CN116720194A - 一种数据安全风险评估的方法和*** - Google Patents
一种数据安全风险评估的方法和*** Download PDFInfo
- Publication number
- CN116720194A CN116720194A CN202310700769.3A CN202310700769A CN116720194A CN 116720194 A CN116720194 A CN 116720194A CN 202310700769 A CN202310700769 A CN 202310700769A CN 116720194 A CN116720194 A CN 116720194A
- Authority
- CN
- China
- Prior art keywords
- data
- occurrence
- data security
- security threat
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000000694 effects Effects 0.000 claims abstract description 57
- 238000011156 evaluation Methods 0.000 claims abstract description 16
- 238000012502 risk assessment Methods 0.000 claims description 26
- 239000011159 matrix material Substances 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 13
- 230000006378 damage Effects 0.000 claims description 6
- 238000011144 upstream manufacturing Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 238000000491 multivariate analysis Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012038 vulnerability analysis Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000069 prophylactic effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种数据安全风险评估的方法和***,方法包括:识别数据资产和数据处理活动,获取数据资产重要性;识别数据安全威胁,并判断数据安全威胁发生频率;识别并分析数据脆弱性,获取数据脆弱性结果;基于数据资产重要性、数据安全威胁发生频率和数据脆弱性结果,获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性;基于数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算,获取综合风险值,完成对数据安全的风险评价。本发明围绕数据安全威胁,并将业务与数据相结合,实现多元分析。
Description
技术领域
本发明涉及数据安全技术领域,特别是涉及一种数据安全风险评估的方法和***。
背景技术
数据是企业最重要的资产之一,企业的业务往往涉及到大量的敏感信息和数据,如客户信息、业务数据、财务数据等,这些数据如果泄露或被获取到,将会给企业带来巨大的损失,甚至导致企业破产。因此,数据安全是企业业务运营中必须重视的核心问题,必须确保数字资产的安全性,以避免数据泄露、盗用或损失的风险。通过数据安全的风险评估活动,可以识别并防止可能导致数据安全问题的威胁。
现有的风险评估方法是针对信息安全的,以资产识别和脆弱性为核心,信息安全风险评估的对象是信息***;而数据具有流动的属性,数据的流动性是数据实现其个性化应用的最大基础,数据只有与业务结合才有价值,目前对数据安全的评估需要考虑业务属性,这也是目前信息安全风险评估方法无法进行数据安全风险的原因。
在数据安全方面已发布《电信网和互联网数据安全评估规范》,评估企业在各类数据处理活动及数据承载***平台的保障措施合规情况,从通用性管理与全生命周期管理两方面出发,针对各个指标项明确评估涉及的重要管理措施、重点技术措施及判断标准,明确被评估事项合规性保障基线,但缺乏对数据、威胁和脆弱性等关键要素进行量化分析,计算风险值的方法。
数据安全已发布的专利有:一种数据安全风险评估的方法、装置、介质及电子设备(申请号:202211284352.5)。该专利提出了一种数据安全风险评估的方法和数据安全风险评估各阶段赋值方法、公式,在一定程度上弥补了数据安全风险评估方法不足的问题。该专利提出的方法为获取数据资源后对数据资源的重要程度和数据所属生命周期进行判定,而后梳理脆弱性可造成的损失值和威胁发生的概率,根据损失值和该概率值计算安全风险值。
发明内容
本发明的目的是提供一种数据安全风险评估的方法和***,实现围绕数据安全威胁,并将业务与数据相结合进行多元分析。
为实现上述目的,本发明提供了如下方案:
一种数据安全风险评估的方法,包括:
识别数据资产和数据处理活动,获取数据资产重要性;
识别数据安全威胁,并判断数据安全威胁发生频率;
识别并分析数据脆弱性,获取数据脆弱性结果;
基于所述数据资产重要性、所述数据安全威胁发生频率和所述数据脆弱性结果,获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性;
基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算,获取综合风险值,完成对数据安全的风险评价。
优选地,获取所述数据资产重要性包括:
识别所述数据资产和数据处理活动,对所述数据资产进行分类、分级,根据所述数据资产的分类、分级结果,利用数据资产重要性矩阵,确定所述数据资产重要性;其中,所述数据资产包括业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据来源;所述数据处理活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。
优选地,判断所述数据安全威胁发生频率包括:
识别所述数据安全威胁,结合所述数据资产的分类结果和业务场景,判断所述数据安全威胁发生频率,其中,所述数据安全威胁包括数据窃取、数据滥用、数据误用、数据篡改。
优选地,所述数据安全威胁发生频率的计算公式为:
其中,Fs表示数据窃取发生的频率,Fa表示数据滥用发生的频率,Fm表示数据误用发生的频率,Fd表示数据篡改发生的频率,I表示数据资产的重要性。
优选地,获取所述数据脆弱性结果包括:
基于脆弱性、已有安全措施、预定评价标准,判断脆弱性的严重程度和所述数据处理活动的合规性,对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算,获取所述数据脆弱性结果。
优选地,对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算的公式为:
V=((Sv-Em)*Wv+C*Wc)/(Wv+Wc)
其中,V表示计算脆弱性的函数,Sv表示脆弱性的严重程度,Em表示已有安全措施,Wv表示脆弱性严重程度的权重,C表示数据处理活动的合规性,Wc表示数据处理活动合规性的权重。
优选地,获取所述数据安全威胁发生造成的损失包括:
采用矩阵法分析所述数据安全威胁利用风险源作用于所述数据资产,导致数据安全威胁发生造成的损失,公式为:
数据安全威胁造成的损失=L(A,Rs)
其中,A表示数据资产重要性,Rs表示数据处理活动风险源影响程度,L表示数据安全威胁造成损失的计算函数。
优选地,获取所述数据安全威胁发生的可能性包括:
采用矩阵法分析所述数据安全威胁利用风险源导致所述数据安全威胁发生的可能性,公式为:
数据安全威胁发生可能性=P(Rs,T)
其中,Rs表示数据处理活动风险源影响程度,T表示数据安全威胁发生频率,P表示数据安全威胁发生可能性的计算函数。
优选地,获取所述综合风险值包括:
基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性,分别计算不同数据资产在不同业务场景中的风险值,将所有数据资产在所有业务场景中的风险值进行加权平均,获取所述综合风险值,公式为:
评估范围总体风险值=∑Ra*I÷∑I
其中,Ra表示数据资产风险等级,I表示数据资产重要性程度。
为进一步优化技术方案,本发明还提供了一种数据安全风险评估的***,包括:
资产识别模块,用于识别数据资产和数据处理活动,并计算数据资产重要性;
威胁识别模块,用于识别数据安全威胁,并判断数据安全威胁发生频率;
脆弱性识别模块,用于识别并分析数据脆弱性,获取数据脆弱性结果;
风险分析模块,用于计算数据安全威胁发生造成的损失和数据安全威胁发生的可能性,并获取数据安全风险值。
本发明的有益效果为:
本发明提出的数据安全评估方法识别对象为数据资产本身及数据处理活动,以数据为主体进行风险分析,评估的对象是数据+业务流程,能够将业务与数据相结合,按照数据所属业务的属性分类,按照数据重要程度和危害程度分类,实现对数据资产重要性的判断,能够在业务和合规方面弥补了当前数据安全风险评估方法的不足。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的一种数据安全风险评估的方法流程图;
图2为本发明实施例的一种数据安全风险评估的***结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本实施例提供了一种数据安全风险评估的方法,如图1所示,包括:
S1.识别数据资产和数据处理活动并得到数据资产的重要性
在数据资产识别过程中需要识别的要素有:业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据来源。
(1)业务领域:按照业务范围或业务种类进行细化分类;
(2)责任部门:按照数据管理部门或职责分工进行分类;
(3)描述对象:按照数据描述对象进行细化分类;
(4)上下游环节:按照业务运营活动的上下游环节进行细化分类;
(5)数据主题:按照数据的内容主题进行分类;
(6)数据用途:按照数据使用目的进行细化分类;
(7)数据处理:按照数据处理者类型或数据处理活动进行细化分类;
(8)数据来源:按照数据来源进行细化分类;
数据处理活动要素识别:数据在处理活动中,从一个处理环节流动到另一个处理环节的流向情况。企业在进行与数据处理相关的业务活动时,会涉及到的要素有:数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。
在获取到数据资产和数据处理活动之后,依据科学实用、边界清晰、就高从严、点面结合、动态更新原则来对数据进行分类分级。
数据分类基本流程:确定数据处理者业务涉及的行业领域;按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;识别是否存在预定评价标准(如法律法规)或主管监管部门有专门管理要求的数据类别,对个人信息、敏感个人信息进行区分标识;如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
根据数据分类流程实施,将数据分为:用户数据、业务数据、经营管理数据、***运行和安全数据。
数据分级基本流程:确定分级对象;分级要素识别;数据影响分析;综合确定级别。
按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、组织合法权益等造成损失的危害程度,将数据从低到高分为不同级别,如表2所示。
根据数据资产的分类分级结果在数据资产重要性矩阵中确定数据资产的重要性,数据资产重要性矩阵如表1所示。根据数据分类的结果对应业务场景得到不同数据类型在不同业务场景下的数据资产重要性,得到数据资产重要性之后对照数据资产重要性等级划分表获取数据资产重要性程度,形成数据资产重要性记录表,如表3所示。
表1
表2
表3
S2.数据资产发生威胁的概率
将数据安全威胁分为:数据窃取、数据滥用、数据误用、数据篡改。数据窃取:指攻击者非法获取他人的敏感信息或数据的行为。攻击者可以通过黑客攻击、社交工程等手段获取信息或数据,导致个人隐私、商业秘密或其他敏感信息泄露。数据滥用:数据滥用是指未经授权或未经合法许可使用数据的行为,例如,一个组织收集非必要的用户数据并将其出售给第三方,则会导致个人隐私的泄露。数据误用:数据误用指在对数据进行分析或处理时,对数据的意图或解释发生错误,从而导致具有误导性或欺骗性的结论,例如,在一份研究报告中错误地引用数据,从而导致了不准确的结论。数据篡改:数据篡改是指对数据的恶意改变,以达到欺骗或破坏的目的,例如,利用木马病毒修改数据或更改***配置文件,或是通过社交工程手段获取管理员帐号并篡改数据等。
在数据安全威胁识别并判断数据安全威胁发生的频率步骤中,将结合数据分类结果和业务场景判定数据安全威胁发生的频率。根据数据分类结果和数据类型按照业务场景逐条列举每项数据安全威胁在当前场景中可能发生的频率,最终通过计算得到不同类型数据在不同场景下的数据安全威胁发生频率。不同数据安全威胁的发生频率赋值参考表4数据安全威胁发生频率表。
数据安全威胁的计算公式为:数据安全威胁=T(数据窃取发生的频率,数据滥用发生的频率,数据误用发生的频率,数据篡改发生的频率, 其中Fs为数据窃取发生的频率,Fa表示数据滥用发生的频率,Fm表示数据误用发生的频率,Fd表示数据篡改发生的频率,I表示数据资产的重要性。
表4
S3.识别脆弱性、已有安全措施、预定评价标准(如法律法规),进行脆弱性分析,包括脆弱性严重程度和数据处理活动的合规性。
(1)数据处理活动的合规性
数据安全合规性分析是企业或组织数据安全保障的基础,它需要***地研究和分析预定评价标准和自身情况,并在此基础上制定相应的安全管理策略和计划,以确保数据的安全性和可信度。
数据处理活动的合规性需考虑以下几个方面:遵守国家或地区的预定评价标准(如法律法规);遵守不同行业的规范和标准;结合企业或组织的实际情况,针对业务流程、数据类型和风险评估等因素,制定合适的安全管理策略。
根据以上分析判断在数据处理活动中若存在违规行为的影响程度来确定数据处理活动的合规性影响程度,具体内容参考表5数据处理活动合规性影响程度表。
表5
(2)识别已有安全措施
已有安全措施是针对企业已采取的安全措施有效性的确认,可以分为:预防性和保护性两种。
将识别到的已有安全措施按照能降低脆弱性的影响程度高低和影响范围的大小划分等级,具体内容参考表6已有安全措施等级划分表:
表6
(3)脆弱性的严重程度
应用场景中存在的脆弱性被数据安全威胁利用才会造成数据机密性、完整性、可用性、可控性的损害。对脆弱性进行分析时,需同时考虑已存在的安全措施,是否能阻止脆弱性被利用或是否能够降低脆弱性被利用带来的损失。
如表7,脆弱性按照严重程序的分类:
低危漏洞:低级漏洞通常是指对***的影响较小的漏洞,例如一些不影响***稳定性和安全性的小问题。这些漏洞通常不会对***造成重大影响,但仍需要及时修复。
中危漏洞:中级漏洞通常是指对***的影响较大的漏洞,例如一些可以导致***崩溃或数据泄露的漏洞。这些漏洞需要尽快修复,以避免对***造成更大的影响。
高危漏洞:高级漏洞通常是指对***的影响非常大的漏洞,例如一些可以导致***被攻击者完全控制的漏洞。这些漏洞需要立即修复,以避免对***造成灾难性的影响。
严重漏洞:严重漏洞通常是指对***的影响极其严重的漏洞,例如一些可以导致***瘫痪或数据完全被盗取的漏洞。这些漏洞需要立即修复,并采取一些紧急措施来保护***的安全。
表7
(4)计算脆弱性
脆弱性的结果与脆弱性的严重程度和数据处理活动的合规性有关,通过计算脆弱性的严重程度和数据处理活动的合规性的加权平均数,得到脆弱性,即:脆弱性=V(脆弱性的严重程度,脆弱性严重程度的权重,数据处理活动的合规性,数据处理活动合规性的权重)=((脆弱性的严重程度-已有安全措施)*脆弱性严重程度的权重+数据处理活动的合规性*数据处理活动合规性的权重)/(脆弱性严重程度的权重+数据处理活动合规性的权重)=((Sv-Em)*Wv+C*Wc)/(Wv+Wc)。其中V表示计算脆弱性的函数,Sv表示脆弱性的严重程度,Em表示已有安全措施,Wv表示脆弱性严重程度的权重,C表示数据处理活动的合规性,Wc表示数据处理活动合规性的权重。推荐脆弱性严重程度的权重和数据处理活动合规性的权重分别为2和1。
S4.数据风险评价
在计算得到数据资产重要性、数据安全威胁发生频率及脆弱性后,将采用适当的方法确定数据安全威胁利用风险源导致数据安全威胁发生的可能性以及数据安全威胁作用于数据资产导致数据安全威胁发生的损失。综合数据安全威胁造成的损失和数据安全威胁发生可能性判断安全风险。
(1)计算数据安全威胁造成的损失
数据安全威胁造成损失的计算是综合分析数据处理活动风险源的影响程度和数据资产重要性的结果,采用的计算方式为矩阵法。即:数据安全威胁造成的损失=L(数据资产重要性,数据处理活动风险源影响程度)=L(A,Rs)
其中,A表示数据资产重要性,Rs表示数据处理活动风险源影响程度,L表示数据安全威胁造成损失的计算函数。
根据数据资产重要性和数据处理活动风险源在如表8所示的数据安全威胁损失矩阵中进行对照,确定数据安全威胁造成的损失。
表8
在数据安全威胁损失矩阵中确认数据安全威胁发生造成的损失之后,通过如表9所示的数据威胁损失等级划分表进行等级划分。
表9
| 数据安全威胁损失值 | 1-6 | 7-12 | 13-18 | 19-23 | 24-25 |
| 数据威胁损失等级 | 1 | 2 | 3 | 4 | 5 |
(2)计算数据安全威胁发生可能性
数据安全威胁发生可能性的计算是综合分析数据处理活动风险源的影响程度和数据安全威胁发生频率的结果,采用的计算方式为矩阵法。即:数据安全威胁发生可能性=P(数据处理活动风险源影响程度,数据安全威胁发生频率)=P(Rs,T)
其中,Rs表示数据处理活动风险源影响程度,T表示数据安全威胁发生频率,P表示数据安全威胁发生可能性的计算函数。
根据数据处理活动风险源影响程度和数据安全威胁发生可能性在如表10所示的数据安全威胁发生可能性矩阵中进行对照,确定数据安全威胁发生可能性值。
表10
在数据安全威胁发生可能性矩阵中确认数据安全威胁发生可能性值之后,通过如表11所示的数据安全威胁发生可能性等级划分表进行等级划分。
表11
| 数据威胁发生可能性值 | 1-6 | 7-12 | 13-18 | 19-23 | 24-25 |
| 数据威胁发生可能性等级 | 1 | 2 | 3 | 4 | 5 |
(3)计算风险值
根据计算出的数据安全威胁发生的可能性以及数据威胁造成的损失,计算风险值,即:风险值=R(数据安全威胁发生的可能性,数据安全威胁造成的损失)
根据数据安全威胁发生的可能性和数据安全威胁造成的损失在如表12所示的安全风险矩阵中进行对照,确定数据安全威胁风险值。
表12
在安全风险矩阵中确认安全风险值之后,通过如表13所示的安全风险等级划分表确定最终安全风险等级。
表13
| 风险值 | 1-6 | 7-12 | 13-18 | 19-23 | 24-25 |
| 风险等级 | 1 | 2 | 3 | 4 | 5 |
最终得到的结果为不同数据在不同业务中的风险值,将数据资产重要性程度作为权重,计算所有资产的业务场景风险的加权平均为评估范围总体风险值。评估范围总体风险值=∑Rn*I÷∑I。其中,Ra表示数据资产风险等级,I表示数据资产重要性程度。结果如表14所示。
表14
为进一步优化技术方案,本实施例还提供了一种数据安全风险评估的***,如图2所示,包括:资产识别模块、威胁识别模块、脆弱性识别模块、风险分析模块;
资产识别模块,用于识别数据资产和数据处理活动,并计算数据资产重要性;
威胁识别模块,用于识别数据安全威胁,并判断数据安全威胁发生频率;
脆弱性识别模块,用于识别并分析数据脆弱性,获取数据脆弱性结果;
风险分析模块,用于计算数据安全威胁发生造成的损失和数据安全威胁发生的可能性,并获取数据安全风险值。
以上所述的实施例仅是对本发明优选方式进行的描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。
Claims (10)
1.一种数据安全风险评估的方法,其特征在于,包括:
识别数据资产和数据处理活动,获取数据资产重要性;
识别数据安全威胁,并判断数据安全威胁发生频率;
识别并分析数据脆弱性,获取数据脆弱性结果;
基于所述数据资产重要性、所述数据安全威胁发生频率和所述数据脆弱性结果,获取数据安全威胁发生造成的损失和数据安全威胁发生的可能性;
基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性进行计算,获取综合风险值,完成对数据安全的风险评价。
2.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据资产重要性包括:
识别所述数据资产和数据处理活动,对所述数据资产进行分类、分级,根据所述数据资产的分类、分级结果,利用数据资产重要性矩阵,确定所述数据资产重要性;其中,所述数据资产包括业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据来源;所述数据处理活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。
3.根据权利要求2所述的数据安全风险评估的方法,其特征在于,判断所述数据安全威胁发生频率包括:
识别所述数据安全威胁,结合所述数据资产的分类结果和业务场景,判断所述数据安全威胁发生频率,其中,所述数据安全威胁包括数据窃取、数据滥用、数据误用、数据篡改。
4.根据权利要求3所述的数据安全风险评估的方法,其特征在于,所述数据安全威胁发生频率的计算公式为:
其中,Fs表示数据窃取发生的频率,Fa表示数据滥用发生的频率,Fm表示数据误用发生的频率,Fd表示数据篡改发生的频率,I表示数据资产的重要性。
5.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据脆弱性结果包括:
基于脆弱性、已有安全措施、预定评价标准,判断脆弱性的严重程度和所述数据处理活动的合规性,对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算,获取所述数据脆弱性结果。
6.根据权利要求5所述的数据安全风险评估的方法,其特征在于,对所述脆弱性的严重程度和所述数据处理活动的合规性进行加权平均计算的公式为:
V=((Sv-Em)*Wv+C*Wc)/(Wv+Wc)
其中,V表示计算脆弱性的函数,Sv表示脆弱性的严重程度,Em表示已有安全措施,Wv表示脆弱性严重程度的权重,C表示数据处理活动的合规性,Wc表示数据处理活动合规性的权重。
7.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据安全威胁发生造成的损失包括:
采用矩阵法分析所述数据安全威胁利用风险源作用于所述数据资产,导致数据安全威胁发生造成的损失,公式为:
数据安全威胁造成的损失=L(A,Rs)
其中,A表示数据资产重要性,Rs表示数据处理活动风险源影响程度,L表示数据安全威胁造成损失的计算函数。
8.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述数据安全威胁发生的可能性包括:
采用矩阵法分析所述数据安全威胁利用风险源导致所述数据安全威胁发生的可能性,公式为:
数据安全威胁发生可能性=P(Rs,T)
其中,Rs表示数据处理活动风险源影响程度,T表示数据安全威胁发生频率,P表示数据安全威胁发生可能性的计算函数。
9.根据权利要求1所述的数据安全风险评估的方法,其特征在于,获取所述综合风险值包括:
基于所述数据安全威胁发生造成的损失和数据安全威胁发生的可能性,分别计算不同数据资产在不同业务场景中的风险值,将所有数据资产在所有业务场景中的风险值进行加权平均,获取所述综合风险值,公式为:
评估范围总体风险值=ΣRa*I÷ΣI
其中,Ra表示数据资产风险等级,I表示数据资产重要性程度。
10.一种数据安全风险评估的***,其特征在于,包括:
资产识别模块,用于识别数据资产和数据处理活动,并计算数据资产重要性;
威胁识别模块,用于识别数据安全威胁,并判断数据安全威胁发生频率;
脆弱性识别模块,用于识别并分析数据脆弱性,获取数据脆弱性结果;
风险分析模块,用于计算数据安全威胁发生造成的损失和数据安全威胁发生的可能性,并获取数据安全风险值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310700769.3A CN116720194A (zh) | 2023-06-14 | 2023-06-14 | 一种数据安全风险评估的方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310700769.3A CN116720194A (zh) | 2023-06-14 | 2023-06-14 | 一种数据安全风险评估的方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116720194A true CN116720194A (zh) | 2023-09-08 |
Family
ID=87867473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310700769.3A Pending CN116720194A (zh) | 2023-06-14 | 2023-06-14 | 一种数据安全风险评估的方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116720194A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117350288A (zh) * | 2023-12-01 | 2024-01-05 | 浙商银行股份有限公司 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
-
2023
- 2023-06-14 CN CN202310700769.3A patent/CN116720194A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117350288A (zh) * | 2023-12-01 | 2024-01-05 | 浙商银行股份有限公司 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
| CN117350288B (zh) * | 2023-12-01 | 2024-05-03 | 浙商银行股份有限公司 | 基于案例匹配的网络安全运营辅助决策方法、***及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
| US9473521B2 (en) | Method and system for information leak prevention | |
| TWI573036B (zh) | 針對威脅評估之風險評分技術 | |
| CN107577939B (zh) | 一种基于关键字技术的数据防泄漏方法 | |
| US8607353B2 (en) | System and method for performing threat assessments using situational awareness | |
| Farahmand et al. | Managing vulnerabilities of information systems to security incidents | |
| CN106548342B (zh) | 一种可信设备确定方法及装置 | |
| CN113542279A (zh) | 一种网络安全风险评估方法、***及装置 | |
| US11575702B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| Bernik | Cybercrime: The Cost of Investments into Protection. | |
| CN116720194A (zh) | 一种数据安全风险评估的方法和*** | |
| CN116049859A (zh) | 一种数据安全治理方法、***、终端设备及存储介质 | |
| KR20110110431A (ko) | 정보보안 장치 및 방법 | |
| Roumani | Detection time of data breaches | |
| US20230396640A1 (en) | Security event management system and associated method | |
| Palko et al. | Determining Key Risks for Modern Distributed Information Systems. | |
| Kim et al. | A study on analyzing risk scenarios about vulnerabilities of security monitoring system: focused on information leakage by insider | |
| CN115640581A (zh) | 一种数据安全风险评估方法、装置、介质及电子设备 | |
| Schweighofer et al. | Privacy by design data exchange between CSIRTs | |
| Petrescu et al. | The international experience in security risk analysis methods | |
| EP2495679A1 (en) | System and method for performing threat assessments using situation awareness | |
| US20220272123A1 (en) | Method and system for protecting a checkout transaction from malicious code injection | |
| Li | The Impact of Big Data on People and Data Security Issues | |
| Jerman-Blazic | Standard approach for quantification of the ICT security investment for cybercrime prevention | |
| SYAFRIZAL | The Effect of Users’ Competence on the Security of Information System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |