logo资料库

数据安全风险评估方法及实施指南(深圳).pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:5.04M 资料格式:pdf 举报 版权申诉
第1页 / 共38页
第2页 / 共38页
第3页 / 共38页
第4页 / 共38页
第5页 / 共38页
第6页 / 共38页
第7页 / 共38页
第8页 / 共38页
资料共38页,剩余部分请下载后查看
    数据安全风险评估方法及实施指南 中国信通院安全研究所数据安全研究部 刘明辉 2019年7月 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
    1 背景 目 录 c O N T E N T S 2 信息安全风险评估理论 3 数据安全风险评估方法 4 数据安全风险评估实施指南 © 2012 Cisco and/or its affiliates. All rights reserved. 2 Cisco Confidential 2
    欧美数据保护相关法律和监管已经引入风险控制思想 欧美数据保护相关法律法规或监管实践,对数据安全的要求,多是从风险控制 角度进行规定,从有效控制风险角度判断企业是否履行了合规责任。 欧盟《一般数据保护条例》(GDPR) 第32条 处理过程中的安全性 1、考虑行业现状、实施成本、处理性质、范围、目的,以及处理活动可能的风险和 处理可能给自然人权利自由造成影响的程度,控制者、处理者应当实施适当的技术 性和组织性措施,以确保与风险相适应的安全等级,视情况而定包括: (a)个人数据的匿名化和加密; (b)确保处理系统和服务的保密性、完整性、可用性以及系统可恢复性的能力; (c)在发生物理或技术故障的情况下,个人信息的恢复可用性及可访问性; (d)对技术性及组织性措施的有效性定期进行测试、访问、评估,以确保处理过程 的安全性。 3
    欧美数据保护相关法律和监管已经引入风险控制思想 美国《2018年加州消费者隐私法案》(CCPA) 1798.150 (a)(1)任何消费者如其在第1798.81.5节(d)条(1)款 (A)项下所定义的未加密或未经处理的个人信息,由于企业违反义务而未 实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息, 从而遭受了未经授权的访问和泄露、盗取或披露,则消费者可因以下任何 一项而提起民事诉讼: (A)为每个消费者每次事件赔偿不少于100美元且不超过750美元的损 害赔偿金或实际损害赔偿金,以数额较大者为准。 (B)禁止令或宣告性法律救济。 (C)法院认为适当的任何其他救济。 4
    欧美数据保护相关法律和监管已经引入风险控制思想 美国联邦贸易委员会(FTC)是美国事实上数据保护监管机构,依据《联邦贸 易委员会法》第5部分赋予其的职责,开展数据保护(隐私保护)监管实践。 执法(Law Enforcement)  实施综合的隐私安全计划  两年一次的专家评估  对消费者进行赔偿  追缴违法所得  删除非法获取的消费者信息  为消费者提供强有力的透明度和选择机制 其他措施(Other tools)  开展相关研究  发布报告  举办研讨会  起草教育消费者和公司的宣传资料  …… 罚款(Civil Penalties) 如果一家公司违反了FTC的命令或COPPA,FTC可 以据此对这家公司进行民事罚款。 5
    欧美数据保护相关法律和监管已经引入风险控制思想 推特案 基本案情 FTC在控诉书中说明,Twitter易受攻 击,原因在于其未能采取合理措施阻止未 经授权的账户登录。 应采取的合理措施,例如  要求员工使用他们没有用于其他程序或网站 的管理员账户口令  禁止员工在其个人电子邮件账户中以明文形 式存储管理员账户口令  在经过合理次数的不成功的登录尝试后暂停 或禁用管理员账户  提供管理登录网页,与用户的登录页面分开  强制员工定期更改管理员账户口令 FTC调查指出,2009年,黑客两次获得了Twitter管理员权限。 2009年1月,黑客利用自动化的密码猜测工具,在向Twitter的登录网页提交了 数千次猜测密码之后,成功获取了Twitter的管理员权限,黑客重置了几个密码 ,并将其中的一些贴在网站上,其他人也可以任意查看。使用这些黑客重置的密 码,其他入侵者从大约9个帐户发送了虚假推文。 2009年4月,黑客通过破解员工邮箱帐户猜测出Twitter公司的管理员密码。黑 客重置至少一个Twitter用户的密码,并可以访问任何Twitter用户的非公开的用 户信息和推文。 和 解 协 议 2011年,FTC与Twitter最终达成和解,根据和解条款,Twitter在20 年内被禁止就安全、隐私与非公开消费者信息的保密性问题误导消费 者,并采取有效措施防止对非公开信息的未授权访问,以及尊重消费 者的隐私选择。公司还必须建立和维护一个全面的信息安全计划,10 年内由独立的审计师每隔一年评估一次。 6
    我国数据安全相关法律政策探索中落实风险评估要求 我国数据安全立法进程加快,相关政策文件先行探索并落实数据安全风险评估要求,从发现风险、 监控风险的角度对企业控制数据安全风险提出要求。 国家数据安全立法 2018年9月,“十三届全国人大常委会立法规划”发布,《数据安全法》位列“条件比较成熟、任期内拟提请审议” 的69部法律草案之中。 2019年3月4日,十三届全国人大二次会议新闻发布会发言人张业遂表示:2019年将加强国家安全立法,制定数据安 全法等法律,提高防范和抵御安全风险的能力。 网信办《数据安全管理办法(征求意见稿)》 第六条 网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立 数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估… … 第十八条 数据安全责任人履行下列职责: (一)组织制定数据保护计划并督促落实; (二)组织开展数据安全风险评估,督促整改安全隐患;… … 7
    风险评估是数据安全风险管理的起点 风险评估能够帮助企业/组织发现自身数据安全问题和短板,明确数据安全保护 需求,为建设数据安全管理和技术手段指明方向,给出解决解决方案。 数据安全风险评估 审视 内在 脆弱性 数据安全 风险 外生 威胁 发现 明确 需求 外生 威胁 输出 短板 管理 技术 合规 数据安全控制措施 8
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料