数据安全治理白皮书（171页）

行业报告下载 2023年07月01日 08:02 管理员

管理制度和技术体系需要落地，离不开数据安全运营体系。数据安全运营体系主要包括两部分，一是定期或特定数据处理场景（数据跨境、数据交易等）触发的数据安全风险评估；二是常态化持续运营工作，依据 I（识别）、P（防护）、D（监测）、R（响应）模型形成的一系列治理活动。数据安全运营要考虑“数据资产、安全策略、安全事件、安全风险”等关键因素，明确哪里做的好、好到什么程度，又有哪些做的不足、哪里需要改进和优化等等，不断地丰富和提升完整性和成熟度。数据安全风险评估的目的旨在掌握数据安全总体状况，发现存在的数据安全风险和违法违规问题，为进一步健全数据安全管理制度和技术措施，提高数据安全治理能力奠定基础。

从评估要素看，数据安全风险评估涉及数据、数据处理活动、业务、安全措施、数据安全风险等基本要素，开展数据安全风险评估应充分考虑要素间关系。从评估对象看，数据安全风险评估主要围绕数据处理者的数据和数据处理活动，对可能影响数据保密性、完整性、可用性和数据处理活动合理性的安全风险进行分析和评价。数据安全风险分析主要涉及数据、数据处理活动、风险源、安全措施等基本要素。从评估内容看，数据安全风险评估既包括涉及数据处理者、业务和信息系统的基本情况调研，也包括处理的数据、开展的数据处理活动情况识别，还包括数据处理活动、数据安全管理、数据安全技术、个人信息保护、重要数据处理等方面的评估内容。从评估方法看，数据安全风险评估主要包括人员访谈、文档审核、系统核查、技术测试。

数据安全治理白皮书（171页）