为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享上海齐程网络科技有限公司试点工作经验,供大家学习参考。
聚焦个人信息保护,数据安全管理体系探索与实践
为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规,响应上海市委网信办网络数据安全风险评估试点工作的号召,落实上海市国资委提升国资系统网络安全防护能力和数据安全治理能力的要求,上海齐程网络科技有限公司(简称锦江WeHotel)在2023年9月至12月期间,根据《网络数据安全风险评估试点工作实施方案》,依照《网络安全标准实践指南——网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》等标准指南,采取“全面摸排、重点评估、标准制定、举一反三”的原则,对“酒店线上预订”业务场景下的数据安全管理、数据安全处理、数据安全技术、个人信息保护等方面开展风险评估,顺利完成了本次网络数据安全风险评估试点工作。
(1)制定评估目标
根据公司历年的风险评估和合规审计情况,确定了本次评估试点工作的三个主要目标:
一是进一步摸底数据现状,完善业务场景中涉及的所有数据类别和重要程度,以及相关数据处理活动的基本情况;
二是确保数据处理和保护措施符合法律法规、国家标准、行业标准等要求,避免任何合规性缺口;
三是完善数据安全制度管理体系、提高数据安全防护能力,检查重要的数据处理活动中是否存在管理、技术风险隐患,推动完善数据安全保护管理和技术措施。
(2)明确评估范围
当下,企业所面临的数据安全风险边界不断扩大,一方面是企业业务活动必然伴随着数据的流动所导致的数据资源暴露面扩大,也意味着其面临的威胁逐渐增加;另一方面,数据在多个业务、数据处理活动中与大量设备、人员产生交互,异常的行为隐匿于海量的数据访问行为中,不仅难以识别,也无形中扩大了数据安全风险可波及的范围。因此要在复杂的业务及数据处理活动中,明确数据安全风险评估的重点业务及相关系统的范围。
评估范围的确定,我们参考了网络安全等级保护的相关要求,根据业务、信息系统的重要程度,选取核心业务系统“会员预定系统”的数据和数据处理活动作为重点评估对象,重点评估其承载酒店线上预订业务所涉及的个人信息和敏感个人信息处理活动面临的风险。并抽样选取一般数据及其数据处理活动,一并纳入本次风险评估的范围,在确保识别出重点评估对象面临的风险的同时,也保障了评估的全面性。
(3)组建评估团队
由于网络数据安全风险评估涉及到企业的业务及数据应用场景,评估人员不仅需要熟练掌握数据安全风险评估要点,还要了解企业的业务、数据和数据处理活动的关键信息,从而更好地识别出潜在的威胁、脆弱性以及已有安全措施的不完善之处。因此需要完善团队协作机制,将评估相关的部门人员组织起来组建一个较为专业的评估团队。
本次组建的评估工作组由首席数据官担任组长,信息安全部作为牵头和协调部门,组员包括业务、产品、研发、运维、数据等部门相关同事。
同时为确保评估结果的客观性和中立性,我们选择了具有广泛专业知识和丰富实践经验的第三方评估机构进行全程指导。
信息调研作为数据安全风险评估工作中最为重要的环节,评估工作组采取了审阅文档、核查配置、人员访谈等多种方式,收集企业的数据资产、数据处理活动、数据安全管理和技术措施等方面的信息。
(1)数据资产识别
根据本次评估工作的重点,重新梳理了结构化数据(如数据库表等)和非结构化数据(如图表文件等)中所有的个人信息,并参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》对其中的敏感个人信息进行了标识。整合了现有数据分类分级情况及个人信息、重要数据、核心数据、其他一般数据等在业务系统中的分布、存储、流转情况,修订数据资产清单。
(2)数据处理活动识别
根据数据资产清单,进一步识别数据在业务场景中涉及的数据处理活动(收集、存储、使用、加工、传输、提供、公开等)。重点识别过程中的关键节点要素,包括业务场景、处理方式、处理环境、处理目的、处理频次、处理量级、处理结果等。
优先对处理活动各阶段中的合法合规、正当必要性进行识别, 包括数据收集的用户授权同意、基于处理目的的最小范围处理、个人信息处理的单独同意功能、个人信息处理的用户权利保障、自动化决策的自主关闭功能以及未满十四周岁未成年人个人信息的单独处理规则等。
同时对现有的安全防护措施进行识别,包括已开展的网络和数据安全评估认证情况(等级保护测评、风险评估、合规审计情况及问题整改情况)、数据安全管理制度体系情况、各类安全设备使用和策略配置情况、数据脱敏和去标识化情况、数据存储和传输的加密情况等。
基于信息调研情况,根据《信息安全技术 数据安全风险评估方法(征求意见稿)》,从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别。
在数据安全风险识别的基础上,从风险危害程度、发生可能性和已有安全措施综合分析评价,针对每一项风险问题整理出对应的整改和加固建议,形成数据安全风险清单。
评估工作组依照《网络安全标准实践指南—网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》及行业监管标准等相关要求,结合业务安全需求,制定了网络数据安全风险评估调研表,共计397项评估细项,完善对于不同角色的受访人员或者证明材料信息的判断标准,确保评估人员之间具备相对统一的评估尺度,为后续开展数据安全评估工作提供实践经验。
试点工作开展期间,完善了《数据分类分级保护管理细则》《数据去标识化与匿名化处理管理细则》《数据出境管理规范》等6份数据安全管理和个人信息保护相关制度,并落地了多个相关流程配套。
本次评估从数据安全管理、数据处理活动、数据安全技术、个人信息处理等方面,共识别到低风险问题和轻微安全风险问题若干个。发现管理和技术方面的薄弱点和问题点,通过实际存在的风险,推动相关部门进行问题整改,提高整体的数据安全风险防控水平。
建立常态化数据安全合规和长效的风险治理机制,提升信息技术风险管控水平,保障数据安全风险可控,业务安全稳定运行,为数字化发展提供保障。
在合规的基础上,根据数据安全最佳实践和自我持续改进优化的需求,针对数据安全风险问题制定计划,落实责任,加强整改,消除业务安全隐患,进一步预防数据安全事件。
根据本次市委网信办指导的试点工作,形成方法论和一系列的标准、规范、流程文档,为锦江国际集团内部其他企业赋能,协助集团内部相关企业开展数据安全风险评估。
来源:网信上海