标准解读 |《电信领域数据安全风险评估规范》18项常见疑问解读！

科技 2024-09-02 16:37 北京

《电信领域数据安全风险评估规范》YD/T 3956-2024（以下简称“本规范”）规定了电信领域数据安全风险评估的原则、流程、方法及工具等要求，为电信领域处理者围绕数据处理活动开展数据安全风险评估提供参考。本文结合本规范内容，重新组合梳理本规范的要点及内容，以问答的形式进行解读，便于电信领域相关主体更加全方位了解本规范的相关核心要点，进一步开展数据安全风险防范及评估工作。具体如下：

如何理解风险评估？

答：风险评估 = 风险识别 + 风险分析 + 风险评价。

如何界定电信处理者？

答：电信处理者 = 经营许可 && （自主决定处理目的 || 自主决定处理方式）。

何为电信领域重要数据？

答：电信领域重要数据 = 非法方式（篡改、破坏、泄露等） + 危害主体（国家安全、公共利益）。

注：包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据。

何为电信领域核心数据？

答：电信领域核心数据 = 非法方式（篡改、破坏、泄露等） + 危害主体（国家安全、国民经济命脉、重要民生、重大公共利益等）。

注：包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据。

如何理解电信领域数据安全风险评估？

答：电信领域数据安全风险评估 = 合规性评估 + 安全风险分析。

电信数据安全领域合规性评估由什么组成？

答：合规性评估 = 主干（正当必要性评估 + 基础性安全评估 + 数据全生命周期安全评估） + 要点（重点分析数据处理目的、方式、范围以及保障能力等是否合法合规）。

何为电信数据安全领域安全风险分析？

答：安全风险分析 = 前置性分析（风险源识别（数据处理活动面临的威胁） + 安全影响分析（保障措施分析、发生安全事件影响范围和程度分析）） + 结果性分析（综合风险研判（研判数据处理活动安全风险等级））。

本规范遵循的原则是什么，提出哪些要点？

答：结合本规范5.1章节对评估原则在规范性、客观公正、可复现、可控性、完备性、最小影响、保密性原则遵循可看出，原则涉及的主要元素可归纳为评估人员、评估对象、评估过程、评估结果。具体如下：

8.1评估人员：

充分收集证据；确定评估范围；遵循电信领域相关要求等。

8.2评估对象：

评估实施安全措施的有效性；评估实施安全措施的可靠性。

8.3评估过程：

保障参与人员可控；保障使用技术可控；保障使用工具可控；保障评估过程可控；保障不会对评估对象涉及的应用、系统、网络运行产生显著影响；保护数据处理者商业秘密不被泄露。

8.4评估结果：

保证客观公正；每个评估实施过程的重复执行都应得到同样的评估结果。

实施风险评估的整体流程有哪些步骤？

答：整体流程= 实施过程（组建评估团队 + 确定评估规范 + 制定评估方案 + 实施风险评估 + 形成评估报告） + 风险评估（数据处理活动分析 + 合规性评估 + 安全风险分析）。

电信领域数据安全评估流程

如何组建评估团队？

答：评估团队 = 人员 + 能力。

10.1人员：具备不少于5名专业评估人员，包括1名评估团队的组长、4名评估团队成员。

10.2能力：其中至少应熟悉数据安全风险评估的方法和流程，掌握依据数据安全风险评估相关标准规范开展风险评估的能力，并取得工业和信息化领域数据安全风险评估相关技能评价证书。

委托第三方进行评估规定了哪些要求？

答：委托第三方 = 共同组建 + 人员组成 + 职责安排 +书面契约。

11.1共同组建：数据处理者与被委托机构共同组建评估团队。

11.2人员组成：团队组长和团队成员。

11.3职责安排：数据处理者应指定本单位至少1名数据安全专业人员为评估工作对接人，负责协调本单位资源、对第三方评估机构工作进行管理和监督。

11.4书面契约：评估前签订书面评估委托协议或评估合同。

数据安全风险评估范围应覆盖哪些？

答：评估范围 = 覆盖数据处理者全部重要数据 + 覆盖一定比例的一般数据。

评估方案应包含哪些内容？

答：评估方案 = 评估范围 + 评估依据 + 评估团队基本信息 + 工作计划 + 使用的评估工具情况 + 保障条件等。

评估报告应包含哪些内容？（至少包括）

答：评估报告 = 数据处理者基本情况 + 评估团队基本情况 + 数据处理活动分析 + 合规性评估 + 安全风险分析 + 评估结论 + 应对措施。

风险评估应遵循的方法有哪些？

答：风险评估 = 人员访谈 + 资料查验 + 人工核验 + 工具测试。

15.1人员访谈：形式（交流、讨论、询问等）、评估人员（了解、分析、取证保障措施设计和实施情况）、数据处理者（安排熟悉情况人员参加访谈）。

15.2资料查验：评估人员（查阅数据安全管理制度、安全策略和机制、合同协议、安全配置和设计文档、系统运行记录等相关文件）、数据处理者（提前准备评估人员所需查阅的文档）。

15.3人工核验：数据处理者（围绕应用、系统、网络等评估数据安全保障措施有效性）。

15.4工具测试：评估人员（通过工具查看、分析被测试响应输出结果，评估数据安全保障措施有效性） + 数据处理者（提前准备测试环境） + 工具检测（使用前充分检测可能对数据载体、业务连续的影响）。

16.对评估工具有哪些限制要求？

答：评估工具要求 = 安全要求 + 使用要求。

16.1安全要求：

面向评估工具：来源可靠；不对生产运营造成影响；通过检测和校验。

16.2使用要求：

面向评估团队：人员对工具使用具有熟练度；安全、规范、合理使用工具；慎重实施（承载数据的系统、设备等）；避免业务高峰期开展。

17.本规范提出的常见数据安全风险评估工具有哪些？

答：数据资产扫描工具、数据流量分析工具、系统脆弱性扫描工具、系统主机安全检查工具、数据安全检测评估工具等。

18. 如何实施风险评估？（至少包括）

答：实施风险评估 = 数据处理活动分析 + 开展合规性评估 + 开展安全风险分析 + 形成评估结论。

18.1数据处理活动分析：

正式开展风险评估前进行；识别所有数据处理活动；识别各处理活动所对应的数据类型、名称、数量；识别处理活动目的、方式、频率等；划分处理活动所涉及数据的级别（一般数据处理活动分析、重要数据和核心数据处理分析）。

18.2开展合规性评估：

正当必要性评估（充分必要条件）：若正当必要性为满足，则合规性评估不通过。如：处理目的是否合理正当、所涉及的数据数量、类型、频率是否为该目的下的最小范围等。

基础性安全评估（必要条件）：按照一般数据处理活动、重要数据和核心数据处理活动双维度，围绕组织保障、数据分类分级、权限管理、日志留存、风险监测预警、应急处置、安全评估、教育培训进行展开。

通过本规范要求可看出：

（一）组织保障：一是强调需匹配具有专业能力和经验的查验数据处理者数据安全岗位人员，并对人员名单的基本信息进行记录；二是对如何形成查验数据处理者数据安全管理制度文档进行了明确要求，要求围绕数据安全基础性管理和数据全生命周期各环节安全形成保护要求和操作规程、覆盖基本能力、建立数据安全管理制度等；

（二）数据分类分级：主要查验数据处理者的数据分类分级管理制度、数据资产相关制度文件及完备性。并强调要按照电信主管部门要求以及相关标准规则制定数据分级标准识别重要数据和核心数据，明确各级数据界限，制定差异化保护策略等；

（三）权限管理：主要对数据访问权限管理制度、演示账号生命周期管理流程、系统权限分配表更新情况、有关平台的风险操作及是否配备安全管理措施等进行查验；

（四）日志留存：对日志管理制度相关文件、日志审计相关制度、日志审计报告等的完备性、整改情况等进行查验；对日志及系统运行日志记录留存时间进行查验；

（五）风险监测预警：主要对数据安全风险预警相关制度文件、预警方案、上报记录的完备性、主动性（定期开展风险监测预警、主动上报风险记录）、处置记录等进行查验；

（六）应急处置：主要对应急预案的业务场景考虑情况，应急演练工作记录的完备性，应急响应处置记录的完备性进行查验；

（七）安全评估：主要对数据处理者数据安全风险评估报告或自查记录内容的完善性、对风险或问题跟踪记录的整改情况及整改的有效性进行查验；

（八）教育培训：主要对培训涵盖内容中否包含对意识、合规、技能、制度遵循等进行查验；并查验丢教育培训工作记录的完备性进行查验，尤其是针对考核评定的记录。

数据全生命周期安全评估（必要条件）：

（一）数据收集：主要对数据收集相关的制度文件、管理要求的完备性进行查验；对用户协议、隐私政策文件的收集目的、用途、范围、公开等的明确性进行查验；

（二）数据存储：主要对数据存储环节相关制度文件的完备性查验；对保密协议或数据安全责任内容在范围、权限、违约责任约束上进行查验；对数据存储系统核心功能、安全配置策略等权限控制情况进行查验；

（三）数据使用加工：对数据使用加工管理制度在合规、数据分类分级策略明确性等内容的完备性进行查验；对数据导出动作在内容的明确上（如：场景、范围、审批规则、数量、类型）等明确性、最小必要原则遵循上进行查验；

（四）数据传输：对数据传输相关文件、操作规程的网络安全域划分合规、数据安全防护策略合规、数据安全保护规则等内容完善上进行查验；对数据传输安全防护技术措施的落实情况进行查验等；

（五）数据提供：对数据提供相关制度文件内容要点进行查验（如：区分场景、安全策略、操作规程、范围、类别、条件和程序等）；对数据提供清单的内容及更新状态进行查验；对数据提供服务合同或协议所遵循的原则（最小必要）和数据范围、使用权、用途、保护责任等的明确性上进行查验；

（六）数据出境：制定数据出境活动清单、数据出境安全评估报告等，是否开展评估、评估结果如何、包含哪些内容、是否对国家安全合法权益、是否公共利益合法权益、是否对个人或组织合法权益、是否向主管单位申报并批准进行查验；对订立的合同或其他具有法律效力的文件内容、履行的义务、采取的措施进行查验；

（七）数据公开：对数据公开相关制度文件的范围、类型、条件、流程、影响、场景区分等的明确性上进行查验，对数据公开策略和操作规程是否针对不同的数据公开场景进行建立进行查验；对数据公开相关业务系统的审批记录的流程、内容、留存、业务场景满足、授权范围等进行查验；对是否在数据公开前开展数据安全风险评估进行查验等；

（八）数据销毁：对数据销毁相关制度文件形成基础（如：是否结合数据分类分级管理制度等）、内容明确性（如：销毁对象、销毁原因等）进行查验；对存储介质销毁措施进行查验；对销毁后资源回收和销毁过程记录进行查验。

18.3开展安全风险分析：

安全风险分析由风险源识别、安全影响分析、综合风险研判组成。其中综合风险研判是风险源识别和安全影响分析的终极形态，风险源识别和安全影响分析是综合风险研判的基础能力支撑；三者相互促进、相互辅助，形成针对安全风险分析的能力。

（一）风险源识别：通过风险源识别中的网络环境和基础措施、管理制度和处理流程、参与人员和获取方管理、安全态势的可能性描述，判断其可能性级别。

（二）安全影响分析：通过对安全影响分析的数据安全事件影响范围、类别、后果安全影响描述，判断其安全影响级别；

（三）综合风险研判：综合风险判断通过风险源识别判断的级别和安全影响分析判断的影响进行组合性判定，评估团队根据综合性判定研判数据处理活动安全风险等级，安全风险等级分为极高、高、中、低四级。

18.5形成评估结论：

评估团队需产出电信领域数据安全风险评估报告，并保障结果真实、准确。对发现的安全隐患，明确告诉数据处理者应及时采取有效措施消除风险。

基于YD/T 1730-2024《电信网和互联网安全风险评估规范》，我司可以提供如下服务：

1、数据安全风险评估服务

通过深度的业务需求对接，协助客户确定风险评估的目标、对象和范围，组建专业的评估团队，开展前期调研，制定详细的评估方案，并确定评价准则。包括业务识别、威胁识别、脆弱性识别、安全措施识别等风险要素识别，然后基于识别的风险要素，运用风险评估原理和方法，进行风险分析和计算，确定风险的严重程度和可能性。并根据风险分析和计算的结果，对风险进行评价和排序，确定风险等级和优先级，为企业提供针对性的风险处置建议。

2、安全解决方案设计与实施

根据风险评估结果，设计符合企业实际需求的数据安全解决方案，包括数据安全架构设计、数据安全策略制定、数据安全流程优化等。为企业提供部署必要的安全产品（如数据脱敏、数据防泄漏、加密设备等）和服务（如安全运维、应急响应等）建议，提升企业的安全防护能力。

3、数据安全专家培训与咨询

为企业提供数据安全专家培训服务，提高企业员工的数据安全意识和技能；同时提供数据安全咨询服务，帮助企业了解和遵守相关的法律法规、行业标准和政策要求，解答企业在安全管理和防护方面的疑问。

爱加密凭借深厚的行业底蕴与前沿的技术实力，始终站在信息安全的最前沿。我们致力于为金融、政府、运营商、军工、能源等各行业提供全方位、一站式的信息安全解决方案。爱加密以创新的安全策略与专业的服务团队，全程护航应用安全建设的每一个阶段。从初期的安全设计评估到中期的开发测试与优化，再到后期的安全发布与运营维护，我们确保每一环节都坚如磐石，为您打造一个安全无忧、和谐共生的数字世界。在数字化转型的浪潮中，爱加密愿与您并肩作战，共创辉煌！

END

欢迎给我们留言

点击关注，不错过下次精彩内容

往期推荐

Recommended in the past

最具成长潜力奖！2024中国互联网发展创新与投资大赛（深圳）落幕，爱加密载誉而归！

参编国标 | 深度解读《软件产品开源代码安全评价方法》

分享漏洞治理经验，爱加密积极支持移动互联网 App 产品安全漏洞技术沙龙！

http://mp.weixin.qq.com/s?__biz=MjM5NzU4NjkyMw==&mid=2650745527&idx=1&sn=8bf3548f213b400ed2a8c9f7a353d3ef

爱加密

爱加密是专业的移动信息安全服务提供商,专注于应用安全、大数据、业务合规、开发安全、数据安全及安全运营等领域。品牌官网：www.ijiami.cn；服务电话： 4000-618-110

最新文章

信创联盟研讨会成功举办，爱加密分享移动安全解决方案！

爱加密实力入选《2024年中国数据安全企业全景图》

首席数据官联盟成立，爱加密荣登首批成员单位，积极推动数字经济高质量发展！

唐山行 | 爱加密受邀出席做雄安场景汇大赛获奖成果分享！

积极助力信创工作，爱加密荣获麒麟系统优秀合作伙伴

移动应用安全合规动态：多款百万下载量移动应用被曝安全隐患，可泄露用户数据（第十三期）

鸿蒙个人信息检测平台来了，提高企业合规体系完整性！

企业数据资源如何安全开发利用？国家数据局发布指导意见！

文件解读 |数据局发布《关于促进数据产业高质量发展的指导意见（征求意见稿）》！

引领AI合规新时代，共创健康发展新篇章

国家计算机病毒应急处理中心发布行业报告，爱加密深度参编！

移动应用安全合规动态：重磅《网络数据安全管理条例》全文公布（第十二期）

《网络数据安全管理条例》：筑牢数字时代的安全防线

做好个人信息保护，从APP加固开始！

纯血鸿蒙启动公测，爱加密鸿蒙加固平台发布，助力鸿蒙应用安全运营！

基于《个人信息保护合规审计技术能力及工具》（征求意见稿），助力高效审计保障个人信息安全合规

移动应用安全合规动态：南昌市某学校超4000条学生个人信息遭泄露（第十一期）

蝉联！爱加密再次荣获网络安全优秀创新成果大赛优胜奖！

文件解读 | 金管局发布《关于加强银行业保险业移动互联网应用程序管理的通知》

喜迁新址，筑梦新程，乔迁庆典圆满完成，爱加密再启新篇

爱加密再次入选2024中国网络安全市场100强！

筑起数字时代的隐形盾牌：个人信息保护影响评估服务深度解析

爱加密入选国家互联网应急中心浙江分中心网络安全应急服务支撑单位！

爱加密亮相五大网安周会场，积极贡献产业侧力量！

国家网安周正式开幕，爱加密接受新华社采访！

安全无死角，爱加密全方位提升小程序安全性！

中奖公示 | 感恩每位与爱加密共赴新征程的伙伴

标准解读 |《电信领域数据安全风险评估规范》18项常见疑问解读！

数据安全：贯穿始终的网络安全“大动脉”

最具成长潜力奖！2024中国互联网发展创新与投资大赛（深圳）落幕，爱加密载誉而归！

高可用平台来了！产品可用性、稳定性及可靠性再次提升！

再获鸿蒙认可，爱加密力保信创产业平稳发展！

爱加密正式成为统信UOS主动安全防护计划（UAPP）成员单位！

分享漏洞治理经验，爱加密积极支持移动互联网 App 产品安全漏洞技术沙龙！

媒体专访 | 爱加密品牌LOGO焕新，新LOGO传递了哪些信号？

11周年 | 初心不改，焕新前行，奔赴下一个10年！

文末有礼 | 8月13日，将有一抹红，划开黎明的天边

引领数据安全新时代：全新《数据安全技术个人信息保护合规审计要求》国家标准即将启航

近6万款应用存在“明文传输”情况！《2024年上半年全国移动应用安全观测报告》下篇

高危应用占比增长4.1%！《2024年上半年全国移动应用安全观测报告》正式发布！（上）

参编国标 | 深度解读《软件产品开源代码安全评价方法》

爱加密再次入选《嘶吼2024网络安全产业图谱》，上榜移动安全类全部细分领域！

抽检违规率45%！该管管儿童手表里的定时炸弹了！

新品发布|全面适配鸿蒙NEXT安全检测，助力鸿蒙安全生态建设

移动应用安全合规动态：全国网安标委发布《网络安全标准实践指南-大型互联网平台网络安全评估指南》（第十期）

信通院《数字安全护航技术能力全景图》发布，爱加密入选35项！

数据安全：兼顾安全与发展，构建新时代数据安全咨询服务能力

32款应用被通报！别慌，请按照这3步整改

连年入选 | 爱加密入选《2024年中国网络安全市场全景图》6大领域！

移动应用安全合规动态：某会计师事务所数据泄露；工信部发布APP通报（第九期）

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉