川渝政务数据风险评估指南.docx

四川省市场监督管理局重庆市市场监督管理局发布DB51ICSCCS川渝地区地方标准DB51TXXXX-2023DB50/TXXXX-2023川渝政务数据风险评估指南（征求意见稿）XXXX -XX-XX 实施XXXX-XX-XX发布信息调研 政务数据处理者 业务和信息系统 政务数据资产 政务数据处理活动 安全防护措施 检测评估工作开展 情况风险评估政务数据安全管理政务数据处理活动安全政务数据安全措施个人信息保护检测评估结果国家安全公共利益行业、组织或者个人合法权益综合分析评估结果风险问题清单风险评估报告图1政务数据安全风险评估思路示意图政务数据安全风险评估,主要围绕政务数据和政务数据处理活动，聚隹可能影响政务数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别政务数据处理者、业务和信息系统、政务数据资产、政务数据处理活动、安全防护措施以及网络安全等级保护测评、密码应用安全评估等国家法律法规、强制性国家标准等文件要求的检测评估工作情况等相关要素然后从政务数据安全管理、政务数据处理活动、政务数据安全技术、个人信息保护、检测评估结果等方面进行风险评估，从国家安全、公共利益、行业组织或个人合法权益等方面综合分析,最后梳理风险问题清单和风险评估报告，并给出整改建议。政务数据风险评估涉及政务数据、政务数据处理活动、业务、安全措施、政务数据安全风险等基本 要素，如图2所示，此图不涉及流程顺序，仅展示要素间关系。a）政务数据是核心要素，具有数据价值等属性，数据价值将影响数据安全风险的危害程度。b）政务数据和政务数据处理活动是政务数据安全风险评估的评估对象。c）业务需要依托信息系统的支撑，可能涉及一个或多个信息系统。d）信息系统包含多个政务数据处理活动，信息系统是政务数据的载体。e）政务数据在流转过程中涉及一个或多个政务数据处理活动，政务数据处理活动应遵循数据安全法律法规要求。f）安全措施用于保护政务数据安全，能降低数据安全风险源发生的可能性。g）政务数据和政务数据处理活动作为评估对象,可能存在风险源,风险源可能引发数据安全风险，数据安全风险将对政务数据和政务数据处理活动有潜在影响。4.2评估适用情形核心数据的界定和保护要求按照国家相关文件执行。符合以下情形之一的政务数据处理者，需结合实际情况开展政务数据风险评估：a）党政机关、事业单位、国有企业等涉及重要数据、关键信息基础设施运营、100万人以上个人信息、大型互联网平台运营的政务数据处理者，宜每年至少开展一次政务数据风险评估；b）政务数据处理者在重要数据共享、交易、委托处理或向境外提供前，应开展政务数据风险评估；c）政务数据处理者开展高风险政务数据处理活动前，宜开展政务数据风险评估。风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。开展数据安全风险评估时，综合采取人员访谈、文档查验、安全核杳和技术检测等手段进行评估。5政务数据风险评估工作实施5.1 评估准备5.1.1 确定评估目标及范围明确政务数据风险评估的目标，根据评估目标确定政务数据风险评估的对象、范围和边界，明确评估涉及的政务数据资产、政务数据处理活动、业务、信息系统、人员和内外部组织等。政务数据风险评估对象主要是政务数据和政务数据处理活动，工作范围可能是全部政务数据及政务数据处理活动相关的各类资产和部门，也可能是某个独立的业务、信息系统、政务数据资产、政务数据处理活动或部门等。a）新建的等保测评三级及以上的政务系统、最低安全级别三级及以上的政务数据，应至少选取三个类别政务数据及其政务数据处理活动开展自评估；b）已建设完成或等保测评二级及以下的政务系统、最低安全级别二级及以下的政务数据，由系统和政务数据运行管理方按评估适用情形自行确定。5.1.2 组建评估团队根据评估目标和评估范围，组建政务数据风险评估团队，由评估管理单位、评估方、评估对象等相关人员组成，必要时也可邀请有经验的政务数据安全专家组成专家组。a）评估对象通常由组织的政务数据安全负责人和安全、法务、合规、运维、研发、业务等部门相关人员组成；b）如需选择第三方，应确保具备政务数据安全评估能力；c）评估方应做好评估前的表格、文档、检测工具等各项准备工作，并按照需求签署保密协议。5.1.3 开展前期调研对评估对象的数据资产、政务数据处理活动、检测评估、安全措施、业务、信息系统、人员和内外部组织政务数据处理者及被评估的业务和信息系统基本情况等进行调研。5.1.4 制定评估实施方案根据评估目标、评估范围和调研情况，明确政务数据风险评估的评估依据、评估内容和评价准则，形成政务数据风险评估方案。5.2 政务数据和政务数据处理活动识别5.2.1政务数据识别及分类分级针对被评估的业务和信息系统，识别政务数据处理情况，输出政务数据情况清单，如表1所示。表1政务数据情况清单序号政务数据名称政务数据编号政务信息资源分类行政许可事项名称来源信息系统升降级措施数据安全级别政务数据使用和加工政务数据使用合法性、政务数据正当使用、政务数据导入导出安全、政务数据处理环境安全、政务数据加工安全等。政务数据提供政务数据提供合法性正当性必要性、政务数据提供安全管理、政务数据提供安全技术、政务数据接收方安全等。政务数据公开政务数据公开安全管理、敏感信息公开等。政务数据删除政务数据销毁安全、政务数据匿名化处理、存储介质销毁等。5.3.4政务数据安全管理风险源识别政务数据安全管理风险源识别，主要从安全组织管理、制度流程、分类分级、人员安全、合作方管理、应急管理以及投诉举报等方面，发现可能存在的政务数据安全管理组织风险和违法违规问题，掌握政务数据安全组织管理情况，如表4所示。表4政务数据安全管理风险源表风险源类别风险源描述政务数据安全组织管理政务数据安全组织架构、政务数据安全岗位设置等。政务数据安全制度流程政务数据安全制度体系、政务数据安全制度管理等。政务数据分类分级笆理政务数据资产管理、政务数据分类分级制度、政务数据分类分级保护等。人员安全管理人员录用、保密协议、转岗离岗、政务数据安全培训等。政务数据合作方管理合作方管理机制、合同协议约束、外包访问权限、第三方接入等。政务数据安全应急管理政务数据安全应急预案、应急处置、应急告知等。政务数据安全投诉举报政务数据安全投诉举报渠道、公布、处理等情况等。5.3.5政务数据安全措施风险源识别政务数据安全技术风险源识别，主要从身份鉴别、访问控制、权限管理、政务数据安全风险监测、政务数据安全审计、政务数据脱敏、政务数据防泄漏等方面进行评估，对政务数据安全措施的有效性和完备性进行验证，发现可能存在的政务数据安全技术风险和违法违规问题。5.3.6个人信息保护风险源识别根据个人信息保护法pp违法违规收集使用个人信息认定方法常见类型移动互联网应用程序必要个人信息范围规定等法规政策要求，从个人信息处理合法正当、个人信息处理必要性、个人信息保护政策、告知同意、个人信息主体权利、App个人信息保护等方面进行评估，发现可能存在的个人信息保护风险和违法违规问题。5.3.7重要数据保护风险源识别根据网络安全法数据安全法网络政务数据安全管理条例（征求意见稿）等法律法规,从重要数据安全负责人和管理机构、政务数据风险评估、政务数据安全应急、政务数据安全培训、政务数据提供安全等方面进行评估，发现可能存在的重要数据处理安全风险或违法违规问题。5.4政务数据安全风险分析与评价5.4.1风险分析政务数据安全风险分析，主要在风险源识别和政务数据安全措施识别的基础上，分析各项风险源或问题可能带来的政务数据安全风险，风险一般可按照附录B所列21类风险进行归类,表5给出了风险分析示例。表5政务数据安全风险分析（示例）序号风险类型（面临的数据安全风险）保护要求（应对措施）可能导致的风险（应对措施有效程度）11）窃取或者以其他非法方式获取政务数据2）政务数据完成采集后，未按照合同要求使用政务数据，且将政务数据用于“大数据杀熟“，违反法律、行政法规规定的目的和范围内使用政务数据D具备合同、隐私政策等合法政务数据收集证据。（应对措施：以合同形式约定从外部机构采集的政务数据范围、收集方式、安全措施。）2）明确政务数据的采集渠道，规范政务数据采集格式、流程及方法。（应对措施：未明确政务数据的采集渠道，规范政务数据采集格式、流程及方法，未能采取措施保持政务数据源正式有效及采集过程的安全可控。）违法违规利用政务数据5.4.2风险评价5.4.2.1风险危害程度评价风险危害程度评价，主要从政务数据安全风险一旦发生，对国家安全、公共利益或者个人、组织合法权益造成的危害程度进行评价，将风险危害程度从低到高分为很低、低、中、高、很高5个级别，如表6所示。表6政务数据安全风险危害程度等级参考等级政务数据安全风险危害程度描述对应政务数据分级等级很高一旦发生政务数据安全风险，对国民经济命脉、重要民生和重大公共利益造成损害。例如核心数据处理安全风险、关系3个以上重点行业领域的重要数据处理安全风险、存在严重的重要数据违法违规处理行为等。四级局一旦发生政务数据安全风险，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。例如重要数据处理安全风险、超过100万人的个人信息处理安全风险、超过10万敏感个人信息违法违规收集使用行为等。三级中一旦政务数据被泄露或篡改、损毁或者非法获取、非法利用，容易导致组织或个人的合法权益造成严重危害。例如敏感个人信息处理安全风险、组织知识产权和商业秘密处理安全风险、存在超过10万个人信息违法违规收集使用行为等。二级低一旦发生政务数据安全风险，可能对组织或个人的合法权益造成中等危害。例如个人信息等，一级很低一旦政务数据安全风险发生，可能导致组织或个人的合法权益造成轻微危害。通常为一般政务数据（非个人信息）、非敏感的组织政务数据等。一级5.4.2.2风险发生可能性评价风险发生可能性评价，主要考虑风险隐患发生的可能性、安全措施有效性和完备性等因素，将政务数据安全风险发生的可能性从低到高分为低、中、高3个级别，如表7所示。表7风险发生可能性等级参考等级风险发生可能性描述高涉及违法违规行为、缺少政务数据安全措施或安全措施有效性较弱，风险隐患发生可能性高（例如出现频率高、在大多数情况下几乎不可避免、可以证实经常发生过）。中有一定政务数据安全措施，但有效性不足，风险隐患发生可能性一般（例如出现频率中等，在某种情况下可能发生，或被证实曾经发生过）。低政务数据安全措施比较到位、完备，风险隐患发生可能性低（例如几乎不可能发生，或仅可能在非常罕见和例外的情况下发生）。5.4.3安全风险等级判定综合风险危害程度及风险发生可能性的评价结果，结合评估对象实际情况，获得政务数据安全风险等级评定结果，表8给出了利用矩阵关系获取评定结果示例，评定结果包括：a）重大安全风险：一般指可能直接影响政治安全的政务数据安全风险；b）高安全风险：一般指可能直接危害国家安全、经济运行、社会稳定、公共健康和安全；c）中安全风险：一般指对自然人的人格尊严受到严重侵害或者人身、财产安全受到严重危害，对社会、公共权益有直接影响；d）低安全风险：一般指对自然人的人格尊严受到侵害或者人身、财产安全受到危害，对社会、公共权益有一定或较小影响；e）很低安全风险：一般指影响小范围的组织或公民个体权益，对人格尊严、人身安全、财产安全不造成侵害或仅产生较轻微的危害。表8政务数据安全风险评价矩阵（示例）害程度可能Q很高局中低很低高重大风险高风险高风险中风险低风险中重大风险高风险中风险低风险轻微风险低高风险中风险低风险轻微风险轻微风险5.4.4安全风险清单针对各项政务数据安全风险完成风险评价后，整理各项风险评估结果，在5.4.1.1的初步风险清单基础上形成政务数据安全风险清单（如表9所示），列出各项风险的风险等级、危害程度、发生可能性等，其中风险等级可按特殊情况或最新文件要求进行调整。表9政务数据安全风险清单序号风险类别风险源或问题风险描述采取的安全措施风险等级风险危害程度风险发生的可能性涉及的政务数据涉及的政务数据处理活动评估情况描述5.5评估总结5.5.1编制评估报告及评估得分对评估结果进行分析总结，编制政务数据风险评估报告，报告模板参见附录B。无重大风险、高风险或重大风险、高风险全部处置完成后，可选择对评估结果进行量化评分，政务数据安全工作评估得分表模板参见附录C。5.5.2安全风险处置及开放共享建议评估人员结合实际情况,对发现的政务数据安全风险提出处置建议,酌情指导政务数据处理者整改,跟踪风险处置情况，并开展风险复评估。政务数据处理者按照组织的风险接受规则，制定相应的政务数据安全风险处置方案。评估人员根据政务数据处理者决定的风险处置措施，结合风险识别和评估方法,预判措施有效性和残余风险，形成记录。根据评估结果，按数据共享、开放与安全级别的对应关系，给出政务数据共享开放建议。评估准备从提高政务数据安全治理能力.落实法规和主管监管部门要求等方面.确定过估目标根据评估目标确定评估对象就困和边界,明确涉及的政务数据资产、政务数据处理活动、业务等组建白评估团队组织业务、安全、法务、合规、运推、研发等相关部参与实施开展前期准备,制定工作il划、确定评估依据、确定评估内容、建立评估文档制定评估方案,并获得本单位负责人支持、认可检杳.评估附录A（资料性）自评估和检查评估实施步骤评估实施信息调研政务数据处理若识别Q-业务和信息系统识别山一政务数据资产识别山一政务数据处理活动识别Q-安全防护措施识别分析总结综合分析风险评估从政务数据安全管理、政务数据处理活动、数政务据安全技术、个人信息保护等方面识别安全风险口评估结果编制评估报告进行风险处置图5数据风险自评估实施步骤图组织评估队伍制定评估方案根据评估目标确定评估对象、他困和边界.明确涉及的政务数据费产、政务数据处碑活动、业务等分析总结评估总结I组织评估队伍编制评估报告指导进行风险处置图6数据风险检查评估实施步骤图附录B（资料性）典型政务数据安全风险类别表B.1典型政务数据安全风险示例表风险类别描述政务数据泄露风险由于政务数据窃取、爬取、脱库、撞库等安全威胁，或者缺乏有效的安全措施、人员操作失误作或有意盗取等，导致政务数据被未授权泄露、访问从而影响政务数据保密性的风险；政务数据篡改风险由于政务数据注入、中间人攻击等安全威胁，或者缺乏有效的安全措施、人员有意或无意操作等，导致政务数据被未授权篡改等从而影响政务数据完整性的风险；政务数据破坏风险由于拒绝服务攻击、自然灾害、嵌入恶意代码、政务数据污染、设备故障等安全威胁，或者缺乏有效的安全措施、人员有意或无意操作等，导致政务数据被破坏、毁损、政务数据质量下降等从而影响政务数据可用性、准确性的风险；政务数据丢失风险由于政务数据过载、软硬件故障、备份失效、链路过载等问题，或者缺乏有效的安全措施、人员有意或无意操作等，导致政务数据被丢失、难以恢复等从而影响政务数据可用性的风险；政务数据滥用风险由于缺乏授权访问控制、权限管控等有效的安全管控措施、人员有意或无意操作等，导致政务数据被未授权或超出授权范围使用、加工的风险；政务数据伪造风险由于政务数据源欺骗、深度伪造等安全威胁，或者缺乏有效的安全措施、人员有意或无意操作等，导致政务数据或政务数据源被伪造、政务数据主体被仿冒等安全风险：违法违规获取政务数据违反法律、行政法规等有关规定，非法或违规获取、收集政务数据的风险；违法违规出售政务数据违反法律、行政法规等有关规定，非法或违规向他人出售、交易政务数据的风险；违法违规保存政务数据违反法律、行政法规等有关规定，非法或违规留存政务数据的风险，如逾期留存、违规境外存储等：违法违规利用政务数据违反法律、行政法规等有关规定，非法或违规使用、加工、委托处理政务数据的风险；违法违规提供政务数据违反法律、行政法规等有关规定，非法或违规向他人提供、共享、交换、转移政务数据的风险；违法违规公开政务数据违反法律、行政法规等有关规定，非法或违规公开政务数据的风险；违法违规购买政务数据违反法律、行政法规等有关规定，非法或违规购买、收受政务数据的风险；违法违规出境政务数据违反法律、行政法规等有关规定，非法或违规向境外提供政务数据的风险；超范围处理政务数据政务数据处理活动违反必要性原则，超范围或过度收集使用个人信息或重要数据的风险；政务数据处理缺乏正当性违反正当性原则，政务数据处理活动缺乏明确、合理的处理目的：未有效保障个人信息权益由于未采取有效的个人信息保护措施、人员操作或外部威胁等，导致未能有效保障个人信息主体的知情权、决定权、限制或者拒绝个人信息处理等个人信息合法权利；政务数据处理缺乏公平公正由于缺乏安全管控措施、人员有意或无意操作等，导致政务数据处理违反公平公正、诚实守信原则，侵犯其他组织或个人合法权益的风险；政务数据处理抵赖由于外部攻击威胁、缺乏有效安全管控措施、人员有意或无意操作等，导致处理者或第三方否认政务数据处理行为或绕过政务数据安全措施等风险；政务数据不可控由于第三方政务数据安全能力不足、缺乏有效的第三方管控措施、合同协议缺失、外包人员操作等，导致委托处理或合作的第三方违反法律法规或合同协议约定处理政务数据，造成第三方超范围处理政务数据、逾期留存政务数据、违规再转移等政务数据不可控风险：其他风险其他可能影响国家安全、公共利益或组织、个人合法权益的政务数据安全风险。附录C（资料性）政务数据风险评估报告模板一、评估概述1.1 评估目的和依据1.2 评估对象和范围1.3 评估结论概要（政务数据和政务数据处理活动的概要情况，评估结果及处置建议概要。）二、评估工作开展情况2.1 评估工作组织情况（概要说明为开展本次评估工作，单位内部建立的组织机构及其人员构成、相关工作机制、汇报机制等工作组织情况。）2.2 评估时间安排情况（对本次评估工作的时间进度安排进行说明，对每个工作阶段的工作内容、消耗时间、工作结果等信息进行描述。）2.3 参与人员情况（对本次评估工作的参与人员和部门进行说明）三、政务数据和政务数据处理活动识别3.1 政务数据处理者基本信息3.2 业务和信息系统情况3.3 政务数据情况（至少包含种类、数量等信息）3.4 政务数据处理活动开展情况3.5 政务数据安全历史事件情况四、政务数据安全风险识别4.1 已开展安全测评结果分析4.2 政务数据处理活动安全风险识别4.3 政务数据安全管理风险识别4.4 政务数据安全技术风险识别4.5 个人信息保护风险识别（如有）4.6 重要数据处理安全风险识别（如有）五、风险分析和评价5.1 政务数据安全风险整体情况5.2 政务数据安全风险分析（至少包含面临的数据安全风险及其应对措施的有效程度等）5.3 政务数据安全风险清单六、风险处置建议和残余风险分析7.1风险处置建议7.2残余风险分析及政务数据开放共享建议附件1政务数据情况清单附件2政务数据处理活动清单附录D（资料性）政务数据安全工作评估得分表模板表D.1政务数据安全工作评分得分表序号评估内容评估情况评估得分（满分100分，对照政务数据安全风险清单进行扣分，数据安全风险等级每有一项中风险扣2分、低风险扣1分、轻微风险扣05分）1已开展测评工作结论分析满分15分2政务数据处理活动风险满分30分3政务数据安全管理风险满分20分4政务数据安全措施风险满分10分5个人信息处理风险满分10分6重要数据处理风险满分15分备注：无重大风险、离风险或重大风险、高风险全部处置完成后，可选择对评估结果进行量化评分。参考文献参考文献1中华人民共和国网络安全法（2016年11月7日中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过）2中华人民共和国数据安全法（2021年6月10日中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过）3中华人民共和国个人信息保护法（2021年8月20日中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过）4关键信息基础设施安全保护条例（2021年4月27日国务院第133次常务会议通过）5四川省数据条例（2022年12月2日四川省第十三届人大常委会第三十八次会议审议通过）6重庆市数据条例（2022年3月30日重庆市第五届人大常委会第三十三次会议审议通过）7四川省省级政务信息化项目管理办法（2021年10月5日发布）8重庆市政务数字化应用管理西行办法（2023年7月14日印发）9GBT20984-2022信息安全技术信息安全风险评估方法10GBT35273-2020信息安全技术个人信息安全规范HGBT37988-2019信息安全技术政务数据安全能力成熟度模型12GBT39335-2020信息安全技术个人信息安全影响评估指南13YDT3801-2020电信网和互联网政务数据风险评估实施方法14JRT0223-2021金融政务数据安全政务数据生命周期安全规范