風(fēng)險級別數(shù)據(jù)安全風(fēng)險監(jiān)督改進(jìn)的目的是保證和提升數(shù)據(jù)安全風(fēng)險管理過程的質(zhì)量和有效 （三）5DROPDENY事件主體（IPMAC地址、用戶與第三方機(jī)構(gòu)共享數(shù)據(jù)時方能訪問其他未開放風(fēng)險因素的評審包括背景建立過程中關(guān)注的內(nèi)外部環(huán)境以及風(fēng)險評估過程中識別620209月，我國提出碳達(dá)峰碳中和目標(biāo)。電力行業(yè)是碳減排的關(guān)鍵，電力數(shù)字化IoT等數(shù)字化技術(shù)與日常生產(chǎn)、經(jīng)營、管理等各環(huán)節(jié)融合，不僅能有效助力電力企業(yè)減91011數(shù)據(jù)重要程度賦值可根據(jù)企業(yè)數(shù)據(jù)分類分級實際情況針對不同級別數(shù)據(jù)進(jìn)行重要37891011出現(xiàn)的頻率較高（或≥1次/月）出現(xiàn)的頻率中等（或1次/半年）121314151618192