2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南_第1頁
2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南_第2頁
2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南_第3頁
2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南_第4頁
2024企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南_第5頁
已閱讀5頁,還剩87頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理指南PAGEPAGE18目錄數(shù)據(jù)安全政策和背景 9數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀 9數(shù)據(jù)安全政策現(xiàn)狀 13數(shù)據(jù)安全風(fēng)險(xiǎn)管理概述 26數(shù)據(jù)生命周期處理活動(dòng)概述 26數(shù)據(jù)安全風(fēng)險(xiǎn)概述 28數(shù)據(jù)安全風(fēng)險(xiǎn)影響分析 30數(shù)據(jù)安全風(fēng)險(xiǎn)管理的必要性 33數(shù)據(jù)安全風(fēng)險(xiǎn)管理 34數(shù)據(jù)安全風(fēng)險(xiǎn)管理框架 34數(shù)據(jù)安全風(fēng)險(xiǎn)管理規(guī)劃 36數(shù)據(jù)處理活動(dòng)管理 39數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 44數(shù)據(jù)安全風(fēng)險(xiǎn)處置 50數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)督改進(jìn) 51數(shù)據(jù)安全風(fēng)險(xiǎn)溝通與評(píng)審 57企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理典型實(shí)踐 60企業(yè)數(shù)字化建設(shè)背景 60企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理實(shí)踐 62附錄A:數(shù)據(jù)安全風(fēng)險(xiǎn)賦值表 67數(shù)據(jù)重要程度賦值表 67脆弱性可利用性賦值表 67威脅動(dòng)機(jī)賦值表 67威脅能力賦值表 68威脅發(fā)生頻率賦值表 68附錄B:數(shù)據(jù)安全風(fēng)險(xiǎn)管理工具模板 69數(shù)據(jù)清單 69數(shù)據(jù)處理活動(dòng)場(chǎng)景清單 69已有安全措施清單 70脆弱性清單 70應(yīng)用場(chǎng)景脆弱性嚴(yán)重程度 70數(shù)據(jù)脆弱性嚴(yán)重程度 70數(shù)據(jù)脆弱性可造成的損失 70數(shù)據(jù)安全威脅清單 71風(fēng)險(xiǎn)清單 71數(shù)據(jù)風(fēng)險(xiǎn)值計(jì)算結(jié)果清單 71風(fēng)險(xiǎn)處置建議清單 71附錄C:數(shù)據(jù)安全風(fēng)險(xiǎn)分析資料清單 71常見脆弱性示例 71數(shù)據(jù)安全威脅與脆弱性的利用關(guān)系示例 81數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)劃分參考表 94數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告參考模板 95數(shù)據(jù)安全政策和背景數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀數(shù)字經(jīng)濟(jì)的概念界定和分類范圍信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動(dòng)力的一系列經(jīng)濟(jì)活動(dòng)?!笆濉逼陂g,我國數(shù)字經(jīng)濟(jì)增長主要體現(xiàn)在網(wǎng)上購物、移動(dòng)支付、在線教育、短視頻等領(lǐng)域。AR、數(shù)字社會(huì)建設(shè)等七大數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè),意味著234551-451圖1我國主要區(qū)域相關(guān)政策和發(fā)展目標(biāo)202121663554891表1各區(qū)域數(shù)字經(jīng)濟(jì)發(fā)展目標(biāo)表?。ㄊ校┧鶎賲^(qū)域政策文件發(fā)展目標(biāo)北京京津冀《北京市促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展行動(dòng)綱要(2020-2022年)》打造成為全國數(shù)字經(jīng)濟(jì)發(fā)展的先導(dǎo)區(qū)和示范區(qū);到2022年,數(shù)字經(jīng)濟(jì)增加值占地區(qū)GDP比重達(dá)到55%。天津《天津市促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展行動(dòng)方案(2019-2023年)》2023GDP為國家數(shù)字經(jīng)濟(jì)示范區(qū)。河北《河北省數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃(2020-2025年)》2022年,基本形成以大數(shù)據(jù)產(chǎn)2025年,全省電子信息產(chǎn)業(yè)主營業(yè)務(wù)收入突破5000億元。上海長三角《關(guān)于全面推進(jìn)上海城市數(shù)字化轉(zhuǎn)型的意見》到2025年,上海全面推進(jìn)城市數(shù)字化轉(zhuǎn)型取得顯著成效,國際數(shù)字之都建設(shè)形成基本框架;到2035年,成為具有世界影響力的國際數(shù)字之都。浙江《浙江省國家數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展試驗(yàn)區(qū)建設(shè)工作方案》到2022年,浙江數(shù)字經(jīng)濟(jì)增加值455%,基本江蘇《關(guān)于深入推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的意見》力打造具有世界影響力的數(shù)字技全球吸引力的數(shù)字開放合作“4”大高地。廣東珠三角《廣東省培育數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)集群行動(dòng)計(jì)劃(2019-2025年)》建成“國家數(shù)字經(jīng)濟(jì)發(fā)展先導(dǎo)區(qū)”,力爭2022年數(shù)字經(jīng)濟(jì)規(guī)模達(dá)7萬億元,占GDP比重接近55%。深圳發(fā)展實(shí)施方案(征求意見稿)》到2022年,全市數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)增2400佛山《佛山市推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展實(shí)施方案》2035重慶川渝《重慶建設(shè)國家數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展試驗(yàn)區(qū)工作方案》2022GDP40%以上。四川《國家數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展試(四川建設(shè)工作方案》20222GDP40%。成都《成都市推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展實(shí)施方案》到2022年,基本形成較為完善的數(shù)字經(jīng)濟(jì)生態(tài)體系,數(shù)字經(jīng)濟(jì)重點(diǎn)領(lǐng)域產(chǎn)業(yè)規(guī)模超過3000億元。數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)安全治理數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟(jì)時(shí)代發(fā)展的核心生產(chǎn)要素,數(shù)據(jù)的安全保護(hù)和合法共享也被視為數(shù)字經(jīng)濟(jì)發(fā)展的重大挑戰(zhàn)。數(shù)據(jù)安全政策現(xiàn)狀發(fā)達(dá)國家和領(lǐng)先的發(fā)展中國家都在快速布局和完善數(shù)據(jù)安全政策和法規(guī),以避免在數(shù)字經(jīng)濟(jì)發(fā)展中落后、受困。國內(nèi)數(shù)據(jù)安全政策現(xiàn)狀和趨勢(shì)法律法規(guī)2015712017612020112021地方政策從地方維度看,廣東省在數(shù)據(jù)安全立法方面,出臺(tái)相關(guān)政策最多,高達(dá)7項(xiàng);浙江省緊隨其后,出臺(tái)相關(guān)政策5項(xiàng);其次是貴州省、山東省、江蘇省、山西省等地區(qū)。201920202021年。行業(yè)政策743625171598項(xiàng)、76項(xiàng)。圖2數(shù)據(jù)安全行業(yè)政策分布從政策數(shù)量分布來看,數(shù)據(jù)安全政策的覆蓋范圍并不僅僅是政府、互聯(lián)網(wǎng)等行業(yè),而是全行業(yè)、全場(chǎng)景、全方位的。發(fā)展趨勢(shì)(征求意見稿)》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等數(shù)據(jù)安全相關(guān)行政法規(guī)、部門規(guī)章也陸續(xù)公開征求意見,催生數(shù)據(jù)安全產(chǎn)品和服務(wù)市場(chǎng)需求不斷攀升,助推數(shù)據(jù)安全產(chǎn)業(yè)繁榮發(fā)展。202020224國外\h數(shù)據(jù)安全政策總體情況2/信息技術(shù)和大眾傳媒聯(lián)邦監(jiān)管局。新加坡有關(guān)數(shù)據(jù)(PDPC)來承擔(dān)表2國外數(shù)據(jù)保護(hù)相關(guān)法律規(guī)范國家/地區(qū)法律法規(guī)名稱條款內(nèi)容生效時(shí)間美國《隱私法案》側(cè)重四個(gè)政策目標(biāo):限制披露各機(jī)構(gòu)保存的個(gè)人信息記錄;限制披露各機(jī)構(gòu)保存的個(gè)人信息記錄;授予個(gè)人修改信息記錄的權(quán)利;要求政府機(jī)構(gòu)遵守收集、維護(hù)和公開記錄的法定規(guī)范。1974年12月美國國會(huì)通過《電子通信隱私法》詳細(xì)規(guī)定了執(zhí)法機(jī)關(guān)訪問電子通信和相關(guān)包括“筆式記錄器法”“竊聽法”“存儲(chǔ)通訊法”三個(gè)主要章節(jié)。“筆式記錄器法”針對(duì)執(zhí)法機(jī)關(guān)利用筆式記錄器或類似的追蹤記錄設(shè)備,記錄或解碼由傳輸有線或電子通信的儀器或設(shè)施傳輸?shù)膿芴?hào)、路由、尋址或信令信息的設(shè)備或過程,但該等信息不包括任何通信的內(nèi)容;“竊聽法”管理實(shí)時(shí)性攔截通過線路進(jìn)行傳輸?shù)耐ㄓ崳⒎秶鷶U(kuò)大到電子通信;“存儲(chǔ)通訊法”涉及對(duì)存儲(chǔ)的有線和電子通信或賬戶記錄的訪問和披露,特別的是這部分首次界定了“電子儲(chǔ)存”的概念。1986年美國國會(huì)制定《計(jì)算機(jī)欺詐和濫用法》意的安全研究人員提供明確的規(guī)定以促進(jìn)網(wǎng)絡(luò)安全的發(fā)展?!俺銎涫跈?quán)范圍的入侵者”兩種違法情形。1986年10月16日美國總統(tǒng)R.里根簽署《澄清海外合法使該法案提出,無論服務(wù)提供者的通信、記錄2018年3月用數(shù)據(jù)法案》23日美國國會(huì)通過保存、備份、披露。該法案打破了以往跨國數(shù)據(jù)類證據(jù)調(diào)取過程中遵循的數(shù)據(jù)屬地管轄模式,構(gòu)建了一套全新的以數(shù)據(jù)控制者實(shí)際數(shù)據(jù)控制權(quán)限為衡量依據(jù)的標(biāo)準(zhǔn)框架。該法案單方面賦予美國政府對(duì)全球絕大多數(shù)互聯(lián)網(wǎng)數(shù)據(jù)的“長臂管轄權(quán)”,有關(guān)人士指出,這是美國政府對(duì)他國數(shù)據(jù)主權(quán)的挑釁,不僅侵犯?jìng)€(gè)人隱私,而且與多國立法存在沖突,威脅到跨國企業(yè)的互利合作。該法案主要規(guī)定包括:美國政府證據(jù)調(diào)取范圍、明確服務(wù)提供者域外司法協(xié)助義務(wù)、政府向美國企業(yè)請(qǐng)求獲取數(shù)據(jù)的司法協(xié)助等?!断M(fèi)者隱私法案》20186公布《消費(fèi)者隱私法案》(CaliforniaosuerPreconAcC20011日生效。為消費(fèi)者控制個(gè)人信息提供了合法途徑,被認(rèn)為是全美當(dāng)前最嚴(yán)格的隱私立2018年6月美國加州州長簽署202011日生效法。是一部專門針對(duì)加州消費(fèi)者的新實(shí)力居于世界領(lǐng)先,因此該部立法的意義深遠(yuǎn)超出其原本的立法層級(jí),對(duì)其他州的立法進(jìn)程起到重要標(biāo)桿作用。詳細(xì)解釋四個(gè)部分?!断M(fèi)者隱私法案》規(guī)定,一旦企業(yè)違反隱私保護(hù)要求,將面臨支付給每位消費(fèi)者最高750美元的賠償金以及最高7500美元的罰款?!蛾P(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令》2021年5月12日美國總統(tǒng)拜登簽署SolarWinds供應(yīng)鏈攻擊、微軟ExchangeColonialPipeline輸油管道等一連串備受矚目的重大網(wǎng)絡(luò)安全事件的響應(yīng)。《行政命令》包括九個(gè)部分的內(nèi)容:政策、移除威脅信息共享的障礙、聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化、增強(qiáng)軟件供應(yīng)鏈的安全、成立網(wǎng)絡(luò)安全審查委員會(huì)、聯(lián)邦政府網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)標(biāo)準(zhǔn)化、加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)中網(wǎng)絡(luò)安全漏洞的檢測(cè)能力、加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全事件的調(diào)查、修復(fù)能力、國家安全系統(tǒng)?!断M(fèi)者數(shù)據(jù)保護(hù)法》202132日,美國弗吉尼亞州州長拉爾夫-諾森(RalphNortham)簽署了《消費(fèi)202311202132日美國弗吉尼亞州州長簽署第二個(gè)具備數(shù)據(jù)隱私立法的州。參考借鑒了加州以及歐盟GDPR隱私、賦予消費(fèi)者相關(guān)權(quán)利等方面更為完202311日生效善。享有自由選擇出售自身個(gè)人數(shù)據(jù)以及允許自身個(gè)人數(shù)據(jù)用于定向廣告或分析決策的權(quán)利?!督y(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法》20218立法的示范法案,于頒布之日起180日生效。2021年8月美國統(tǒng)一法律委員會(huì)投票通過基于數(shù)據(jù)實(shí)踐有利于或不利于數(shù)據(jù)主體的可能性,對(duì)“兼容”“不兼容”和“禁止”的數(shù)據(jù)實(shí)踐做出區(qū)分;對(duì)假名數(shù)據(jù)提供寬泛的豁免。頒布后180日生效UPDPA主要內(nèi)容包括:適用范圍,個(gè)人數(shù)據(jù)主體所持有的個(gè)人數(shù)據(jù),個(gè)人數(shù)據(jù)主體的訪問權(quán)和更正權(quán),假名數(shù)據(jù),兼容、不兼容和禁止的數(shù)據(jù)實(shí)踐,收集控制者、第三方控制者和實(shí)踐者的責(zé)任,自愿共識(shí)標(biāo)準(zhǔn),執(zhí)行和規(guī)則制定。該法適用于在該州范圍內(nèi)的由數(shù)據(jù)控制者或者數(shù)據(jù)處理者開展的活動(dòng),包括商務(wù)、生產(chǎn)產(chǎn)品或者是為本州居民提供服務(wù)。歐盟《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)《1081981年歐洲委員會(huì)通過公約》管轄范圍內(nèi)的公民,不管其國籍或居住地,在對(duì)其個(gè)人數(shù)據(jù)進(jìn)行自動(dòng)化處理過程中得到保護(hù),尊重其權(quán)利和基本自由,特別是對(duì)于隱私權(quán)方面的尊重?!?08號(hào)公約》(2018年版)管機(jī)構(gòu)、相互協(xié)作、公約委員會(huì)、公約修正案、最后條款等八章節(jié)、32條款構(gòu)成。建立了有關(guān)個(gè)人數(shù)據(jù)保護(hù)的基本原則以及各締約國之間的基本義務(wù),并將對(duì)個(gè)人基本自由與權(quán)利的保護(hù)作為締約國履行條約規(guī)定的國家義務(wù)的出發(fā)點(diǎn)。此外,公約委員會(huì)的建立,在一定程度上建立起了針對(duì)個(gè)人數(shù)據(jù)保護(hù)的多國合作框架。《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)《95指令》直接以指令而非條約的形式要1995年10月24日通過以及此類數(shù)據(jù)自由各國對(duì)自然人在數(shù)據(jù)處理領(lǐng)域的基本權(quán)利流通的第95/46/EC/號(hào)指令》和自由的保護(hù),消除個(gè)人數(shù)據(jù)在共同體內(nèi)部自由流通的障礙。首次提出知情同意原則,將“數(shù)據(jù)主體已明確表示同意”作為數(shù)據(jù)處定建立獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu),是個(gè)人信息保護(hù)法中主張域外效力的典型代表?!?57234條條款,旨在提高歐洲個(gè)人信息保護(hù)法律的統(tǒng)一程1980108不多,實(shí)施效果也存在差異的現(xiàn)實(shí)情況,進(jìn)而應(yīng)對(duì)高速發(fā)展的信息技術(shù)時(shí)代帶來的保護(hù)個(gè)人數(shù)據(jù)權(quán)利、消除法規(guī)不一所造成的數(shù)據(jù)流通障礙的雙重挑戰(zhàn)?!锻ㄓ脭?shù)據(jù)保護(hù)條例》20164142018525日正式生效。GDPR被稱為“史上最嚴(yán)隱私法案”。一方GDPR賦予了個(gè)體用戶對(duì)于自身數(shù)據(jù)更對(duì)用戶數(shù)據(jù)的控制主體和處理主體制定了2016年4月14日通過2018年5月25日生效十分嚴(yán)格的限制性規(guī)則,有力地推進(jìn)歐盟數(shù)字單一市場(chǎng)的建立。GDPRGDPR的管制,GDPR同時(shí)設(shè)立數(shù)據(jù)保護(hù)官等制度輔助企業(yè)義務(wù)的履行以及監(jiān)督機(jī)構(gòu)的監(jiān)管。GDPR在《95指令》的基礎(chǔ)上重新制定,11993495指3500處具體修改,GDPR生效的兩年后《95指令》被廢止。同時(shí),GDPR電子通信隱私保護(hù)指令以及歐盟公民權(quán)利指令等,通過統(tǒng)一歐盟法規(guī)來協(xié)調(diào)整個(gè)歐洲的數(shù)據(jù)隱私法律,保護(hù)所有歐洲公民免受隱私侵犯和數(shù)據(jù)泄露的侵害,并簡化國際業(yè)務(wù)中對(duì)于數(shù)據(jù)隱私的監(jiān)管方式?!斗莻€(gè)人數(shù)據(jù)自由流動(dòng)條例》GDPR據(jù)治理的統(tǒng)一框架,以此平衡個(gè)人數(shù)據(jù)保2018年11月14日頒布護(hù)、數(shù)據(jù)安全,推進(jìn)歐盟在單一數(shù)字市場(chǎng)戰(zhàn)略下打造富有競(jìng)爭力的數(shù)字經(jīng)濟(jì)。2019年5月28日生效399條條款,從禁范非個(gè)人數(shù)據(jù)流動(dòng)?!稐l例》界定了非個(gè)人數(shù)據(jù)的范疇,即為GDPR(任何已識(shí)別或可識(shí)別的自然人相關(guān)的信息確非個(gè)人數(shù)據(jù)在歐盟境內(nèi)跨境流動(dòng)的規(guī)則,為整個(gè)歐洲的數(shù)據(jù)存儲(chǔ)和處理設(shè)定了框架,禁止數(shù)據(jù)本地化限制;允許有權(quán)機(jī)關(guān)為根據(jù)歐盟法或國家法履行其職責(zé)要求獲取數(shù)據(jù)訪問的權(quán)力,有權(quán)機(jī)關(guān)對(duì)數(shù)據(jù)的訪問不得以數(shù)據(jù)在另一成員國處理為由受到拒絕;鼓勵(lì)和促進(jìn)歐盟層面自律性行為守則的制定,其以透明性和交互性原則為基礎(chǔ),合理考慮開放標(biāo)準(zhǔn),保障數(shù)據(jù)轉(zhuǎn)移和數(shù)據(jù)服務(wù)商自由轉(zhuǎn)換?!稊?shù)據(jù)治理法案》《法案》的出臺(tái),被視為落實(shí)《歐洲數(shù)據(jù)戰(zhàn)2021年11月25日歐盟委員會(huì)發(fā)布202246日批準(zhǔn)生效略》所采取的重要立法舉措,一定程度上強(qiáng)化了歐盟對(duì)于公共數(shù)據(jù)的賦能,為歐洲新的數(shù)據(jù)治理方式奠定了基礎(chǔ)?!斗ò浮窐?gòu)建了三項(xiàng)適于各個(gè)行業(yè)的數(shù)據(jù)共享機(jī)制:公共部門數(shù)據(jù)再利用機(jī)制;數(shù)據(jù)中介機(jī)構(gòu)及通知制度;數(shù)據(jù)利他主義制度。《法案》共九章38條,包括一般規(guī)定、重復(fù)使用公共部門機(jī)構(gòu)持有的某些類別的受法人在公共部門所提供的安全處理環(huán)境中求開展數(shù)據(jù)再利用的公共部門具有技術(shù)設(shè)援助對(duì)公共部門進(jìn)行支撐的數(shù)據(jù)再利用體用的安全處理環(huán)境的技術(shù)系統(tǒng)功能的完整性?!斗ò浮烦h建立非營利性質(zhì)的“數(shù)據(jù)中介機(jī)構(gòu)”數(shù)據(jù)中介機(jī)構(gòu)需要在指定的主管當(dāng)局進(jìn)行備案。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的高度而不是簡單的政府執(zhí)法工作。2016年頒布的《通用數(shù)據(jù)保護(hù)條例》(GDPR)捕犯罪嫌疑人或執(zhí)行刑事處罰中自然人保護(hù)和有關(guān)數(shù)據(jù)自由流通的指令》相互銜接?!堵?lián)邦數(shù)據(jù)保護(hù)法》的主要內(nèi)容為:法律主旨優(yōu)先處理歐洲法而非國內(nèi)憲法;保護(hù)的直接客體并非一般意義上的數(shù)據(jù),而是與個(gè)人具有關(guān)聯(lián)性的個(gè)人數(shù)據(jù);立法目標(biāo)和保護(hù)客體決定了該法保護(hù)權(quán)益的特殊性;明確侵犯公民個(gè)人信息自決權(quán)行為的犯罪構(gòu)成要件和罰則。1977年德國聯(lián)邦議會(huì)出臺(tái))最新修訂于2019月《IT安全法》2021528IT安全法》2.0版本,旨在保護(hù)重要基礎(chǔ)設(shè)施IT系統(tǒng)的安全性,并加強(qiáng)國家安全。2021年5月28日頒布《IT安全法》的主要內(nèi)容為:的權(quán)限;加強(qiáng)對(duì)數(shù)字消費(fèi)者的保護(hù);新增制造商、供應(yīng)商和關(guān)鍵基礎(chǔ)設(shè)施部門的義務(wù);對(duì)跨國傳輸要求設(shè)置官方查詢聯(lián)絡(luò)點(diǎn);對(duì)有關(guān)罰款的規(guī)定進(jìn)行修訂。澳大利亞《隱私法》1988年頒布,是個(gè)人信息保護(hù)的一項(xiàng)法律,其三個(gè)特點(diǎn)為:APP實(shí)體必須采取合理措施保護(hù)個(gè)人信息免遭濫用、侵犯和丟失,以及未經(jīng)授權(quán)的訪問、修改或披露,并在收集個(gè)人信息的目的不再需要時(shí)銷毀或取消其身份。披露和以其他方式處理個(gè)人信息的要求。向境外傳輸個(gè)人信息之前,APP實(shí)體必須采取合理措施,確保海外接收方APP。()個(gè)人信息的使用和透露;個(gè)人信息的準(zhǔn)確信息的權(quán)利等等。1988年頒布《電信法》1997年頒布,確立了執(zhí)法和情報(bào)部門要求私營部門提供針對(duì)加密技術(shù)的自愿性和強(qiáng)制性技術(shù)協(xié)助的法律框架。被納入國家關(guān)鍵基礎(chǔ)設(shè)施范圍內(nèi)的電信運(yùn)提高網(wǎng)絡(luò)安全水平。88表二為標(biāo)準(zhǔn)服務(wù)提供商規(guī)則包括六個(gè)章節(jié)20條,附表三為承運(yùn)人的權(quán)利與豁免包括63ACMA可審查決定包括兩個(gè)章節(jié)。1997年頒布俄羅斯《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》頒布于2006年727也是數(shù)據(jù)與信息安全法律制度體系中主要法律準(zhǔn)則。其兩個(gè)特點(diǎn)為:2006年7月頒布最新修訂于個(gè)人信息匿名化處理?xiàng)l件。個(gè)人信息的匿名化只能在獲得個(gè)人同意的情況下進(jìn)行,或者在俄羅斯聯(lián)邦法律在個(gè)人數(shù)據(jù)領(lǐng)域中規(guī)定的其他情況下才能進(jìn)行。強(qiáng)化數(shù)據(jù)安全,保護(hù)數(shù)據(jù)主權(quán)。在跨推行數(shù)據(jù)本地化制度其中包括隱私保護(hù)、維護(hù)網(wǎng)絡(luò)安全、便利執(zhí)法等具體監(jiān)管目標(biāo),并且要求開始跨境傳輸個(gè)人數(shù)據(jù)之前,處理者有義務(wù)確保在個(gè)人數(shù)據(jù)傳輸?shù)降耐鈬鴩覍?duì)個(gè)人數(shù)據(jù)主體的權(quán)利提供充分的保護(hù)。20201210日,俄羅斯聯(lián)邦會(huì)議國家立保護(hù)個(gè)人數(shù)據(jù)主體權(quán)利和自由的機(jī)制。2020年12月10日新加坡《個(gè)人數(shù)據(jù)保護(hù)法》2012年通過為主。組織則需要為一個(gè)合理的人在這種情況下護(hù)委員會(huì)(PDPC)出臺(tái)了一系列條例及指引,包括:2021年《2021個(gè)人數(shù)據(jù)保護(hù)條例》、2021(數(shù)據(jù)泄露通知2021(違法構(gòu)成2021年《個(gè)人數(shù)據(jù)保護(hù)(執(zhí)行)條例》、2013(請(qǐng)勿致電登記處條例》等。此外,PDPC還發(fā)布了咨詢指南,用以解釋PDPA以供企業(yè)合規(guī)參考。適用的主體包括個(gè)人、公司、協(xié)會(huì)、體具備以下數(shù)據(jù)處理行為,均適用于。2012年通過、韓國《個(gè)人信息保護(hù)法》2011329日,作為2011年3月29日頒布門性的個(gè)人數(shù)據(jù)保護(hù)法律。對(duì)個(gè)人信息保護(hù)的基本原則、個(gè)人信息保護(hù)的基準(zhǔn)、信息主最新修訂于體的權(quán)利保障、個(gè)人信息自決權(quán)的救濟(jì)等問2020年4明確數(shù)據(jù)跨境流動(dòng)的多種渠道;建立隱私政策審查機(jī)制;引入數(shù)據(jù)可攜權(quán);對(duì)于自動(dòng)化決策的拒絕權(quán)和解釋權(quán)。76與其他法律關(guān)系、隱私策略制定、個(gè)人信息處理和安全管理、數(shù)據(jù)主體權(quán)利保障、信息通信服務(wù)提供者等處理個(gè)人信息的特殊情況、個(gè)人信息糾紛調(diào)解委員會(huì)、個(gè)人信息集體訴訟等,規(guī)定了個(gè)人信息的管理、個(gè)人信息的安全措施、信息主體的權(quán)利保障、個(gè)人信息的團(tuán)體訴訟等制度,旨在保護(hù)所有公民的個(gè)人信息權(quán)益,以防信息收集、泄露、不當(dāng)使用與濫用。法律的適用范圍涵蓋公共與私人部門管理的一切個(gè)人信息,通過規(guī)定與個(gè)人信息的處理和保護(hù)有關(guān)的事項(xiàng),保護(hù)個(gè)人的自由和權(quán)利,實(shí)現(xiàn)個(gè)人的尊嚴(yán)和價(jià)值。數(shù)據(jù)安全風(fēng)險(xiǎn)管理概述數(shù)據(jù)生命周期處理活動(dòng)概述數(shù)據(jù)生命周期定義的思考在GB/Tlifecycle)”定義為:數(shù)據(jù)從產(chǎn)生,經(jīng)過數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)(data”概念與GB/T35295-2017(dataGB/T35295-2017將“數(shù)據(jù)生存周期(datalifecycle)”定義為“將原始數(shù)據(jù)轉(zhuǎn)化為可用于行動(dòng)的知識(shí)的在GB/T存周期”的概念,并定義了6個(gè)階段,其命名與GB/T35274-2017完全一致。GB/T37988-2019對(duì)數(shù)據(jù)生存周期6個(gè)階段的具體說明如下:,,特定的數(shù)據(jù)所經(jīng)歷的生存周期由實(shí)際的業(yè)務(wù)所決定,可為完整的6個(gè)階段或是其中的幾個(gè)階段。GB/T37988-2019GB/T22239-2019數(shù)據(jù)全生命周期包括并不限于數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、流動(dòng)、銷毀等過程。JR/T0223-2021金融數(shù)據(jù)生命周期是指金融業(yè)機(jī)構(gòu)在開展業(yè)務(wù)和進(jìn)行經(jīng)營管理的過程中,對(duì)金融數(shù)據(jù)進(jìn)行采集、傳輸、存儲(chǔ)、使用、刪除、銷毀的整個(gè)過程。YD/TYD/T《電)。/T7aalfecl”GB/T39725-2020T/ISEAA002-2021同GB/T35274-2017。6數(shù)據(jù)處理活動(dòng)與數(shù)據(jù)生命周期的關(guān)系7的6個(gè)階段做了一個(gè)簡單的對(duì)照,如下表所示。表3數(shù)據(jù)安全生存周期與數(shù)據(jù)處理活動(dòng)對(duì)比GB/T37988-2019數(shù)據(jù)生存周期6個(gè)階段《數(shù)據(jù)安全法》數(shù)據(jù)處理7個(gè)活動(dòng)數(shù)據(jù)采集組織內(nèi)部系統(tǒng)中新產(chǎn)生數(shù)據(jù),以及從外部系統(tǒng)收集數(shù)據(jù)的階段;數(shù)據(jù)收集數(shù)據(jù)傳輸數(shù)據(jù)從一個(gè)實(shí)體傳輸?shù)搅硪粋€(gè)實(shí)體的階段;數(shù)據(jù)傳輸數(shù)據(jù)存儲(chǔ)數(shù)據(jù)以任何數(shù)字格式進(jìn)行存儲(chǔ)的階段;數(shù)據(jù)存儲(chǔ)數(shù)據(jù)處理組織在內(nèi)部對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段;數(shù)據(jù)使用、加工數(shù)據(jù)交換組織與組織或個(gè)人進(jìn)行數(shù)據(jù)交換的階段數(shù)據(jù)提供、公開數(shù)據(jù)銷毀對(duì)數(shù)據(jù)及數(shù)據(jù)存儲(chǔ)媒體通過相應(yīng)的操作手段,使數(shù)據(jù)徹底刪除且無法通過任何手段恢復(fù)的過程。未定義數(shù)據(jù)安全風(fēng)險(xiǎn)概述數(shù)據(jù)安全風(fēng)險(xiǎn)的概念202191日起施行的《數(shù)據(jù)安全法》是為了規(guī)范數(shù)據(jù)處理活動(dòng),保障有關(guān)主管部門報(bào)告;GB/T數(shù)據(jù)安全風(fēng)險(xiǎn)的類型圖3數(shù)據(jù)安全風(fēng)險(xiǎn)分類示例如上圖,數(shù)據(jù)的安全風(fēng)險(xiǎn)可根據(jù)其來源整體上分為兩大類,一是企業(yè)數(shù)據(jù)因越權(quán)訪數(shù)據(jù)安全風(fēng)險(xiǎn)影響分析數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)國家的影響境外數(shù)據(jù)監(jiān)控危及國家安全Facebook關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊威脅國家安全關(guān)鍵信息基礎(chǔ)設(shè)施往往包含大量的重要數(shù)據(jù),是不法分子進(jìn)行網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。數(shù)據(jù)跨境侵害國家數(shù)據(jù)主權(quán)數(shù)據(jù)跨境在推動(dòng)經(jīng)濟(jì)發(fā)展的同時(shí),可能也會(huì)侵害國家數(shù)據(jù)主權(quán)。由于各國數(shù)據(jù)發(fā)展數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)社會(huì)的影響數(shù)據(jù)沖突挑戰(zhàn)當(dāng)前社會(huì)主流價(jià)值觀國際化數(shù)據(jù)斗爭制約社會(huì)經(jīng)濟(jì)發(fā)展數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)組織自身的影響數(shù)據(jù)意外泄露員工有意泄露20171176300萬元。來自內(nèi)部員工的數(shù)據(jù)泄露,往往讓組織疲于應(yīng)對(duì),造成的經(jīng)濟(jì)損失更是無法估量。黑客攻擊安全公司RiskIQ(EvilInternetMinute)1.515221數(shù)據(jù)安全意識(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)個(gè)體的影響個(gè)人信息收集過程中的威脅個(gè)人信息傳輸中的威脅個(gè)人信息使用過程中的威脅個(gè)人信息銷毀過程中的威脅數(shù)據(jù)安全風(fēng)險(xiǎn)管理的必要性數(shù)據(jù)安全風(fēng)險(xiǎn)管理數(shù)據(jù)安全風(fēng)險(xiǎn)管理框架圖4企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理框架本文借鑒GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》中的風(fēng)險(xiǎn)管3對(duì)風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)屏蔽的完成率起著決定性作用。數(shù)據(jù)安全風(fēng)險(xiǎn)管理規(guī)劃數(shù)據(jù)安全風(fēng)險(xiǎn)管理目標(biāo)數(shù)據(jù)安全風(fēng)險(xiǎn)管理的對(duì)象和范圍數(shù)據(jù)安全風(fēng)險(xiǎn)管理組織圖5企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理組織架構(gòu)、 企業(yè)據(jù)安風(fēng)險(xiǎn)理工成包含要部的主負(fù)責(zé),負(fù)數(shù)據(jù)全風(fēng)相關(guān)作的施相政策制度制定審工作對(duì)業(yè)數(shù)安全風(fēng)進(jìn)行合管度風(fēng)險(xiǎn)評(píng)估險(xiǎn)確數(shù)據(jù)全風(fēng)的關(guān)指建數(shù)據(jù)安全險(xiǎn)預(yù)機(jī)制保數(shù)據(jù)全風(fēng)管理作所資源并立數(shù)安全險(xiǎn)管專職部或崗,負(fù)日常據(jù)安風(fēng)險(xiǎn)理工。5數(shù)據(jù)處理活動(dòng)管理DIKW(Data-to-Information-to-Knowledge-to-WisdomModel)模型中提到:通過某圖6建立數(shù)據(jù)與信息的映射關(guān)系數(shù)據(jù)識(shí)別與標(biāo)記數(shù)據(jù)識(shí)別數(shù)據(jù)識(shí)別過程應(yīng)當(dāng)圍繞業(yè)務(wù)場(chǎng)景充分識(shí)別其業(yè)務(wù)活動(dòng)中涉及終端、應(yīng)用系統(tǒng)、數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)下的各類數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)識(shí)別B.112】。非結(jié)構(gòu)化數(shù)據(jù)識(shí)別B.113】。業(yè)務(wù)信息識(shí)別1信通院《數(shù)據(jù)資產(chǎn)管理實(shí)踐白皮書(5.0版)》數(shù)據(jù)資產(chǎn)是指由組織(政府機(jī)構(gòu)、企事業(yè)單位等)合法擁有或控制的數(shù)據(jù)資源,以電子或其他方式記錄,例如文本、圖像、語音、視頻、網(wǎng)頁、數(shù)據(jù)庫、傳感信號(hào)等結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù),可進(jìn)行計(jì)量或交易,能直接或間接帶來經(jīng)濟(jì)效益和社會(huì)效益B.114】。數(shù)據(jù)分類分級(jí)220219月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)如涉及法律法規(guī)有專門管理要求的數(shù)據(jù)類別(如個(gè)人信息),應(yīng)按照有關(guān)規(guī)定或標(biāo)準(zhǔn)對(duì)個(gè)人信息、敏感個(gè)人信息進(jìn)行識(shí)別和分類。影響數(shù)據(jù)分級(jí)的要素,包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋2《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》征求意見稿)素,精度、規(guī)模、覆蓋度屬于定量要素,深度通常作為衍生數(shù)據(jù)的分級(jí)要素。影響對(duì)象是指數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法影響程度是指數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法表4數(shù)據(jù)分級(jí)確定參考規(guī)則業(yè)務(wù)分類影響程度特別嚴(yán)重危害嚴(yán)重危害一般危害國家安全核心數(shù)據(jù)核心數(shù)據(jù)重要數(shù)據(jù)經(jīng)濟(jì)運(yùn)行核心數(shù)據(jù)重要數(shù)據(jù)重要數(shù)據(jù)社會(huì)穩(wěn)定核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)公共利益核心數(shù)據(jù)重要數(shù)據(jù)一般數(shù)據(jù)組織權(quán)益、個(gè)人權(quán)益一般數(shù)據(jù)一般數(shù)據(jù)一般數(shù)據(jù)對(duì)數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行審核和完善,最后批準(zhǔn)發(fā)布實(shí)施,對(duì)數(shù)據(jù)進(jìn)行分類數(shù)據(jù)分類分級(jí)完成后,當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度數(shù)據(jù)處理活動(dòng)管理圖7數(shù)據(jù)處理活動(dòng)的描述企業(yè)應(yīng)當(dāng)按照各類場(chǎng)景的優(yōu)先級(jí)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。隨著企業(yè)的業(yè)務(wù)發(fā)展或組織架構(gòu)的調(diào)整,每年定期或變更觸發(fā)各場(chǎng)景的識(shí)別工作。業(yè)務(wù)數(shù)據(jù)操作行為識(shí)別B.2數(shù)據(jù)處理16】。應(yīng)用系統(tǒng)數(shù)據(jù)流向識(shí)別B.217】。數(shù)據(jù)生命周期階段識(shí)別GB/T(數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估圖8數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)識(shí)別數(shù)據(jù)重要程度賦值3.3.1A.1本階段輸出成果為《數(shù)據(jù)賦值清單》,模板見【B.1數(shù)據(jù)清單】。數(shù)據(jù)處理活動(dòng)場(chǎng)景識(shí)別3.3.2本階段輸出成果為《數(shù)據(jù)處理活動(dòng)場(chǎng)景清單》,模板見【B.2數(shù)據(jù)處理活動(dòng)場(chǎng)景清單】。已有安全措施識(shí)別本階段輸出成果為《已有安全措施清單》,模板見【B.3已有安全措施清單】。脆弱性識(shí)別C.1.1安全脆弱C.1.2合規(guī)脆弱性】)。應(yīng)用場(chǎng)景的脆弱性嚴(yán)重程度由脆弱性可利用性分析計(jì)算而來。脆弱性可利用性與訪問路徑、訪問復(fù)雜性、權(quán)限要求、用戶交互有關(guān)。32通過【A.2脆弱性可利用性賦值表】為各脆弱性進(jìn)行賦值,匯總到脆弱性清單中。本階段輸出成果為《脆弱性清單》,模板見【B.4脆弱性清單】。數(shù)據(jù)安全威脅識(shí)別C.2數(shù)據(jù)安全威脅與脆弱性的利用關(guān),威脅動(dòng)機(jī)賦值表如【A.3威脅動(dòng)機(jī)賦值表】所示。威脅能力賦值表如【A.4威脅能力賦值表】所示。威脅發(fā)生頻率賦值表如【A.5威脅發(fā)生頻率賦值表】所示。本階段輸出成果為《數(shù)據(jù)安全威脅清單》,模板見【B.8數(shù)據(jù)安全威脅清單】。風(fēng)險(xiǎn)分析B.9風(fēng)險(xiǎn)清單2.2.2GB/T20984-2022風(fēng)險(xiǎn)計(jì)算的主要過程為:首先,依據(jù)脆弱性可利用性,計(jì)算應(yīng)用場(chǎng)景的脆弱性嚴(yán)重程度,即:? ?=1 ? ? ?=1 ? ?= ? ??的脆弱性的可利用性,?為第?個(gè)應(yīng)用場(chǎng)景存在的脆弱性數(shù)量。計(jì)算結(jié)果見【B.5應(yīng)用場(chǎng)景脆弱性嚴(yán)重程度】。然后,依據(jù)應(yīng)用場(chǎng)景的脆弱性嚴(yán)重程度,計(jì)算數(shù)據(jù)的脆弱性嚴(yán)重程度,即:? ?=1 ? ? ?=1 ? ?= ?為第?景的脆弱性嚴(yán)重程度,?為第?個(gè)數(shù)據(jù)所在應(yīng)用場(chǎng)景的數(shù)量。計(jì)算結(jié)果見【B.6數(shù)據(jù)脆弱性嚴(yán)重程度】。?= ?×?,其中?為第?個(gè)數(shù)據(jù)的“脆弱性可造成的損失”,?為第個(gè)數(shù)據(jù)的?7造成的損失】。數(shù)據(jù)安全威脅發(fā)生可能性計(jì)算公式為:2?= ???×?,?1≤?≤5,其中?為第?個(gè)數(shù)據(jù)威脅發(fā)生的可能性,????2綜合計(jì)算各個(gè)威脅發(fā)生可能性之后,匯總在【B.8數(shù)據(jù)安全威脅清單】中。首先,根據(jù)【B.8數(shù)據(jù)安全威脅清單】,計(jì)算出各數(shù)據(jù)的“數(shù)據(jù)威脅發(fā)生可能性”,即:Σ??????=1,其中,??為第?個(gè)數(shù)據(jù)的“數(shù)據(jù)威脅發(fā)生可能性”,?為第?的第?個(gè)威脅的發(fā)生可能性,?為第?個(gè)數(shù)據(jù)面臨的威脅的數(shù)量。計(jì)算結(jié)果見【B.10風(fēng)險(xiǎn)值計(jì)算結(jié)果清單】。?然后,根據(jù)計(jì)算出的各數(shù)據(jù)“數(shù)據(jù)威脅發(fā)生可能性”,以及【B.7數(shù)據(jù)脆弱性可造成的損失】中各數(shù)據(jù)脆弱性可造成的損失,計(jì)算數(shù)據(jù)的安全風(fēng)險(xiǎn)值,即:??=??×???可能性”,??為第?個(gè)數(shù)據(jù)的“脆弱性可造成的損失”。計(jì)算結(jié)果見【B.10數(shù)據(jù)風(fēng)險(xiǎn)值計(jì)算結(jié)果清單】。采用如下公式對(duì)總體數(shù)據(jù)安全風(fēng)險(xiǎn)值進(jìn)行計(jì)算:ΣΣ ?=1 ??Σ ? Σ 1為第個(gè)數(shù)據(jù)的重要程度賦值,為數(shù)據(jù)的個(gè)數(shù)。風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)的目的是支持決策。風(fēng)險(xiǎn)評(píng)價(jià)涉及將風(fēng)險(xiǎn)分析的結(jié)果與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較,以確定需要采取何種應(yīng)對(duì)措施。C.3數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)劃分參考表C.4數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告參考模板數(shù)據(jù)安全風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置建議清單常見的風(fēng)險(xiǎn)處置措施如下:將風(fēng)險(xiǎn)全部或部分地轉(zhuǎn)移到其他責(zé)任方,如通過購買保險(xiǎn)或外包等方式將風(fēng)險(xiǎn)轉(zhuǎn)移給其他方。遠(yuǎn)離風(fēng)險(xiǎn)環(huán)境或采取與風(fēng)險(xiǎn)環(huán)境相隔離的措施。如將有高安全要求的設(shè)備或業(yè)務(wù)活動(dòng)設(shè)置在高安全區(qū)中,增加特殊數(shù)據(jù)防護(hù)手段防止設(shè)備或業(yè)務(wù)活動(dòng)遭受威脅的影響。數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)督改進(jìn)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)督改進(jìn)的目的是保證和提升數(shù)據(jù)安全風(fēng)險(xiǎn)管理過程的質(zhì)量和有效數(shù)據(jù)處理活動(dòng)監(jiān)督風(fēng)險(xiǎn)評(píng)估監(jiān)督風(fēng)險(xiǎn)評(píng)估監(jiān)督應(yīng)通過適當(dāng)?shù)臋C(jī)制記錄和報(bào)告風(fēng)險(xiǎn)管理流程及其成果。記錄和報(bào)告的目的是:運(yùn)營監(jiān)督運(yùn)營監(jiān)督的關(guān)鍵是強(qiáng)調(diào)實(shí)戰(zhàn)的牽引作用。通過監(jiān)督提升全員主動(dòng)參與效應(yīng),并持續(xù)優(yōu)化改進(jìn)。技術(shù)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)應(yīng)當(dāng)以敏感數(shù)據(jù)識(shí)別能力為基礎(chǔ),圍繞數(shù)據(jù)生命周期的流轉(zhuǎn)和敏感數(shù)據(jù)監(jiān)測(cè)數(shù)據(jù)處理活動(dòng)監(jiān)測(cè)() 業(yè)數(shù)據(jù)作行基線測(cè)/IP() 系數(shù)據(jù)向監(jiān)測(cè)(三)數(shù)據(jù)生命周期監(jiān)測(cè)數(shù)據(jù)生命周期監(jiān)測(cè)可在業(yè)務(wù)數(shù)據(jù)操作監(jiān)測(cè)和系統(tǒng)數(shù)據(jù)流向監(jiān)測(cè)的基礎(chǔ)上,提煉各個(gè)過程中的關(guān)鍵屬性,識(shí)別其所屬數(shù)據(jù)生命周期階段。數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)表5常見威脅行為判定示例序號(hào)威脅類型特征所需判定字段1采集/處理/存儲(chǔ)組件存在漏洞/IP、漏洞等級(jí)2未授權(quán)執(zhí)行修改操作超出行為基線權(quán)限:執(zhí)行ALTER語句IPIP時(shí)長、影響行數(shù)、執(zhí)行結(jié)果、操作次數(shù)、3網(wǎng)頁被篡改/IP、網(wǎng)站篡改告警4未授權(quán)執(zhí)行創(chuàng)建操作超出行為基語句IPIP時(shí)長、影響行數(shù)、執(zhí)行結(jié)果、操作次數(shù)5未授權(quán)接口接入/IP、異常告警類型6敏感信息外發(fā)/IPIP(表征傳輸敏感數(shù)據(jù)有無加密)、敏感數(shù)據(jù)操作類型(外發(fā)、接收或其他)記錄、敏感信息關(guān)鍵字7敏感數(shù)據(jù)未脫敏/已完成脫敏信息8創(chuàng)建索引,導(dǎo)致敏感數(shù)據(jù)暴露超出行為基線權(quán)限:執(zhí)行CREATEINDEXIPIP9非工作時(shí)間操作超出訪問時(shí)間IPIP作時(shí)間、數(shù)據(jù)對(duì)象(到字段)、操作類型、操作時(shí)長、影響行數(shù)、執(zhí)行結(jié)果、操作次數(shù)10傳輸未加密監(jiān)測(cè)到敏感數(shù)據(jù)發(fā)送IPIP(表征傳輸敏感數(shù)據(jù)有無加密)、敏感數(shù)據(jù)操作類型(外發(fā)、接收或其他)記錄、敏感信息關(guān)鍵字11使用移動(dòng)存儲(chǔ)介質(zhì)導(dǎo)出敏感數(shù)據(jù)監(jiān)測(cè)到敏感數(shù)據(jù)導(dǎo)入IPIP(外發(fā)、接收或其他)記錄、敏感信息關(guān)鍵字、表征使用移動(dòng)介質(zhì)接入導(dǎo)出關(guān)鍵字12敏感信息外發(fā)監(jiān)測(cè)到敏感信息外發(fā)IPIP(表征傳輸敏感數(shù)據(jù)有無加密)、敏感數(shù)據(jù)操作類型(外發(fā)、接收或其他)記錄、敏感信息關(guān)鍵字13高頻多次導(dǎo)出數(shù)據(jù)超出行為基線中操作次數(shù)閾值,導(dǎo)出數(shù)據(jù)IPIP14批量導(dǎo)出數(shù)據(jù)(運(yùn)維人員)超出行為基線中操作行數(shù),閾值導(dǎo)出數(shù)據(jù)IPIP15數(shù)據(jù)被非惡意刪除超出行為基DELETE、DROP語句IPIP16批量刪除數(shù)據(jù)超出行為基線中操作行數(shù)、閾值刪除數(shù)據(jù)IPIP17數(shù)據(jù)未備份數(shù)據(jù)未定期備份備份產(chǎn)品備份成功信息18數(shù)據(jù)未授權(quán)訪問超出行為基線中的訪問對(duì)象IPIP時(shí)長、影響行數(shù)、執(zhí)行結(jié)果、操作次19更改權(quán)限,超權(quán)限使用數(shù)據(jù)超出行為基線:執(zhí)行GRANT、REVOKEDENY語句IPIP20運(yùn)維人員繞行堡壘機(jī)直聯(lián)針對(duì)防護(hù)對(duì)象直聯(lián)IPIP21違規(guī)使用高危操作超出行為基線:執(zhí)行CREATETRIGGER、ALTERTRIGGER、DROPTRIGGERIPIP22未定期更新系統(tǒng)分類分級(jí)情況/各專業(yè)部門分類分級(jí)完成情況百分比23未授權(quán)的采集源/IPIP時(shí)長、影響行數(shù)、執(zhí)行結(jié)果、操作次數(shù)24數(shù)據(jù)污染攻擊者接入采集系統(tǒng)污染待寫入的性源IP、目的IP、sql注入等告警信息25數(shù)據(jù)無效寫入數(shù)據(jù)不符合規(guī)范或無效不合規(guī)26敏感數(shù)據(jù)在傳輸過程中未加密/IPIP(表征傳輸敏感數(shù)據(jù)有無加密)、敏感數(shù)據(jù)操作類型(外發(fā)、接收或其他)記錄、敏感信息關(guān)鍵字27敏感數(shù)據(jù)存儲(chǔ)未加密/進(jìn)行加密關(guān)鍵字28大數(shù)據(jù)平臺(tái)的組件的違規(guī)訪問控制/事件主體(IPMAC地址、用戶(IP和端口、目的MAC,(29數(shù)據(jù)未定期備份和恢復(fù)/備份產(chǎn)品備份成功信息(指定頻次)30數(shù)據(jù)批量導(dǎo)出超出行為基線中操作次數(shù)閾值,導(dǎo)出數(shù)據(jù)IPIP31數(shù)據(jù)批量導(dǎo)入超出行為基線中操作次數(shù)閾值,導(dǎo)入數(shù)據(jù)IPIP32數(shù)據(jù)脫敏有效性驗(yàn)證/脫敏有效性占比值33超出數(shù)據(jù)共享安全防護(hù)要求(固定IP)/IPIP行數(shù)、執(zhí)行結(jié)果、操作次數(shù)34違規(guī)對(duì)外共享接口訪問與第三方機(jī)構(gòu)共享數(shù)據(jù)時(shí),接口權(quán)限混亂,導(dǎo)致第三方能訪問其他未開放的數(shù)據(jù)源IP、目的IP、日期時(shí)間、調(diào)用參數(shù)35數(shù)據(jù)銷毀未經(jīng)審核/銷毀記錄與工單系統(tǒng)核對(duì)是否未審批36數(shù)據(jù)到期未銷毀數(shù)據(jù)失效或遺留了敏感數(shù)據(jù)仍然可機(jī)密性數(shù)據(jù)銷毀有效性工作情況數(shù)據(jù)安全風(fēng)險(xiǎn)溝通與評(píng)審數(shù)據(jù)安全風(fēng)險(xiǎn)溝通為數(shù)據(jù)安全風(fēng)險(xiǎn)管理主循環(huán)的五個(gè)步驟(即數(shù)據(jù)安全風(fēng)險(xiǎn)管理規(guī)劃、數(shù)據(jù)處理活動(dòng)管理、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)處置、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)控改/即數(shù)溝通與評(píng)審的內(nèi)容數(shù)據(jù)安全風(fēng)險(xiǎn)溝通包括以下方面內(nèi)容:風(fēng)險(xiǎn)因素的評(píng)審包括背景建立過程中關(guān)注的內(nèi)外部環(huán)境以及風(fēng)險(xiǎn)評(píng)估過程中識(shí)別信息的變化,包括但不限于以下方面和內(nèi)容:風(fēng)險(xiǎn)管理的監(jiān)視和評(píng)審包括以下方面和內(nèi)容:溝通與評(píng)審的方式溝通的雙方角色不同,所采取的方式有所不同。有關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任的劃分參見下表。下表給出了不同層面人員之間溝通的方式。表6溝通方式方式接受方?jīng)Q策層管理層執(zhí)行層參與層發(fā)出方?jīng)Q策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹參與層反饋反饋反饋反饋指機(jī)構(gòu)上級(jí)對(duì)下級(jí)工作的指導(dǎo)和檢查,用以保證工作質(zhì)量和效率,適用于決策層對(duì)管理層、決策層對(duì)執(zhí)行層和管理層對(duì)執(zhí)行層;表態(tài)指機(jī)構(gòu)高層支持?jǐn)?shù)據(jù)安全風(fēng)險(xiǎn)管理的對(duì)外表態(tài),用以得到外界認(rèn)同和支持,適用于決策層對(duì)參與層;匯報(bào)指機(jī)構(gòu)的風(fēng)險(xiǎn)管理對(duì)象和數(shù)據(jù)安全風(fēng)險(xiǎn)管理的對(duì)外宣傳和介紹,用以得到外界支持和配合,適用于管理層對(duì)執(zhí)行層、管理層對(duì)參與層;反饋指機(jī)構(gòu)風(fēng)險(xiǎn)管理對(duì)象使用者對(duì)機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)管理的意見反饋,用以了解實(shí)施效果和用戶需求,適用于參與層對(duì)決策層、參與層對(duì)管理層、參與層對(duì)執(zhí)行層;交流企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理典型實(shí)踐企業(yè)數(shù)字化建設(shè)背景(一)整體政策背景和數(shù)字化轉(zhuǎn)型現(xiàn)狀20209“發(fā)-輸--用”5G、AI(二)電力行業(yè)典型應(yīng)用場(chǎng)景描述配網(wǎng)規(guī)劃旨在通過分析和研究未來負(fù)荷增長情況以及城市配電網(wǎng)現(xiàn)狀的基礎(chǔ)上,進(jìn)行系統(tǒng)擴(kuò)建、改造計(jì)劃的最優(yōu)設(shè)計(jì)。企業(yè)會(huì)使用經(jīng)濟(jì)、人口、社會(huì)用電量的歷史數(shù)據(jù)來進(jìn)行負(fù)荷預(yù)測(cè),在這個(gè)過程中應(yīng)企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理實(shí)踐(一)綜述(二)數(shù)據(jù)安全風(fēng)險(xiǎn)管理組織圖9企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理組織架構(gòu)示例負(fù)責(zé)確定風(fēng)險(xiǎn)管理的發(fā)展思路,協(xié)調(diào)推動(dòng)企業(yè)風(fēng)險(xiǎn)管理的規(guī)劃與建設(shè);當(dāng)安全事件發(fā)生后,負(fù)責(zé)應(yīng)急處置工作的總體協(xié)調(diào)和指導(dǎo)。負(fù)責(zé)制定企業(yè)內(nèi)部整體的風(fēng)險(xiǎn)管控和隱患排查的規(guī)范要求的預(yù)防機(jī)制,牽頭開展風(fēng)險(xiǎn)管理;當(dāng)安全事件發(fā)生后,負(fù)責(zé)統(tǒng)籌開展安全事件的應(yīng)急處置和調(diào)查工作。負(fù)責(zé)數(shù)據(jù)安全風(fēng)險(xiǎn)防控能力建設(shè)、數(shù)據(jù)安全應(yīng)急預(yù)案與演練、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全災(zāi)難恢復(fù)等相關(guān)工作。(三)數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度圖10企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度體系示例《數(shù)據(jù)安全戰(zhàn)略方針》明確了數(shù)據(jù)安全風(fēng)險(xiǎn)管理的目標(biāo)、原則和基本路線。1(四)數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)措施圖11企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)技術(shù)體系示例附錄A:數(shù)據(jù)安全風(fēng)險(xiǎn)賦值表數(shù)據(jù)重要程度賦值表數(shù)據(jù)重要程度賦值可根據(jù)企業(yè)數(shù)據(jù)分類分級(jí)實(shí)際情況針對(duì)不同級(jí)別數(shù)據(jù)進(jìn)行重要程度量化賦值,此處給出分為3個(gè)級(jí)別時(shí)的賦值示例供參考。表7數(shù)據(jù)重要程度賦值表賦值數(shù)據(jù)安全級(jí)別5核心數(shù)據(jù)3重要數(shù)據(jù)1一般數(shù)據(jù)脆弱性可利用性賦值表表8脆弱性可利用性賦值表賦值脆弱性可利用性訪問路徑訪問復(fù)雜性權(quán)限要求用戶交互5很高遠(yuǎn)程網(wǎng)絡(luò)訪問訪問復(fù)雜性低無權(quán)限要求不需要用戶交互4高鄰近網(wǎng)絡(luò)訪問訪問復(fù)雜性中等權(quán)限要求中等不需要用戶交互3中本地訪問訪問復(fù)雜性中等權(quán)限要求中等不需要用戶交互2低本地訪問權(quán)限要求高權(quán)限要求高需要用戶交互1很低物理訪問訪問復(fù)雜性高權(quán)限要求高需要用戶交互威脅動(dòng)機(jī)賦值表9威脅動(dòng)機(jī)賦值表賦值威脅動(dòng)機(jī)定義5很高從其他國家搜集政治、經(jīng)濟(jì)、軍事情報(bào)或機(jī)密信息,或獲取大量其他國家個(gè)人信息進(jìn)行輿論誘導(dǎo),目的性極強(qiáng);恐怖組織通過強(qiáng)迫或恐嚇政府或社會(huì),以滿足其需要為目的,采用暴力或暴力威脅方式制造恐慌;4高偷竊、詐騙錢財(cái),竊取機(jī)密信息,販賣個(gè)人信息;獲取商業(yè)情報(bào),竊取數(shù)據(jù),破壞競(jìng)爭對(duì)手的業(yè)務(wù)和數(shù)據(jù),目的性較強(qiáng);3中等企圖尋找并利用系統(tǒng)的脆弱性,以達(dá)到滿足好奇心、檢驗(yàn)技術(shù)能力以及獲取、惡意破壞數(shù)據(jù)等目的,動(dòng)機(jī)復(fù)雜,目的性不強(qiáng);由于對(duì)機(jī)構(gòu)不滿而有意破壞數(shù)據(jù),被收買或威脅竊取或破壞數(shù)據(jù),或出于某種目的竊取數(shù)據(jù)或破壞數(shù)據(jù);2低無動(dòng)機(jī)無預(yù)測(cè)性,或威脅能力不足;1很低無動(dòng)機(jī),具有一定預(yù)測(cè)性;威脅能力賦值表10威脅能力賦值表賦值威脅能力定義5很高自然災(zāi)害,可能會(huì)對(duì)信息系統(tǒng)造成毀滅性的破壞;4高外國政府,組織嚴(yán)密、具有充足的資金、人力和技術(shù)資源,通過多種渠道,包括技術(shù)能力、威逼利誘內(nèi)部員工竊取信息,將竊取信息、攻擊信息系統(tǒng)作為戰(zhàn)爭手段3中等有組織的攻擊,利用競(jìng)爭對(duì)手內(nèi)部員工、獨(dú)立黑客以至犯罪團(tuán)伙;實(shí)施網(wǎng)絡(luò)犯罪,家的支持。2低占有少量資源,一般從外部偵察并攻擊網(wǎng)絡(luò)和系統(tǒng);1很低由于特殊原因而導(dǎo)致的無意行為或誤操作,可以從內(nèi)部破壞信息系統(tǒng)及數(shù)據(jù);威脅發(fā)生頻率賦值表表11威脅發(fā)生頻率賦值表賦值標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高(或≥1次/周);或在大多數(shù)情況下幾乎不可避免;或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高(或≥1次/月);或在大多數(shù)情況下很有可能會(huì)發(fā)生;或可以證實(shí)多次發(fā)生過3中等出現(xiàn)的頻率中等(或>1次/半年);或在某種情況下可能會(huì)發(fā)生;或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小;或一般不太可能發(fā)生;或沒有被證實(shí)發(fā)生過賦值標(biāo)識(shí)定義1很低威脅幾乎不可能發(fā)生;僅可能在罕見和例外的情況下發(fā)生附錄B:數(shù)據(jù)安全風(fēng)險(xiǎn)管理工具模板數(shù)據(jù)清單表12結(jié)構(gòu)化數(shù)據(jù)清單應(yīng)用系統(tǒng)數(shù)據(jù)庫名稱數(shù)據(jù)庫中文名數(shù)據(jù)表名稱數(shù)據(jù)表中文名字段名稱字段中文名字段說明數(shù)據(jù)量級(jí)數(shù)據(jù)所有方數(shù)據(jù)使用方數(shù)據(jù)管理方13非結(jié)構(gòu)化數(shù)據(jù)清單數(shù)據(jù)文件存儲(chǔ)路徑數(shù)據(jù)文件名稱數(shù)據(jù)文件內(nèi)容描述數(shù)據(jù)文件格式數(shù)據(jù)文件量級(jí)數(shù)據(jù)文件所有方數(shù)據(jù)文件使用方數(shù)據(jù)文件管理方14業(yè)務(wù)信息映射清單業(yè)務(wù)分類業(yè)務(wù)條線業(yè)務(wù)活動(dòng)名稱業(yè)務(wù)信息名稱結(jié)構(gòu)化數(shù)據(jù)集映射描述非結(jié)構(gòu)化數(shù)據(jù)集映射描述數(shù)據(jù)項(xiàng)描述15數(shù)據(jù)賦值清單數(shù)據(jù)編號(hào)數(shù)據(jù)名稱數(shù)據(jù)所有方所在位置(量)(量)數(shù)據(jù)安全等級(jí)數(shù)據(jù)重要程度賦值數(shù)據(jù)處理活動(dòng)場(chǎng)景清單表16業(yè)務(wù)數(shù)據(jù)處理活動(dòng)清單場(chǎng)景編號(hào)業(yè)務(wù)條線業(yè)務(wù)活動(dòng)主體環(huán)境數(shù)據(jù)處理活動(dòng)業(yè)務(wù)操作流程描述業(yè)務(wù)信息名稱數(shù)據(jù)集描述涉及應(yīng)用系統(tǒng)涉及數(shù)據(jù)生命周期描述表17應(yīng)用系統(tǒng)數(shù)據(jù)流向清單場(chǎng)景編號(hào)業(yè)務(wù)信息名稱數(shù)據(jù)集描述數(shù)據(jù)來源數(shù)據(jù)去向數(shù)據(jù)結(jié)構(gòu)交互協(xié)議交互接口交互類型已有安全措施清單表18已有安全措施清單安全措施編號(hào)安全措施名稱安全措施描述關(guān)聯(lián)應(yīng)用場(chǎng)景安全措施類型措施有效性脆弱性清單脆弱性編號(hào)名稱脆弱性名稱訪問路徑訪問復(fù)雜性權(quán)限要求用戶交互可利用性可利用性賦值已有安全措施防護(hù)后可利用性賦值表19脆弱性清單應(yīng)用場(chǎng)景脆弱性嚴(yán)重程度20應(yīng)用場(chǎng)景脆弱性嚴(yán)重程度應(yīng)用場(chǎng)景編號(hào)應(yīng)用場(chǎng)景名稱脆弱性嚴(yán)重程度賦值數(shù)據(jù)脆弱性嚴(yán)重程度表21數(shù)據(jù)脆弱性嚴(yán)重程度數(shù)據(jù)編號(hào)脆弱性嚴(yán)重程度賦值數(shù)據(jù)脆弱性可造成的損失22數(shù)據(jù)脆弱性可造成的損失數(shù)據(jù)編號(hào)脆弱性可造成的損失數(shù)據(jù)安全威脅清單威脅編號(hào)威脅名稱影響數(shù)據(jù)編號(hào)方位動(dòng)機(jī)能力頻率動(dòng)機(jī)賦值能力賦值頻率賦值發(fā)生可能性可利用的脆弱性風(fēng)險(xiǎn)清單

表23數(shù)據(jù)安全威脅清單表24風(fēng)險(xiǎn)清單數(shù)據(jù)生命周期業(yè)務(wù)數(shù)據(jù)處理活動(dòng)業(yè)務(wù)信息名稱映射的數(shù)據(jù)集描述數(shù)據(jù)項(xiàng)描述數(shù)據(jù)存儲(chǔ)環(huán)境風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)描述數(shù)據(jù)風(fēng)險(xiǎn)值計(jì)算結(jié)果清單25數(shù)據(jù)風(fēng)險(xiǎn)值計(jì)算結(jié)果清單數(shù)據(jù)編號(hào)數(shù)據(jù)名稱數(shù)據(jù)威脅發(fā)生可能性脆弱性可造成的損失安全風(fēng)險(xiǎn)值風(fēng)險(xiǎn)處置建議清單表26風(fēng)險(xiǎn)處置建議清單風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)值風(fēng)險(xiǎn)處置措施風(fēng)險(xiǎn)處置步驟相關(guān)責(zé)任人預(yù)計(jì)時(shí)間附錄C:數(shù)據(jù)安全風(fēng)險(xiǎn)分析資料清單常見脆弱性示例安全脆弱性

表27安全脆弱性數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行身份鑒別數(shù)據(jù)采集采集終端存在弱口令用戶數(shù)據(jù)采集采集終端存在多人共用同一賬號(hào)的情況數(shù)據(jù)采集采集終端未配置登錄失敗處理功能數(shù)據(jù)采集采集終端用戶的口令未定期更換數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行訪問控制數(shù)據(jù)采集采集終端未及時(shí)清理多余、過期的賬戶數(shù)據(jù)采集采集終端存在超級(jí)管理員等特權(quán)賬戶數(shù)據(jù)采集采集終端未對(duì)用戶進(jìn)行安全審計(jì)數(shù)據(jù)采集采集終端的安全審計(jì)未覆蓋到所有用戶數(shù)據(jù)采集未對(duì)采集終端的審計(jì)記錄進(jìn)行保護(hù)和備份數(shù)據(jù)采集未對(duì)采集終端的審計(jì)進(jìn)程進(jìn)行保護(hù),用戶可中斷進(jìn)程數(shù)據(jù)采集采集終端所在的物理環(huán)境安全不可控,易受到破壞數(shù)據(jù)采集采集終端所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié),存在不符合終端工作要求的情況數(shù)據(jù)采集采集終端未對(duì)數(shù)據(jù)源的真實(shí)性(如名稱、IP等)進(jìn)行鑒別數(shù)據(jù)采集采集終端存在安全漏洞或未及時(shí)安裝補(bǔ)丁程序數(shù)據(jù)采集采集終端未對(duì)采集的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)數(shù)據(jù)采集未定期核查用于收集數(shù)據(jù)的軟硬件功能、接口功能、安全基線配置是否正常,并及時(shí)處理異常情況數(shù)據(jù)采集數(shù)據(jù)采集數(shù)據(jù)采集數(shù)據(jù)采集數(shù)據(jù)采集未使用密碼技術(shù)或校驗(yàn)技術(shù)對(duì)采集的數(shù)據(jù)進(jìn)行完整性的校驗(yàn)數(shù)據(jù)采集數(shù)據(jù)采集未對(duì)無效數(shù)據(jù)建立審查回溯機(jī)制數(shù)據(jù)采集大數(shù)據(jù)采集系統(tǒng)不具備冗余機(jī)制數(shù)據(jù)采集未在分類的基礎(chǔ)上圍繞數(shù)據(jù)損壞、丟失、泄露等建立數(shù)據(jù)分級(jí)數(shù)據(jù)采集數(shù)據(jù)采集未留存數(shù)據(jù)分類分級(jí)清單數(shù)據(jù)采集數(shù)據(jù)分類分級(jí)制度中未映射了業(yè)務(wù)屬性數(shù)據(jù)采集未建立數(shù)據(jù)清洗、轉(zhuǎn)換操作相關(guān)的管理規(guī)范數(shù)據(jù)采集未建立數(shù)據(jù)采集的規(guī)范和標(biāo)準(zhǔn),包括采集的數(shù)據(jù)格式標(biāo)準(zhǔn)、采集范圍最小化原則、數(shù)據(jù)采集分級(jí)分類規(guī)范等數(shù)據(jù)采集數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)采集未在設(shè)計(jì)文檔中明確數(shù)據(jù)清洗、轉(zhuǎn)換過程中使用的規(guī)則、手段、方法數(shù)據(jù)采集在數(shù)據(jù)清洗、轉(zhuǎn)換過程中,未保留詳細(xì)的審計(jì)記錄,記錄內(nèi)容應(yīng)至少包括轉(zhuǎn)換////清洗的時(shí)間等數(shù)據(jù)采集未圍繞數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等建立數(shù)據(jù)采集過程保護(hù)數(shù)據(jù)采集未圍繞采集周期、采集頻率、采集內(nèi)容等設(shè)置統(tǒng)一數(shù)據(jù)采集策略數(shù)據(jù)采集未對(duì)數(shù)據(jù)采集范圍進(jìn)行檢查、反饋和更新數(shù)據(jù)采集未對(duì)數(shù)據(jù)采集過程進(jìn)行記錄與留存數(shù)據(jù)采集(建立訪問權(quán)限管控機(jī)制,防止未預(yù)期的訪問者竊取采集的數(shù)據(jù)數(shù)據(jù)采集數(shù)據(jù)采集未建立數(shù)據(jù)源接入的申請(qǐng)和審核機(jī)制數(shù)據(jù)采集未對(duì)接入數(shù)據(jù)源實(shí)現(xiàn)生命周期管理,建立準(zhǔn)入準(zhǔn)出機(jī)制,并對(duì)數(shù)據(jù)源狀態(tài)進(jìn)行監(jiān)控?cái)?shù)據(jù)采集不具有數(shù)據(jù)源鑒別、數(shù)據(jù)源管理、數(shù)據(jù)源安全認(rèn)證能力數(shù)據(jù)采集未圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等國家法律法規(guī)及行業(yè)規(guī)范,制定數(shù)據(jù)采集安全合規(guī)管理規(guī)范數(shù)據(jù)采集未以數(shù)據(jù)采集安全合規(guī)管理規(guī)范為基礎(chǔ),建立數(shù)據(jù)采集的風(fēng)險(xiǎn)評(píng)估流程數(shù)據(jù)傳輸未借助負(fù)載均衡、防入侵攻擊等設(shè)備建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范數(shù)據(jù)傳輸數(shù)據(jù)傳輸未建立對(duì)加密算法配置、變更、管理等操作過程的審核機(jī)制和監(jiān)管手段數(shù)據(jù)傳輸(不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨髷?shù)據(jù)傳輸未對(duì)密鑰進(jìn)行安全管理數(shù)據(jù)傳輸未對(duì)密鑰系統(tǒng)管理人員建立審核監(jiān)督機(jī)制數(shù)據(jù)傳輸數(shù)據(jù)傳輸方未梳理需要保證傳輸完整性的場(chǎng)景數(shù)據(jù)傳輸數(shù)據(jù)傳輸過程中,未采取有效措施保證數(shù)據(jù)完整性數(shù)據(jù)傳輸數(shù)據(jù)傳輸方未梳理需要保證傳輸保密性的場(chǎng)景數(shù)據(jù)傳輸數(shù)據(jù)傳輸過程中,未采取有效措施保證數(shù)據(jù)保密性數(shù)據(jù)傳輸未根據(jù)數(shù)據(jù)分類分級(jí)管理規(guī)定制定相應(yīng)等級(jí)的數(shù)據(jù)傳輸策略數(shù)據(jù)傳輸未對(duì)數(shù)據(jù)傳輸策略進(jìn)行檢查,對(duì)不符合規(guī)定的傳輸方式給予警告并整改數(shù)據(jù)傳輸未對(duì)涉及國家重要信息、企業(yè)機(jī)密信息和個(gè)人隱私信息的數(shù)據(jù)場(chǎng)景進(jìn)行加密數(shù)據(jù)傳輸數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)傳輸未對(duì)不同級(jí)別數(shù)據(jù)建立不同等級(jí)的加密傳輸能力數(shù)據(jù)傳輸未在數(shù)據(jù)通信兩端采取身份鑒別機(jī)制來保證數(shù)據(jù)傳輸?shù)筋A(yù)期目標(biāo)數(shù)據(jù)傳輸未對(duì)通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容是否符合系統(tǒng)設(shè)定要求進(jìn)行檢查,不具有數(shù)據(jù)有效性檢驗(yàn)功能數(shù)據(jù)傳輸數(shù)據(jù)傳輸數(shù)據(jù)傳輸方未提供通信線路、傳輸節(jié)點(diǎn)的硬件冗余數(shù)據(jù)傳輸未對(duì)網(wǎng)絡(luò)設(shè)備的負(fù)載情況和網(wǎng)絡(luò)帶寬使用情況進(jìn)行監(jiān)控,并在不滿足業(yè)務(wù)高峰期需要時(shí)進(jìn)行告警數(shù)據(jù)傳輸網(wǎng)絡(luò)總帶寬量和各傳輸鏈路帶寬量不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨髷?shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶進(jìn)行身份鑒別數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在弱口令用戶數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在多人共用同一賬號(hào)的情況數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未配置登錄失敗處理功能數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體用戶的口令未定期更換數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶進(jìn)行訪問控制數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未及時(shí)清理多余、過期的賬戶數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在超級(jí)管理員等特權(quán)賬戶數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未對(duì)用戶進(jìn)行安全審計(jì)數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體的安全審計(jì)未覆蓋到所有用戶數(shù)據(jù)存儲(chǔ)組織未對(duì)存儲(chǔ)媒體的審計(jì)記錄進(jìn)行保護(hù)和備份數(shù)據(jù)存儲(chǔ)組織未對(duì)存儲(chǔ)媒體的審計(jì)進(jìn)程進(jìn)行保護(hù),用戶可中斷進(jìn)程數(shù)據(jù)存儲(chǔ)關(guān)鍵存儲(chǔ)媒體所在的物理環(huán)境未進(jìn)行電磁屏蔽數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體所在的物理環(huán)境安全不可控,易受到破壞數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié),存在不符合終端工作要求的情況數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體存在安全漏洞或未及時(shí)安裝補(bǔ)丁程序數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未配置安全的遠(yuǎn)程連接協(xié)議數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未關(guān)閉高危端口或非使用的端口數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體的網(wǎng)絡(luò)時(shí)鐘未進(jìn)行同步數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)未對(duì)備份數(shù)據(jù)定期開展檢查數(shù)據(jù)存儲(chǔ)未對(duì)備份數(shù)據(jù)建立安全管控能力數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)備份文件進(jìn)行恢復(fù)測(cè)試并記錄和保存測(cè)試結(jié)果數(shù)據(jù)存儲(chǔ)未建立數(shù)據(jù)復(fù)制、備份與恢復(fù)的操作規(guī)程數(shù)據(jù)存儲(chǔ)未建立數(shù)據(jù)存儲(chǔ)冗余策略和設(shè)計(jì)指導(dǎo)數(shù)據(jù)存儲(chǔ)存儲(chǔ)媒體未進(jìn)行用戶-終端一對(duì)一綁定或限制遠(yuǎn)程連接網(wǎng)絡(luò)地址范圍數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)存儲(chǔ)未對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)重要節(jié)點(diǎn)的入侵行為進(jìn)行檢測(cè)并對(duì)嚴(yán)重事件進(jìn)行報(bào)警數(shù)據(jù)存儲(chǔ)未對(duì)存儲(chǔ)介質(zhì)進(jìn)行分類分級(jí)數(shù)據(jù)存儲(chǔ)未建立存儲(chǔ)介質(zhì)使用審批制度數(shù)據(jù)存儲(chǔ)未定期對(duì)存儲(chǔ)介質(zhì)開展測(cè)試數(shù)據(jù)存儲(chǔ)未對(duì)存儲(chǔ)介質(zhì)配置安全能力(如:認(rèn)證鑒權(quán)、訪問控制、通信舉證、文件防病毒等)數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行安全基線配置檢查數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)系統(tǒng)不具備對(duì)多副本一致性進(jìn)行掃描自檢并對(duì)不一致數(shù)據(jù)嘗試進(jìn)行修復(fù)和告警的機(jī)制數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)未采用分布式存儲(chǔ)、容災(zāi)備份及恢復(fù)、業(yè)務(wù)快照等保證數(shù)據(jù)可用性的技術(shù)手段數(shù)據(jù)存儲(chǔ)存儲(chǔ)的數(shù)據(jù)未自動(dòng)進(jìn)行分類分級(jí)數(shù)據(jù)存儲(chǔ)組織未依據(jù)安全策略保證重要數(shù)據(jù)的存儲(chǔ)完整性數(shù)據(jù)存儲(chǔ)組織未依據(jù)安全策略保證重要數(shù)據(jù)的存儲(chǔ)機(jī)密性數(shù)據(jù)存儲(chǔ)組織未對(duì)數(shù)據(jù)進(jìn)行本地備份和異地備份數(shù)據(jù)存儲(chǔ)未采用對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的輸入輸出接口進(jìn)行安全管控并對(duì)接入設(shè)備進(jìn)行安全掃描的技術(shù)手段數(shù)據(jù)存儲(chǔ)(等選擇合適的邏輯存儲(chǔ)方式(如集中存儲(chǔ)、分散存儲(chǔ)等)數(shù)據(jù)存儲(chǔ)未定期對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)的運(yùn)維人員進(jìn)行培訓(xùn)和考核數(shù)據(jù)處理不具備對(duì)個(gè)人信息去標(biāo)識(shí)化的處理能力數(shù)據(jù)處理個(gè)人信息和重要數(shù)據(jù)在使用前,未進(jìn)行安全影響評(píng)估數(shù)據(jù)處理未建立敏感數(shù)據(jù)訪問控制機(jī)制數(shù)據(jù)處理未定期查看數(shù)據(jù)處理活動(dòng)操作審計(jì)記錄數(shù)據(jù)處理未審核數(shù)據(jù)處理的日常操作行為,對(duì)違規(guī)行為予以提醒數(shù)據(jù)處理組織未依據(jù)脫敏策略對(duì)數(shù)據(jù)進(jìn)行脫敏數(shù)據(jù)處理未圍繞損壞、丟失、竊取等建立數(shù)據(jù)處理環(huán)境保護(hù)機(jī)制數(shù)據(jù)處理未圍繞訪問控制、監(jiān)管審計(jì)、職責(zé)分離等建立數(shù)據(jù)處理安全能力數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)處理未對(duì)數(shù)據(jù)處理過程建立適當(dāng)?shù)氖跈?quán)審批機(jī)制數(shù)據(jù)處理未制定數(shù)據(jù)處理過程操作規(guī)范數(shù)據(jù)處理針對(duì)數(shù)據(jù)處理結(jié)果訪問與使用,未建立適當(dāng)?shù)臋?quán)限管控和審計(jì)機(jī)制數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出過程進(jìn)行監(jiān)控和審計(jì)數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)分析過程進(jìn)行監(jiān)控和審計(jì)數(shù)據(jù)處理未制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實(shí)施指南數(shù)據(jù)處理未建立對(duì)數(shù)據(jù)分析結(jié)果進(jìn)行審核的機(jī)制數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)使用過程進(jìn)行監(jiān)控和審計(jì)數(shù)據(jù)處理未建立數(shù)據(jù)使用者安全責(zé)任制度數(shù)據(jù)處理使用個(gè)人信息,未建立在明示同意的基礎(chǔ)上數(shù)據(jù)處理組織未對(duì)數(shù)據(jù)脫敏過程進(jìn)行監(jiān)控和審計(jì)數(shù)據(jù)處理未制定數(shù)據(jù)脫敏處理規(guī)范和流程數(shù)據(jù)處理未建立適當(dāng)?shù)臄?shù)據(jù)脫敏效果評(píng)估機(jī)制數(shù)據(jù)處理未明確需要數(shù)據(jù)脫敏的業(yè)務(wù)場(chǎng)景數(shù)據(jù)處理不具備統(tǒng)一數(shù)據(jù)脫敏工具(包括:靜態(tài)脫敏、動(dòng)態(tài)脫敏)數(shù)據(jù)處理數(shù)據(jù)脫敏工具未與數(shù)據(jù)權(quán)限管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)數(shù)據(jù)處理未對(duì)數(shù)據(jù)脫敏操作過程進(jìn)行記錄數(shù)據(jù)處理未制定特權(quán)賬戶的使用規(guī)范數(shù)據(jù)處理未建立審核違規(guī)使用和惡意行為的機(jī)制數(shù)據(jù)處理組織未對(duì)用戶可執(zhí)行的操作進(jìn)行時(shí)間和網(wǎng)絡(luò)范圍上的限制數(shù)據(jù)處理未定期審計(jì)不同賬戶的使用情況數(shù)據(jù)交換未建立數(shù)據(jù)導(dǎo)入導(dǎo)出安全保障制度規(guī)范數(shù)據(jù)交換未基于數(shù)據(jù)分類分級(jí)要求建立數(shù)據(jù)導(dǎo)入導(dǎo)出安全策略數(shù)據(jù)交換未對(duì)導(dǎo)入導(dǎo)出行為進(jìn)行記錄數(shù)據(jù)交換不具有導(dǎo)入導(dǎo)出權(quán)限管理能力數(shù)據(jù)交換不具有導(dǎo)入導(dǎo)出身份認(rèn)證能力數(shù)據(jù)交換不具有導(dǎo)入導(dǎo)出完整性驗(yàn)證能力數(shù)據(jù)交換組織未明確數(shù)據(jù)發(fā)布公開的內(nèi)容、范圍和規(guī)范數(shù)據(jù)交換組織未定期審查發(fā)布數(shù)據(jù)中是否包含非公開信息數(shù)據(jù)交換組織未對(duì)數(shù)據(jù)發(fā)布行為進(jìn)行安全審計(jì)數(shù)據(jù)交換不具有數(shù)據(jù)資源公開應(yīng)急處置能力數(shù)據(jù)交換組織未明確數(shù)據(jù)共享的內(nèi)容范圍數(shù)據(jù)交換組織未明確數(shù)據(jù)共享的管理措施和安全規(guī)范數(shù)據(jù)交換組織未明確數(shù)據(jù)共享涉及的各部門和崗位的職責(zé)與權(quán)限數(shù)據(jù)交換組織未對(duì)數(shù)據(jù)共享行為進(jìn)行安全審計(jì)數(shù)據(jù)交換數(shù)據(jù)共享范圍,不符合國家、政務(wù)行業(yè)及區(qū)域相關(guān)規(guī)定數(shù)據(jù)交換數(shù)據(jù)共享策略,不滿足相關(guān)法律法規(guī)和數(shù)據(jù)保護(hù)要求數(shù)據(jù)交換未制定數(shù)據(jù)共享流程規(guī)范數(shù)據(jù)生命周期脆弱性名稱數(shù)據(jù)交換數(shù)據(jù)共享接口未配置必要的訪問權(quán)限控制數(shù)據(jù)交換未建立適當(dāng)?shù)墓蚕頂?shù)據(jù)溯源機(jī)制數(shù)據(jù)交換未建立數(shù)據(jù)共享場(chǎng)景的規(guī)范要求數(shù)據(jù)交換未建立數(shù)據(jù)共享審核流程數(shù)據(jù)交換不具有數(shù)據(jù)共享審計(jì)策略數(shù)據(jù)交換未利用數(shù)據(jù)加密、安全通道等措施保護(hù)共享數(shù)據(jù)數(shù)據(jù)交換不具有API數(shù)據(jù)接口安全防范能力數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)未建立防數(shù)據(jù)爬取機(jī)制數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)用戶在登錄時(shí)未采用身份鑒別措施數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)用戶列表里的用戶身份標(biāo)識(shí)不具有唯一性數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)存在空口令用戶數(shù)據(jù)交換數(shù)據(jù)開放平臺(tái)未根據(jù)業(yè)務(wù)需求和安全要求建立適當(dāng)?shù)脑L問控制機(jī)制數(shù)據(jù)交換針對(duì)數(shù)據(jù)開放平臺(tái)未對(duì)特權(quán)賬戶、臨時(shí)賬戶等特殊用戶進(jìn)行管控?cái)?shù)據(jù)交換未定期對(duì)數(shù)據(jù)開放平臺(tái)的安全性進(jìn)行驗(yàn)證數(shù)據(jù)銷毀組織未明確存儲(chǔ)媒體銷毀處理策略、管理制度和機(jī)制,以及銷毀對(duì)象和流程數(shù)據(jù)銷毀組織未對(duì)存儲(chǔ)媒體的銷毀行為進(jìn)行記錄數(shù)據(jù)銷毀組織未對(duì)存儲(chǔ)媒體的銷毀過程進(jìn)行監(jiān)控?cái)?shù)據(jù)銷毀組織未依據(jù)存儲(chǔ)媒體類型的不同,建立軟銷毀和硬銷毀的銷毀策略數(shù)據(jù)銷毀未設(shè)置數(shù)據(jù)銷毀的監(jiān)督角色數(shù)據(jù)銷毀未建立數(shù)據(jù)銷毀審批機(jī)制數(shù)據(jù)銷毀組織未明確數(shù)據(jù)銷毀場(chǎng)景、銷毀對(duì)象、銷毀方式、銷毀要求數(shù)據(jù)銷毀組織未依據(jù)國家法律法規(guī)要求,銷毀個(gè)人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)數(shù)據(jù)銷毀未配備必要的數(shù)據(jù)銷毀工具數(shù)據(jù)銷毀不具備識(shí)別并銷毀全部數(shù)據(jù)副本及備份數(shù)據(jù)的機(jī)制和技術(shù)手段數(shù)據(jù)銷毀不具備確保被銷毀數(shù)據(jù)及其副本內(nèi)容不可被恢復(fù)的措施和技術(shù)手段數(shù)據(jù)銷毀未建立針對(duì)數(shù)據(jù)銷毀效果的評(píng)估機(jī)制數(shù)據(jù)銷毀關(guān)于個(gè)人信息的銷毀策略及管理制度,不滿足國家相關(guān)法律和標(biāo)準(zhǔn)的要求數(shù)據(jù)銷毀關(guān)于重要數(shù)據(jù)的銷毀策略及管理制度,不滿足國家相關(guān)法律和標(biāo)準(zhǔn)的要求通用階段組織未指定或授權(quán)業(yè)務(wù)部門或人員負(fù)責(zé)數(shù)據(jù)安全管理制度的制定通用階段組織未編制和更新數(shù)據(jù)安全合規(guī)清單通用階段組織未及時(shí)更新數(shù)據(jù)處理制度流程以及技術(shù)工具通用階段組織未對(duì)非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制數(shù)據(jù)生命周期脆弱性名稱通用階段組織未對(duì)內(nèi)部用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制通用階段網(wǎng)絡(luò)區(qū)域邊界隔離策略不合理或未設(shè)置邊界隔離通用階段組織未及時(shí)變更或終止數(shù)據(jù)安全崗位轉(zhuǎn)離崗人員的數(shù)據(jù)訪問權(quán)限通用階段組織未定期對(duì)數(shù)據(jù)安全崗位人員進(jìn)行安全意識(shí)和崗位技能培訓(xùn)和考核通用階段通用階段組織未建立數(shù)據(jù)安全領(lǐng)導(dǎo)小組,指定機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任小組組長,并明確組長與小組各成員的崗位職責(zé)通用階段組織未開展數(shù)據(jù)安全需求分析通用階段組織未對(duì)數(shù)據(jù)供應(yīng)商的數(shù)據(jù)安全能力進(jìn)行評(píng)估通用階段組織未形成數(shù)據(jù)資產(chǎn)清單并定期更新維護(hù)通用階段組織未采取可靠技術(shù)措施將重要業(yè)務(wù)網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域進(jìn)行隔離通用階段無線接入設(shè)備未開啟接入認(rèn)證功能通用階段組織未限制無線網(wǎng)絡(luò)的使用,或無線網(wǎng)絡(luò)未通過安全網(wǎng)關(guān)接入內(nèi)部網(wǎng)絡(luò)通用階段通用階段組織缺乏快速有效的數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制和溯源機(jī)制通用階段組織缺乏各部門之間聯(lián)動(dòng)的數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警和應(yīng)急響應(yīng)機(jī)制通用階段組織未明確元數(shù)據(jù)語義的統(tǒng)一格式和管理規(guī)則通用階段數(shù)據(jù)安全管理制度未通過正式、有效的方式進(jìn)行發(fā)布,并進(jìn)行版本控制通用階段組織未依據(jù)實(shí)際執(zhí)行情況對(duì)數(shù)據(jù)安全管理制度的合理性和適用性進(jìn)行論證和審定合規(guī)脆弱性表28合規(guī)脆弱性合規(guī)文件分類合規(guī)文件名稱國家法律《網(wǎng)絡(luò)安全法》《密碼法》《民法典》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《刑法》《電子商務(wù)法》《未成年人保護(hù)法》《消費(fèi)者權(quán)益保護(hù)法》《廣告法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《測(cè)繪法》《電子簽名法》《反壟斷法》其他適用的國家法律行政法規(guī)《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》其他適用的行政法規(guī)規(guī)范性文件《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》《網(wǎng)絡(luò)交易監(jiān)督管理辦法》《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引(征求意見稿)》《網(wǎng)絡(luò)安全審查辦法》《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見稿)》《數(shù)據(jù)出境安全評(píng)估辦法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(征求意見稿)《數(shù)據(jù)安全管理辦法(征求意見稿)》《未成年人網(wǎng)絡(luò)保護(hù)條例(征求意見稿)》其他適用的規(guī)范性文件地方性法規(guī)《北京市數(shù)字經(jīng)濟(jì)促進(jìn)條例》《上海市數(shù)據(jù)條例》《上海市公共數(shù)據(jù)開放實(shí)施細(xì)則(征求意見稿)》《上海市數(shù)據(jù)交易場(chǎng)所管理實(shí)施辦法(征求意見稿)》《天津市促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用條例》《天津市數(shù)據(jù)安全管理辦法(暫行)》《廣東省數(shù)字經(jīng)濟(jì)促進(jìn)條例》《廣東省企業(yè)首席數(shù)據(jù)官建設(shè)指南》《廣州市跨境電商行業(yè)合規(guī)指引(試行)》《深圳經(jīng)濟(jì)特區(qū)人工智能產(chǎn)業(yè)促進(jìn)條例》《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》《四川省數(shù)據(jù)條例》《浙江省數(shù)字經(jīng)濟(jì)促進(jìn)條例》《海南省大數(shù)據(jù)開發(fā)應(yīng)用條例》《遼寧省大數(shù)據(jù)發(fā)展條例》《江蘇省數(shù)字經(jīng)濟(jì)促進(jìn)條例》《江蘇省數(shù)據(jù)出境安全評(píng)估申報(bào)工作指引(第一版)》《河南省網(wǎng)絡(luò)安全條例(草案)》《山西省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》《貴州省大數(shù)據(jù)安全保障條例》《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》《貴陽市健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展條例》其他適用的地方性法規(guī)行業(yè)監(jiān)管要求電力《國家發(fā)展和改革委員會(huì)令2014年第14號(hào)-電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《國能安全[2015]36號(hào)-電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范》《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》《2022年能源工作指導(dǎo)意見》《電力可靠性管理辦法(暫行)》其他適用的電力行業(yè)數(shù)據(jù)安全監(jiān)管要求交通《汽車數(shù)據(jù)安全管理若干規(guī)定》《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》《關(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》《汽車采集數(shù)據(jù)處理安全指南》《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》《關(guān)于進(jìn)一步加強(qiáng)新能源汽車企業(yè)安全體系建設(shè)的指導(dǎo)意見》其他適用的交通行業(yè)數(shù)據(jù)安全監(jiān)管要求衛(wèi)生《國家醫(yī)療保障局關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的指導(dǎo)意見》(試行)的通知》《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》《國務(wù)院辦公廳關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》《藥品監(jiān)管網(wǎng)絡(luò)安全與信息化建設(shè)“十四五”規(guī)劃》《“十四五”生物經(jīng)濟(jì)發(fā)展規(guī)劃》其他適用的衛(wèi)生行業(yè)數(shù)據(jù)安全監(jiān)管要求金融《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引》《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》《金融標(biāo)準(zhǔn)化“十四五”發(fā)展規(guī)劃》《中國銀保監(jiān)會(huì)銀行業(yè)金融機(jī)構(gòu)監(jiān)管數(shù)據(jù)標(biāo)準(zhǔn)化規(guī)范(2021版)》《關(guān)于2022年進(jìn)一步強(qiáng)化金融支持小微企業(yè)發(fā)展工作的通知》《中國銀聯(lián)金融信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)品能力評(píng)估指引(試行)》《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法(征求意見稿)》《銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)管理辦法(征求意見稿)》《銀行保險(xiǎn)監(jiān)管統(tǒng)計(jì)管理辦法(征求意見稿)》其他適用的金融行業(yè)數(shù)據(jù)安全監(jiān)管要求運(yùn)營商《省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》《基礎(chǔ)電信企業(yè)專業(yè)公司網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)》《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)》其他適用的運(yùn)營商行業(yè)數(shù)據(jù)安全監(jiān)管要求工業(yè)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(征求意見稿)《關(guān)于“十四五”推動(dòng)石化化工行業(yè)高質(zhì)量發(fā)展的指導(dǎo)意見》其他適用的工業(yè)行業(yè)數(shù)據(jù)安全監(jiān)管要求其他行業(yè)適用于其他行業(yè)的數(shù)據(jù)安全監(jiān)管要求數(shù)據(jù)安全威脅與脆弱性的利用關(guān)系示例表29數(shù)據(jù)安全威脅與脆弱性的利用關(guān)系示例數(shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶在任何網(wǎng)絡(luò)環(huán)境下可登錄進(jìn)行任何操作采集終端未對(duì)用戶進(jìn)行身份鑒別越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作采集終端存在弱口令用戶身份假冒授權(quán)用戶在登錄之后,在任何時(shí)間可冒充他人進(jìn)行任何操作,造成追責(zé)困難采集終端存在多人共用同一賬號(hào)的情況身份假冒任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)授權(quán)用戶的口令進(jìn)行暴力破解,進(jìn)而登錄進(jìn)行任何操作采集終端未配置登錄失敗處理功能身份假冒任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作采集終端用戶的口令未定期更換越權(quán)訪問與數(shù)據(jù)資源濫用授權(quán)用戶在任何網(wǎng)絡(luò)環(huán)境下,可登錄進(jìn)行任何操作采集終端未對(duì)用戶進(jìn)行訪問控制越權(quán)訪問與數(shù)據(jù)資源濫用非授權(quán)用戶在任何網(wǎng)絡(luò)環(huán)境下,可登錄進(jìn)行任何操作采集終端未及時(shí)清理多余、過期的賬戶越權(quán)訪問與數(shù)據(jù)資源濫用授權(quán)用戶在任何網(wǎng)絡(luò)環(huán)境下,可登錄進(jìn)行任何操作采集終端存在超級(jí)管理員等特權(quán)賬戶越權(quán)訪問與數(shù)據(jù)資源濫用授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下,登錄進(jìn)行越權(quán)操作采集終端未對(duì)用戶進(jìn)行安全審計(jì)越權(quán)訪問與數(shù)據(jù)資源濫用部分授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下,登錄進(jìn)行越權(quán)操作采集終端的安全審計(jì)未覆蓋到所有用戶越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)審計(jì)記錄進(jìn)行刪除,且無法恢復(fù)未對(duì)采集終端的審計(jì)記錄進(jìn)行保護(hù)和備份數(shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述越權(quán)訪問與數(shù)據(jù)資源濫用授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下,中斷審計(jì)進(jìn)程而進(jìn)行越權(quán)操作未對(duì)采集終端的審計(jì)進(jìn)程進(jìn)行保護(hù),用戶可中斷進(jìn)程物理破壞任何用戶或蟲蟻鼠害等可在任何時(shí)間對(duì)采集終端進(jìn)行破壞采集終端所在的物理環(huán)境安全不可控,易受到破壞物理環(huán)境變化任何時(shí)間下,采集終端由于溫濕度不符合條件而停止工作采集終端所在的物理環(huán)境溫濕度指標(biāo)不可調(diào)節(jié),存在不符合終端工作要求的情況身份假冒非授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下冒充授權(quán)采集源提交數(shù)據(jù)采集終端未對(duì)數(shù)據(jù)源的真實(shí)性(如名稱、IP等)進(jìn)行鑒別惡意代碼注入任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,對(duì)采集終端進(jìn)行任何攻擊行為采集終端存在安全漏洞或未及時(shí)安裝補(bǔ)丁程序分類分級(jí)標(biāo)記授權(quán)用戶在配置安全策略時(shí),無任何參考,隨意配置或一致性配置采集終端未對(duì)采集的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)業(yè)務(wù)中斷/緩慢采集終端可能由于異常原因停止工作未定期核查用于收集數(shù)據(jù)的軟硬件功能、接口功能、安全基線配置是否正常,并及時(shí)處理異常情況業(yè)務(wù)中斷/緩慢采集終端可能由于升級(jí)、更新等操作而停止工作未在采集設(shè)備的軟硬件更新、接口升級(jí)、配置變更前,在測(cè)試環(huán)境中充分驗(yàn)證新版本的可用性,并制定變更失敗回退方案業(yè)務(wù)中斷/緩慢采集終端可能由于某些原因停止工作,而相關(guān)人員無法及時(shí)發(fā)現(xiàn)采集終端不具備采集失效報(bào)警的功能,并能夠根據(jù)采集日志追溯至失效的采集部件業(yè)務(wù)中斷/緩慢數(shù)據(jù)采集業(yè)務(wù)可能由于采集系統(tǒng)發(fā)生故障而被迫中斷大數(shù)據(jù)采集系統(tǒng)不具備冗余機(jī)制采集過載實(shí)際采集的數(shù)據(jù)可能超出預(yù)期量,造成數(shù)據(jù)采集存儲(chǔ)設(shè)備性能浪費(fèi)未計(jì)算實(shí)際業(yè)務(wù)的數(shù)據(jù)采集量,并依據(jù)設(shè)計(jì)文檔判斷實(shí)際的采集量是否大于預(yù)期的采集量采集過載實(shí)際采集的數(shù)據(jù)可能超出預(yù)期量,造成數(shù)據(jù)采集存儲(chǔ)設(shè)備性能浪費(fèi)當(dāng)業(yè)務(wù)變更時(shí),未重新評(píng)估預(yù)計(jì)的業(yè)務(wù)采集量,并根據(jù)業(yè)務(wù)采集量重新設(shè)計(jì)數(shù)據(jù)采集設(shè)備的承載量業(yè)務(wù)中斷/緩慢采集設(shè)備可能由于過載而停止工作未建立采集設(shè)備過載報(bào)警機(jī)制,應(yīng)根據(jù)預(yù)計(jì)的采集設(shè)備工作負(fù)荷設(shè)計(jì)報(bào)警的閾值清洗轉(zhuǎn)換錯(cuò)誤任何人員可在任何時(shí)間,通過任何終端隨意地進(jìn)行數(shù)據(jù)清洗、轉(zhuǎn)換等操作未建立數(shù)據(jù)清洗、轉(zhuǎn)換操作相關(guān)的管理規(guī)范數(shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述清洗轉(zhuǎn)換錯(cuò)誤任何人員可在任何時(shí)間,通過任何終端隨意地進(jìn)行數(shù)據(jù)清洗、轉(zhuǎn)換等操作未在設(shè)計(jì)文檔中明確數(shù)據(jù)清洗、轉(zhuǎn)換過程中使用的規(guī)則、手段、方法清洗轉(zhuǎn)換錯(cuò)誤無法對(duì)數(shù)據(jù)清洗、轉(zhuǎn)換過程進(jìn)行追溯在數(shù)據(jù)清洗、轉(zhuǎn)換過程中,未保留詳細(xì)的審計(jì)記錄,記錄內(nèi)容應(yīng)至少包括轉(zhuǎn)換///方法、轉(zhuǎn)換/清洗的時(shí)間等數(shù)據(jù)篡改采集數(shù)據(jù)被篡改之后,無法被發(fā)現(xiàn)未使用密碼技術(shù)或校驗(yàn)技術(shù)對(duì)采集的數(shù)據(jù)進(jìn)行完整性的校驗(yàn)越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,通過任何終端訪問數(shù)據(jù)采集系統(tǒng)未限制數(shù)據(jù)采集系統(tǒng)的訪問方式(如登錄地址限制、終端接入方式等),建立訪問權(quán)限管控機(jī)制,防止未預(yù)期的訪問者竊取采集的數(shù)據(jù)分類分級(jí)標(biāo)記無法保證分類分級(jí)清單的準(zhǔn)確性和完整性未建立數(shù)據(jù)分類分級(jí)審核機(jī)制,對(duì)策略進(jìn)行審核和批準(zhǔn),并對(duì)數(shù)據(jù)的分級(jí)分類進(jìn)行監(jiān)控糾正,建立分級(jí)分類清單保護(hù)機(jī)制,記錄數(shù)據(jù)分類分級(jí)清單的操作惡意的數(shù)據(jù)源任何數(shù)據(jù)源可在任何網(wǎng)絡(luò)環(huán)境下進(jìn)行接入未建立數(shù)據(jù)源接入的申請(qǐng)和審核機(jī)制業(yè)務(wù)中斷/緩慢可能由于數(shù)據(jù)源發(fā)生故障造成數(shù)據(jù)采集業(yè)務(wù)中斷未對(duì)接入數(shù)據(jù)源實(shí)現(xiàn)生命周期管源狀態(tài)進(jìn)行監(jiān)控?zé)o效數(shù)據(jù)寫入任何人員可在任何時(shí)間,通過任何終端隨意地進(jìn)行數(shù)據(jù)采集操作未建立數(shù)據(jù)采集的規(guī)范和標(biāo)準(zhǔn),包括采集的數(shù)據(jù)格式標(biāo)準(zhǔn)、采集范圍最小化原則、數(shù)據(jù)采集分級(jí)分類規(guī)范等無效數(shù)據(jù)寫入可能由于數(shù)據(jù)采集范圍不合規(guī)導(dǎo)致采集業(yè)務(wù)受到影響未對(duì)數(shù)據(jù)采集范圍進(jìn)行檢查、反饋和更新無效數(shù)據(jù)寫入可能由于采集到無效數(shù)據(jù)導(dǎo)致業(yè)務(wù)受到影響未對(duì)無效數(shù)據(jù)建立審查回溯機(jī)制分類分級(jí)標(biāo)記可能造成數(shù)據(jù)分類分級(jí)策略不合理的情況未在分類的基礎(chǔ)上圍繞數(shù)據(jù)損壞、丟失、泄露等建立數(shù)據(jù)分級(jí)策略分類分級(jí)標(biāo)記可能造成數(shù)據(jù)分類分級(jí)策略不合理的情況數(shù)據(jù)分類分級(jí)制度中未映射業(yè)務(wù)屬性業(yè)務(wù)中斷/緩慢技術(shù)工具不能滿足業(yè)務(wù)需求數(shù)據(jù)分類分級(jí)工具不具有敏感數(shù)據(jù)識(shí)別、敏感數(shù)據(jù)類型發(fā)現(xiàn)、自定義分類和分級(jí)、數(shù)據(jù)標(biāo)記管理、過程記錄、過程分析能力數(shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述業(yè)務(wù)中斷/緩慢無法保證數(shù)據(jù)分類分級(jí)清單的可用性未留存數(shù)據(jù)分類分級(jí)清單采集行為不合規(guī)數(shù)據(jù)采集業(yè)務(wù)可能面臨合規(guī)風(fēng)險(xiǎn)未圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等國家法律法規(guī)及行業(yè)規(guī)范,制定數(shù)據(jù)采集安全合規(guī)管理規(guī)范業(yè)務(wù)中斷/緩慢數(shù)據(jù)采集風(fēng)險(xiǎn)評(píng)估可能達(dá)不到預(yù)期的效果未以數(shù)據(jù)采集安全合規(guī)管理規(guī)范為基礎(chǔ),建立數(shù)據(jù)采集的風(fēng)險(xiǎn)評(píng)估流程數(shù)據(jù)泄露數(shù)據(jù)采集過程中可能發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)未圍繞數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等建立數(shù)據(jù)采集過程保護(hù)業(yè)務(wù)中斷/緩慢數(shù)據(jù)采集結(jié)果可能達(dá)不到預(yù)期的效果未圍繞采集周期、采集頻率、采集內(nèi)容等設(shè)置統(tǒng)一數(shù)據(jù)采集策略惡意的數(shù)據(jù)源可能由于數(shù)據(jù)源假冒等原因采集到不符合預(yù)期的數(shù)據(jù)不具有數(shù)據(jù)源鑒別、數(shù)據(jù)源管理、數(shù)據(jù)源安全認(rèn)證能力業(yè)務(wù)中斷/緩慢無法對(duì)數(shù)據(jù)采集過程進(jìn)行追溯未對(duì)數(shù)據(jù)采集過程進(jìn)行記錄與留存無效數(shù)據(jù)寫入無法保證數(shù)據(jù)采集的質(zhì)量符合預(yù)期未建立數(shù)據(jù)采集質(zhì)量管理規(guī)范、數(shù)據(jù)質(zhì)量管理流程、實(shí)施數(shù)據(jù)質(zhì)量校驗(yàn)、數(shù)據(jù)質(zhì)量監(jiān)管,強(qiáng)化數(shù)據(jù)采集質(zhì)量能力數(shù)據(jù)竊取授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下,隨意配置或不配置數(shù)據(jù)傳輸保密性措施數(shù)據(jù)傳輸方未梳理需要保證傳輸保密性的場(chǎng)景數(shù)據(jù)竊取任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行竊取數(shù)據(jù)傳輸過程中,未采取有效措施保證數(shù)據(jù)保密性數(shù)據(jù)篡改授權(quán)用戶可在任何網(wǎng)絡(luò)環(huán)境下,隨意配置或不配置數(shù)據(jù)傳輸完整性措施數(shù)據(jù)傳輸方未梳理需要保證傳輸完整性的場(chǎng)景數(shù)據(jù)篡改任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行破壞數(shù)據(jù)傳輸過程中,未采取有效措施保證數(shù)據(jù)完整性業(yè)務(wù)中斷/緩慢業(yè)務(wù)高峰期時(shí),數(shù)據(jù)傳輸業(yè)務(wù)中斷或緩慢數(shù)據(jù)傳輸節(jié)點(diǎn)的性能(如支持的最大網(wǎng)絡(luò)并發(fā)連接量、接口最大帶寬量等)不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨髽I(yè)務(wù)中斷/緩慢業(yè)務(wù)高峰期時(shí),數(shù)據(jù)傳輸業(yè)務(wù)中斷或緩慢數(shù)據(jù)鏈路中部署的安全設(shè)備的性能(如支持的最大網(wǎng)絡(luò)并發(fā)連接量、接口最大帶寬量等)不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨髽I(yè)務(wù)中斷/緩慢業(yè)務(wù)高峰期時(shí),數(shù)據(jù)傳輸業(yè)務(wù)中斷或緩慢網(wǎng)絡(luò)總帶寬量和各傳輸鏈路帶寬量不能滿足業(yè)務(wù)高峰期數(shù)據(jù)傳輸?shù)男枨髷?shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述業(yè)務(wù)中斷/緩慢任何時(shí)間下,數(shù)據(jù)傳輸業(yè)務(wù)中斷數(shù)據(jù)傳輸方未提供通信線路、傳輸節(jié)點(diǎn)的硬件冗余數(shù)據(jù)泄露合法用戶可在不安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行遠(yuǎn)程管理,造成數(shù)據(jù)泄露未采用加密等安全方式對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行遠(yuǎn)程管理,防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被竊聽業(yè)務(wù)中斷/緩慢業(yè)務(wù)高峰期時(shí),數(shù)據(jù)傳輸業(yè)務(wù)中斷或緩慢未對(duì)網(wǎng)絡(luò)設(shè)備的負(fù)載情況和網(wǎng)絡(luò)帶寬使用情況進(jìn)行監(jiān)控,并在不滿足業(yè)務(wù)高峰期需要時(shí)進(jìn)行告警數(shù)據(jù)泄露任何用戶可在任何網(wǎng)絡(luò)環(huán)境下假冒數(shù)據(jù)接受方未在數(shù)據(jù)通信兩端采取身份鑒別機(jī)制來保證數(shù)據(jù)傳輸?shù)筋A(yù)期目標(biāo)惡意代碼注入惡意用戶可將惡意代碼注入至業(yè)務(wù)系統(tǒng)未對(duì)通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容是否符合系統(tǒng)設(shè)定要求進(jìn)行檢查,不具有數(shù)據(jù)有效性檢驗(yàn)功能惡意代碼注入惡意用戶可將惡意代碼注入至業(yè)務(wù)系統(tǒng)不具備校驗(yàn)功能有效性審計(jì)措施,當(dāng)發(fā)生功能失效的情況時(shí),能夠及時(shí)向管理員提供警報(bào)或提示數(shù)據(jù)泄露數(shù)據(jù)可能按照不匹配的等級(jí)傳輸策略進(jìn)行傳輸未根據(jù)數(shù)據(jù)分類分級(jí)管理規(guī)定制定相應(yīng)等級(jí)的數(shù)據(jù)傳輸策略數(shù)據(jù)泄露數(shù)據(jù)傳輸策略可能不規(guī)范未對(duì)數(shù)據(jù)傳輸策略進(jìn)行檢查,對(duì)不符合規(guī)定的傳輸方式給予警告并整改數(shù)據(jù)泄露任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,竊取重要信息未對(duì)涉及國家重要信息、企業(yè)機(jī)密信息和個(gè)人隱私信息的數(shù)據(jù)場(chǎng)景進(jìn)行加密傳輸數(shù)據(jù)泄露數(shù)據(jù)可能按照不匹配的等級(jí)傳輸策略進(jìn)行傳輸未對(duì)不同級(jí)別數(shù)據(jù)建立不同等級(jí)的加密傳輸能力數(shù)據(jù)泄露可能存在加密算法不合理或者失效的情況未建立對(duì)加密算法配置、變更、管理等操作過程的審核機(jī)制和監(jiān)管手段數(shù)據(jù)泄露任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,通過任何終端對(duì)密鑰進(jìn)行竊取,進(jìn)而竊取數(shù)據(jù)未對(duì)密鑰進(jìn)行安全管理數(shù)據(jù)泄露密鑰系統(tǒng)管理人員無意或者故意泄露密鑰,導(dǎo)致數(shù)據(jù)泄露未對(duì)密鑰系統(tǒng)管理人員建立審核監(jiān)督機(jī)制業(yè)務(wù)中斷/緩慢任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,對(duì)數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行攻擊破壞未借助負(fù)載均衡、防入侵攻擊等設(shè)備建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范身份假冒任何用戶可在任何網(wǎng)絡(luò)環(huán)境下,冒充合法終端接入網(wǎng)絡(luò)節(jié)點(diǎn),竊取、破壞數(shù)據(jù)存儲(chǔ)媒體未進(jìn)行用戶-終端一對(duì)一綁定或限制遠(yuǎn)程連接網(wǎng)絡(luò)地址范圍數(shù)據(jù)安全威脅類別數(shù)據(jù)安全威脅行為脆弱性描述越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶在任何網(wǎng)絡(luò)環(huán)境下可登錄進(jìn)行任何操作存儲(chǔ)媒體未對(duì)用戶進(jìn)行身份鑒別越權(quán)訪問與數(shù)據(jù)資源濫用任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作存儲(chǔ)媒體存在弱口令用戶身份假冒授權(quán)用戶在登錄之后,在任何時(shí)間可冒充他人進(jìn)行任何操作,造成追責(zé)困難存儲(chǔ)媒體存在多人共用同一賬號(hào)的情況身份假冒任何用戶可在任何網(wǎng)絡(luò)環(huán)境下對(duì)授權(quán)用戶的口令進(jìn)行暴力破解,進(jìn)而登錄進(jìn)行任何操作存儲(chǔ)媒體未配置登錄失敗處理功能身份假冒任何用戶在破解授權(quán)用戶口令后可在任何時(shí)間進(jìn)行越權(quán)操作存儲(chǔ)媒體用戶的口令未定期更換越權(quán)訪問與數(shù)據(jù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論