【技术实现步骤摘要】
一种数据安全风险评估的方法和系统
[0001]本专利技术涉及数据安全
,特别是涉及一种数据安全风险评估的方法和系统。
技术介绍
[0002]数据是企业最重要的资产之一,企业的业务往往涉及到大量的敏感信息和数据,如客户信息、业务数据、财务数据等,这些数据如果泄露或被获取到,将会给企业带来巨大的损失,甚至导致企业破产。因此,数据安全是企业业务运营中必须重视的核心问题,必须确保数字资产的安全性,以避免数据泄露、盗用或损失的风险。通过数据安全的风险评估活动,可以识别并防止可能导致数据安全问题的威胁。
[0003]现有的风险评估方法是针对信息安全的,以资产识别和脆弱性为核心,信息安全风险评估的对象是信息系统;而数据具有流动的属性,数据的流动性是数据实现其个性化应用的最大基础,数据只有与业务结合才有价值,目前对数据安全的评估需要考虑业务属性,这也是目前信息安全风险评估方法无法进行数据安全风险的原因。
[0004]在数据安全方面已发布《电信网和互联网数据安全评估规范》,评估企业在各类数据处理活动及数据承载系统平台的保...
【技术保护点】
【技术特征摘要】
1.一种数据安全风险评估的方法,其特征在于,包括:识别数据资产和数据处理活动,获取数据资产重要性;识别数据安全威胁,并判断数据安全威胁发生频率;识别并分析数据脆弱性,获取数据脆弱性结果;基于所述数据资产重要性、所述数据安全威胁发生频率和所述数据脆弱性结果,获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性;基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算,获取综合风险值,完成对数据安全的风险评价。2.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据资产重要性包括:识别所述数据资产和数据处理活动,对所述数据资产进行分类、分级,根据所述数据资产的分类、分级结果,利用数据资产重要性矩阵,确定所述数据资产重要性;其中,所述数据资产包括业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据来源;所述数据处理活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。3.根据权利要求2所述的数据安全风险评估的方法,其特征在于,判断所述数据安全威胁发生频率包括:识别所述数据安全威胁,结合所述数据资产的分类结果和业务场景,判断所述数据安全威胁发生频率,其中,所述数据安全威胁包括数据窃取、数据滥用、数据误用、数据篡改。4.根据权利要求3所述的数据安全风险评估的方法,其特征在于,所述数据安全威胁发生频率的计算公式为:其中,Fs表示数据窃取发生的频率,Fa表示数据滥用发生的频率,Fm表示数据误用发生的频率,Fd表示数据篡改发生的频率,I表示数据资产的重要性。5.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据脆弱性结果包括:基于脆弱性、已有安全措施、预定评价标准,判断脆弱性的严重程度和所述数据处理活动的合规性,对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算,获取所述数据脆弱性结果。6.根据权利要求5所述的数据安全风险评估的方法,其特征在于,对所述脆弱性的严重程度和所述数据处理活动的合规性进...
【专利技术属性】
技术研发人员:刘韧,丁晓桐,刘军,隋子鹏,丁鲁彬,陈杰,
申请(专利权)人:北京卓识网安技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。