一种数据安全风险评估的方法和系统与流程

本发明涉及数据安全，特别是涉及一种数据安全风险评估的方法和系统。

背景技术：

1、数据是企业最重要的资产之一，企业的业务往往涉及到大量的敏感信息和数据，如客户信息、业务数据、财务数据等，这些数据如果泄露或被获取到，将会给企业带来巨大的损失，甚至导致企业破产。因此，数据安全是企业业务运营中必须重视的核心问题，必须确保数字资产的安全性，以避免数据泄露、盗用或损失的风险。通过数据安全的风险评估活动，可以识别并防止可能导致数据安全问题的威胁。

2、现有的风险评估方法是针对信息安全的，以资产识别和脆弱性为核心，信息安全风险评估的对象是信息系统；而数据具有流动的属性，数据的流动性是数据实现其个性化应用的最大基础，数据只有与业务结合才有价值，目前对数据安全的评估需要考虑业务属性，这也是目前信息安全风险评估方法无法进行数据安全风险的原因。

3、在数据安全方面已发布《电信网和互联网数据安全评估规范》，评估企业在各类数据处理活动及数据承载系统平台的保障措施合规情况，从通用性管理与全生命周期管理两方面出发，针对各个指标项明确评估涉及的重要管理措施、重点技术措施及判断标准，明确被评估事项合规性保障基线，但缺乏对数据、威胁和脆弱性等关键要素进行量化分析，计算风险值的方法。

4、数据安全已发布的专利有：一种数据安全风险评估的方法、装置、介质及电子设备(申请号：202211284352.5)。该专利提出了一种数据安全风险评估的方法和数据安全风险评估各阶段赋值方法、公式，在一定程度上弥补了数据安全风险评估方法不足的问题。该专利提出的方法为获取数据资源后对数据资源的重要程度和数据所属生命周期进行判定，而后梳理脆弱性可造成的损失值和威胁发生的概率，根据损失值和该概率值计算安全风险值。

技术实现思路

1、本发明的目的是提供一种数据安全风险评估的方法和系统，实现围绕数据安全威胁，并将业务与数据相结合进行多元分析。

2、为实现上述目的，本发明提供了如下方案：

3、一种数据安全风险评估的方法，包括：

4、识别数据资产和数据处理活动，获取数据资产重要性；

5、识别数据安全威胁，并判断数据安全威胁发生频率；

6、识别并分析数据脆弱性，获取数据脆弱性结果；

7、基于所述数据资产重要性、所述数据安全威胁发生频率和所述数据脆弱性结果，获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性；

8、基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算，获取综合风险值，完成对数据安全的风险评价。

9、优选地，获取所述数据资产重要性包括：

10、识别所述数据资产和数据处理活动，对所述数据资产进行分类、分级，根据所述数据资产的分类、分级结果，利用数据资产重要性矩阵，确定所述数据资产重要性；其中，所述数据资产包括业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据来源；所述数据处理活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。

11、优选地，判断所述数据安全威胁发生频率包括：

12、识别所述数据安全威胁，结合所述数据资产的分类结果和业务场景，判断所述数据安全威胁发生频率，其中，所述数据安全威胁包括数据窃取、数据滥用、数据误用、数据篡改。

13、优选地，所述数据安全威胁发生频率的计算公式为：

14、

15、其中，fs表示数据窃取发生的频率，fa表示数据滥用发生的频率，fm表示数据误用发生的频率，fd表示数据篡改发生的频率，i表示数据资产的重要性。

16、优选地，获取所述数据脆弱性结果包括：

17、基于脆弱性、已有安全措施、预定评价标准，判断脆弱性的严重程度和所述数据处理活动的合规性，对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算，获取所述数据脆弱性结果。

18、优选地，对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算的公式为：

19、v＝((sv-em)*wv+c*wc)/(wv+wc)

20、其中，v表示计算脆弱性的函数，sv表示脆弱性的严重程度，em表示已有安全措施，wv表示脆弱性严重程度的权重，c表示数据处理活动的合规性，wc表示数据处理活动合规性的权重。

21、优选地，获取所述数据安全威胁发生造成的损失包括：

22、采用矩阵法分析所述数据安全威胁利用风险源作用于所述数据资产，导致数据安全威胁发生造成的损失，公式为：

23、数据安全威胁造成的损失＝l(a,rs)

24、其中，a表示数据资产重要性，rs表示数据处理活动风险源影响程度，l表示数据安全威胁造成损失的计算函数。

25、优选地，获取所述数据安全威胁发生的可能性包括：

26、采用矩阵法分析所述数据安全威胁利用风险源导致所述数据安全威胁发生的可能性，公式为：

27、数据安全威胁发生可能性＝p(rs，t)

28、其中，rs表示数据处理活动风险源影响程度，t表示数据安全威胁发生频率，p表示数据安全威胁发生可能性的计算函数。

29、优选地，获取所述综合风险值包括：

30、基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性，分别计算不同数据资产在不同业务场景中的风险值，将所有数据资产在所有业务场景中的风险值进行加权平均，获取所述综合风险值，公式为：

31、评估范围总体风险值＝∑ra*i÷∑i

32、其中，ra表示数据资产风险等级，i表示数据资产重要性程度。

33、为进一步优化技术方案，本发明还提供了一种数据安全风险评估的系统，包括：

34、资产识别模块，用于识别数据资产和数据处理活动，并计算数据资产重要性；

35、威胁识别模块，用于识别数据安全威胁，并判断数据安全威胁发生频率；

36、脆弱性识别模块，用于识别并分析数据脆弱性，获取数据脆弱性结果；

37、风险分析模块，用于计算数据安全威胁发生造成的损失和数据安全威胁发生的可能性，并获取数据安全风险值。

38、本发明的有益效果为：

39、本发明提出的数据安全评估方法识别对象为数据资产本身及数据处理活动，以数据为主体进行风险分析，评估的对象是数据+业务流程，能够将业务与数据相结合，按照数据所属业务的属性分类，按照数据重要程度和危害程度分类，实现对数据资产重要性的判断，能够在业务和合规方面弥补了当前数据安全风险评估方法的不足。

技术特征：

1.一种数据安全风险评估的方法，其特征在于，包括：

2.根据权利要求1所述的数据安全风险评估的方法，其特征在于，获取所述数据资产重要性包括：

3.根据权利要求2所述的数据安全风险评估的方法，其特征在于，判断所述数据安全威胁发生频率包括：

4.根据权利要求3所述的数据安全风险评估的方法，其特征在于，所述数据安全威胁发生频率的计算公式为：

5.根据权利要求1所述的数据安全风险评估的方法，其特征在于，获取所述数据脆弱性结果包括：

6.根据权利要求5所述的数据安全风险评估的方法，其特征在于，对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算的公式为：

7.根据权利要求1所述的数据安全风险评估的方法，其特征在于，获取所述数据安全威胁发生造成的损失包括：

8.根据权利要求1所述的数据安全风险评估的方法，其特征在于，获取所述数据安全威胁发生的可能性包括：

9.根据权利要求1所述的数据安全风险评估的方法，其特征在于，获取所述综合风险值包括：

10.一种数据安全风险评估的系统，其特征在于，包括：

技术总结
本发明涉及一种数据安全风险评估的方法和系统，方法包括：识别数据资产和数据处理活动，获取数据资产重要性；识别数据安全威胁，并判断数据安全威胁发生频率；识别并分析数据脆弱性，获取数据脆弱性结果；基于数据资产重要性、数据安全威胁发生频率和数据脆弱性结果，获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性；基于数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算，获取综合风险值，完成对数据安全的风险评价。本发明围绕数据安全威胁，并将业务与数据相结合，实现多元分析。

技术研发人员：刘韧,丁晓桐,刘军,隋子鹏,丁鲁彬,陈杰
受保护的技术使用者：北京卓识网安技术股份有限公司
技术研发日：
技术公布日：2024/1/15