以评估为抓手提升数据安全水平

魏光辉

近年来，我国数字经济发展如火如荼。数字经济已经成为我国经济高质量发展的重要增量，工信领域是数字经济发展的先导区和主阵地，也是我国做大做强数字经济的主力军。在工信领域层面，主要包括三方面的数据，分别是工业、电信和无线电数据。在工业数据方面，随着第四次工业革命浪潮驱动以人工智能为代表的技术发展，数据量急剧增加，数据作为基础性战略资源的地位日益凸显。

作为数字经济深入发展的核心引擎，数据要素面临的威胁与日俱增，包括数据篡改、破坏、泄露，以及非法获取和非法利用，关系国家安全、公共利益和组织的合法权益。当前，数据安全事件频发，工信数据成为重点攻击目标，比如2022年3月，匿名者黑客团伙声称已成功入侵了俄罗斯能源巨头Rosneft Deutschland GmbH，并从中窃取了20TB的数据；2022年3月，日本丰田汽车的零部件供应商遭受勒索病毒攻击，导致丰田14家工厂28条生产线停工一天；希腊最大的电信网络公司Cosmote发生重大数据泄露事件，大量用户的个人信息遭泄露。工信领域数据安全已成为事关国家安全和社会发展的重大问题。

目前来看，工信领域数据安全的典型风险主要有几个方面。第一是数据暴露面风险。在当前的数字产业化和产业数字化的背景下，智能化、网联化和数字化的进程不断推进，一定会带来更多的新场景、新业态，极大增加了工信领域数据资产的暴露面，可能会面临更多的危险。

第二是勒索病毒攻击风险。从目前公布出来的事件来看，每年勒索病毒事件的数量和勒索给企业带来的损失逐年有较大比例提升，勒索病毒攻击已经成为一个产业链，对于工信领域带来的风险非常严峻。

第三是关键数据载体安全风险。主要是两个层面，一是数据中心、云平台、骨干网络、移动平台等这些关键载体面临复杂的权限控制、接口安全、违规操作等安全风险。二是国外高端工业装备存在漏洞、后门等潜在风险，尤其是工业领域，一些高端装备严重依赖国外的产品，在日常运维和故障诊断过程中，他们可能能够接触到很多的日志或者生产参数等信息，这些都能给企业带来很大的风险。

第四是供应链安全风险。开发、集成、运维、运营、第三方服务等供应商、服务商在开展服务过程中能接触到很多数据处理者的真实数据，数据管控挑战较大，在大型头部企业和政府机关中风险比较突出。

第五是个人信息保护风险。可能存在违法收集、过度收集、非法提供、非法使用加工等个人信息保护风险。

以评估为抓手提升数据安全水平

2021年《中华人民共和国数据安全法》正式施行。在工信领域，工业和信息化部在去年出台了工信领域数据安全管理办法，今年1月1日正式施行，全面衔接并细化了数据安全法里面的制度。其中的数据安全风险评估制度，打通了涵盖重要数据识别、目录备案、安全防护、预警及处置、风险评估等工作的全环节监管流程，明确了具体的启动条件、开展频次、具体流程等。

开展风险评估，对于企业、行业和国家都有不同的促进意义。对企业来讲，可以发现隐藏的威胁和脆弱性，及时识别安全风险，帮助企业制定针对性的安全策略和数据安全目标，以及数据安全体系制度的建设与完善，确保数据资产的有效利用和数据风险的安全可控。对于行业，是行业主管部门落实监管职能的重要抓手，可以保障行业的发展战略、关键技术等重要数据不受到非法侵害，能够促进数据流动，推动数字化转型升級。在国家层面，通过“以评促建、以评促改、以评促管”压实数据安全保护主体责任，切实履行数据安全保护义务，助力维护国家安全，保障社会秩序和公众利益，有效推动数字经济安全健康发展。

说到数据安全风险评估，首先介绍下风险管理模型。在安全管理工作中，没有绝对的安全，所有的安全都是符合企业自身发展情况下的相对安全。在这个理论前提下，企业开展安全管理的本质就是发现风险、控制风险和监测风险，确保风险可以控制在企业能够接受的“相对安全”范围内。安全风险受到内外部威胁、数据资产的价值、安全弱点和安全措施四个方面影响，内外部威胁对安全弱点加以利用，就形成了安全风险，数据资产的价值越高，所带来的风险也就越大。而安全管理的作用，就是针对风险采取安全措施，防范内外部威胁，把风险降低到我们可以接受的程度。

数据安全风险评估实践

工信领域数据安全风险评估体系方面，目前已编制了《工业领域数据安全风险评估规范》《电信领域数据安全风险评估规范》，明确了数据安全风险评估原则、流程和内容等，同时形成了规范化的评估报告模板，为机构开展评估或者企业自评估工作提供实施指引。

评估流程方面，包括组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告等环节。

评估内容方面，主要包括合规性评估和安全风险分析两部分内容。合规性评估由合法正当性评估、基础安全性评估、数据全生命周期管理评估三部分组成，重点分析数据处理的种类、数量、目的、方式、范围以及保障能力等是否符合法律、行政法规要求。安全风险分析由风险源识别、安全影响分析、综合风险研判三部分组成，通过综合分析数据处理活动面临的威胁、所采取的保障措施情况以及发生数据泄露、损毁、丢失等安全事件后产生的影响范围、程度等因素，综合研判数据处理活动安全风险等级。

在具体实践方面，以某企业为例，该单位具有核心数据一项，为核心技术源代码数据；重要数据三项，为网联数据、线索数据和客户数据；并从一般数据中抽选了三项，为采购数据、财务数据和运营数据。评估团队对这七项数据开展了评估，发现其中三个数据项的风险级别为中，四个数据项风险级别为低，企业总体数据安全风险评估等级为“良”。

也借这个机会介绍下电子五所在数据安全方面的研究与积累。一是有力支撑了各级数据安全主管（监管）部门的制度供给、标准研制、监督检查及产业研究等工作。二是建立了涵盖咨询规划、检测评估、培训宣贯、安全审计、安全运营等要素的数据安全综合服务能力，为行业企业持续提供优质服务。