网络安全合规-数据安全风险评估
一、法律依据:
依据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
依据《网络数据安全管理条例》(征求意见稿)
第三十二条规定,
重要数据处理者,需每年自行或委托数据安全服务机构开展一次数据安全评估,并将年度数据安全评估报告提交给网信部门。
第二十六条规定,
处理100万以上个人信息的数据处理者,比照重要数据处理者进行规范。若该条文正式通过,则意味着用户数量达到100万人以上的互联网企业,每年开展数据安全评估提交年度报告成为法定义务。
《网络数据安全管理条例》(征求意见稿)
第二十六条
数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
第三十二条
处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
二、数据安全风险评估内容
数据安全评估主要包括数据处理活动+数据出境安全评估两个场景
1)数据处理活动评估
数据安全风险评估是指借鉴信息安全风险评估的基本原理和步骤,基于组织的数据战略,从数据全生命周期安全出发,通过对组织目标环境中数据资产的重要程度、数据载体的安全状况、敏感数据的访问状况、数据安全相关管理制度和基础设施的安全性等多方面的信息进行收集、统计和分析,从不同维度评估风险状况,并最终计算得出综合评估结果的过程。
- 数据安全风险评估
**主要包含两个步骤:首先,要明确待评估的数据资产范围;然后,再基于数据安全相关的法律法规和标准规范设定具体的评估指标。评估范畴应覆盖数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动的各个环节。