近年来，跟着国家大数据发展战略加速施行，大数据技能创新与运用日趋活泼，发生和集聚了类型丰厚多样、运用价值不断提高的海量网络数据，成为数字经济发展的要害出产要素。与此同时，数据过度收集乱用、非法交易及用户数据走漏等数据安全问题日益凸显，做好电信和互联网职业（以下简称职业）网络数据安全办理尤为火急。

　　用户在建造、运营重要事务系统时，应首要进行数据安全办理危险点评，坚持“先点评、后办理”的准则。经过安全点评流程，并在充分考虑咨询点评定见的根底上作出决议计划，可为后续数据安全办理履行维度建造和场景维度建造供给支撑。

　　数据安全点评作为数据安全办理系统的监督层，具有对办理层、办理层、履行层监督、审计和点评的作用。将数据安全合规性点评作为企业数据安全办理的重要内容和抓手，展开企业全体数据安全维护水平点评并构成点评陈述。

　　如上图，数据安全点评作为一个重要抓手起到了推进和辅导数据安全系统建造的作用。

　　树立点评方针、调研点评、危险处理和点评决议计划是数据安全危险点评的4个根本进程：

　　1）树立点评方针阶段：树立数据安全点评依据的法令法规和技能标准，确认据安全危险点评的方针和规模，对触及事务数据的数据库、服务器、文档等进行相关信息的查询剖析，并预备数据危险办理的施行。

　　2）危险点评阶段：依据数据安全危险点评的规模辨认数据财物，剖析事务系统数据所面对的要挟以及脆弱性，结合选用数据安全操控办法，在技能和办理两个层面对事务系统数据所面对的危险进行归纳判别，并对危险点评成果进行等级区分。

　　3）危险处置阶段：归纳考虑危险操控的本钱和危险构成的影响，从技能、安排和办理。层面剖析事务系统数据的安全需求，提出实践可行的数据安全办法。清晰事务系统数据可承受的危险程度，采纳承受、下降、躲避或搬运等操控办法。

　　4）施行及后点评阶段：包括处置施行和继续监督两部分。依据点评的成果完善安全办理系统。数据安全办理职责部分对事务部分、事务系统、事务数据相关环境的改变进行继续监督，判别能否满意事务系统数据的安全要求。

　　作为危险办理的起点，安全危险点评关于了解安全现状。清晰安全方针，拟定安全对策都具有至关重要的含义。

　　数据安全办理点评服务人员（以下简称点评服务人员）结合事务方针进行分类，对事务数据进行收拾、事务要挟进行辨认、脆弱性辨认，并经过国家相关信息安全点评标准，核算危险生成点评成果。依据危险核算成果针对事务数据安全才能出具办理点评陈述和安全办理主张，然后协助用户树立近些年的事务数据办理安全才能全体规划。

　　在此应树立面向事务危险点评办法将各类事务系统中的数据直接作为安全点评方针,经过展开各类查询对事务系统数据危险做出点评。

　　数据安全危险点评建造需求以事务数据为中心的数据安全办理结构，在结构树立进程中以事务数据安全才能咨询点评为根底、规划出事务数据安全办理总体规划，并树立以数据分类分级办法论，树立以数据分类分级、数据管控、数据行为审计等视点的自动防护办法，执行国家相应的法令、标准和标准要求，严厉保证用户事务数据的安全合规运用。

　　数据安全危险点评施行团队由用户和我方一起组成，数据安全危险点评小组由用户相关决议计划层、数据安全职责部分及我方组成，并由相关专业技能专家和技能骨干组成专家组。

　　数据安全危险点评小组完结点评前表格、文档、检测东西等各项预备作业，进行危险点评技能培训和保密教育，拟定危险点评进程办理规则，编制应急预案等。

　　经过剖析点评数据，充分考虑数据财物危险运用难易程度以及对事务的影响状况，对安全漏洞进行危险等级点评。当点评服务方取得危险内容及危险等级后，经过数据安全办理剖析模型输出危险点评陈述，陈述内容包括该危险对单位、事务、系统及数据的影响规模、影响程度，并依据国家的法规标准构成危险点评定论。安全整改主张依据事务数据安全危险的严峻程度、加固办法难易程度、所投入人员力气及资金本钱等要素归纳考虑。

　　为便于办理，准则需求依照系统化的办法进行建造，能够参阅《数据安全建造攻略-2013数据安全办理系统要求》，将准则分为四级，如下图所示：

　　一级文件为方针政策、二级文件为准则标准、三级文件为操作明细、四级文件为根底模板。除一级文件外，其它等级的文件在拟定的时分具有仅有上级，同级文档内容不能重复，终究构成树状结构。

　　数据安全办理着重的是技能才能的运用，而不是产品的堆积和渠道的建造，具有杰出的灵活性，方针是将数据安全技能融入到数据运用场景中。

　　依据办理系统和技能系统的规划结构，结合用户数据安全落地管控的各类技能手段和产品，展开施行布置。

　　在数据安全点评服务中应对数据全生命周期中各阶段运用状况进行完好剖析点评，在实践点评进程中可依据用户单位在出产作业中的实践运用场景对数据流通进行调查检测，结合财物、数据、用户、权限剖析，收拾敏感数据的运用场景。例如，能够依据敏感数据对运用者的必要性快速辨认出敏感数据的运用是否满意最小化运用准则。

　　经过对各类技能检测东西的灵活运用，并将各类检测数据收集、会聚、收拾、剖析能够发现不易发觉的危险点。在数据审计进程中运营大数据剖析的办法可运用单一技能检测东西无法完成的安全审计战略。

　　在数据安全点评及后续的数据安全办理中，安全办理准则是不行小看的环节。数据安全危险中人为危险所占的要素常常超越技能层面的缺点，所以杰出的日常办理的办理作用远胜单一的安全监控东西。在数据安全点评进程中对办理运营准则应予以注重。

　　来历：天翼网信安全工业联盟2021年作业动态（第二期）回来搜狐，检查更多