原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
(资料性)
大数据平台数据安全风险评估指标体系框架
本附录介绍了大数据平台数据安全风险评估指标体系框架,供企事业单位开展风险评估工作参考。
本文件提出的大数据平台数据安全风险评估指标体系包括6.1节的指标体系框架,以及6.2至6.11节的评价指标解释。指标体系框架囊括了大数据平台数据全生命周期各类风险的评价指标,框架的前四列分别为一级、二级、三级和四级风险评价指标。其中下级指标是对上级指标的细化分解,是对大数据平台数据安全进行风险评估时应考虑的具体风险点,上级指标是对下级指标的概括总结,将风险点汇聚为风险面,反映了大数据平台某部分或数据全生命周期某环节所面临的数据安全风险概况。指标体系框架的第五列从数据安全面临的六种主要威胁出发,列举了数据安全风险点对应的具体后果。评价指标解释针对每个具体的数据安全风险点,阐述了风险出现的原因及可能造成的影响,在进行大数据平台数据安全风险评估时,在判断平台中是否存在某种风险前,应将大数据平台的实际安全状况与评价指标解释中风险出现的原因相比较,若两者相同或类似,则说明大数据平台存在此种风险,否则说明大数据平台不存在此种风险。
本标准提出的指标体系列举了大数据平台中数据在收集、存储、传输、处理、提供、发布、删除、使用等过程中的风险,以及敏感数据面临的风险,数据安全风险评估指标体系全面囊括了数据进入到大数据平台后经历的一系列处理和流转过程中可能面临的风险。每类风险可细分为若干更具体的风险面,比如基础设施、软件、管理制度等方面的潜在风险。数据收集阶段风险被细分为数据源、数据质量和合规性风险;数据存储阶段风险细分为存储适当性、存储环境、存储系统、存储硬件和云服务存储风险;数据传输阶段风险细分为传输链路、传输算法、传输数据、传输硬件和传输软件风险;数据处理阶段风险细分为处理环境、导入导出、处理系统、处理硬件和处理软件风险;数据提供安全风险细分为对外提供风险和关联接口安全风险;数据发布阶段风险细分为受控发布和非受控发布风险;数据删除阶段风险被具体化为残留与销毁风险;数据使用阶段风险细分为数据访问和数据使用管理风险;敏感数据安全风险被具体化为隐私保护风险。以上被细化或具体化的风险可再次细分为更具体实际的风险点。在进行大数据平台数据安全风险评估前,评估方可以根据以上风险指标,从平台配置文件、系统日志等收集足够的风险数据,选择进行风险评估所需的风险评估专家和平台运维管理人员。本标准提出的指标体系为大数据平台数据安全风险评估指明了评估方向和评估重点,在进行评估时,可以根据风险点,依次在目标大数据平台中定位风险可能存在的部位,然后有针对性地进行检测,将检测结果与对风险点的解释相对比,则可判断出某部位是否存在风险,然后可以使用公式进一步计算相应的风险值。
本标准提出的指标体系可以被用于任意大数据平台的数据安全风险评估,若待评估平台对数据的处理流程不是一个完整的数据生命周期,或者本次评估目标是评估大数据平台中部分数据处理流程,则可以事先根据待评估的具体数据处理流程,从指标体系框架中节选部分数据安全风险指标,然后展开风险评估。比如某大数据平台仅对收集数据进行存储和公布操作,则可以参考本标准提出的指标体系的数据收集阶段风险、数据传输阶段风险、数据存储阶段风险和数据发布阶段风险涉及的风险点,有针对性地对该大数据平台展开数据安全风险评估。
数据风险量化指标体系
数据风险量化指标体系
风险阶段
风险定位
风险来源
数据收集阶段风险
数据源风险
缺乏数据源身份认证
缺乏数据源访问控制
未标记数据来源
收集数据质量
未检测数据可用性
未检测数据完整性
未检测数据一致性
收集合规性
数据来源不合规
收集行为不合规
数据存储阶段风险
存储适当性风险
存储位置设置不当
存储期限设置不当
存储方式设置不当
存储环境风险
未加密存储数据
未脱敏存储个人信息
存储加密算法安全强度不达标
未隔离不同用户存储数据
未备份存储数据
未授权访问
数据传输阶段风险
传输链路风险
未建立安全传输通道
未授权的数据传输
未删除传输节点缓存数据
传输安全机制
传输算法不合规
传输协议漏洞
传输密钥或证书管理不当
加密算法安全强度不达标
完整性校验算法安全强度不达标
数字签名算法安全强度不达标
传输数据行为风险
未加密传输数据
未校验传输数据
数据加工阶段风险
数据加工行为风险
未脱敏使用数据
未审查数据加工行为和结果
数据分析系统风险
分析环境不可信
分析流程存在安全漏洞或违规
未审查用户分析程序
数据提供阶段风险
对外提供风险
未加密提供数据
未对提供数据脱敏
未对提供数字签名
未对提供数据添加数字水印
未审核对外提供数据
未鉴别接收方身份
未与接收方签订数据安全协议
导入导出风险
数据格式不兼容
未检验数据完整性、一致性
数据发布阶段风险
受控发布风险
未
您可能关注的文档
最近下载
- 【Title】Law of the People’s Republic of China on Choice of Law for Foreign-related Civil Relationships英语.doc VIP
- 2021年9月消化内科护士考试题.docx VIP
- 北京化工大学《有机化学》试卷(样题).pdf VIP
- 会计术语(日语).pdf VIP
- 考录公务员笔试应急预案.docx
- 细胞核的结构和功能.ppt VIP
- 消化内科31病区6月份护理人员三基考试题.docx VIP
- 王维《酌酒与裴迪》古诗词PPT.pptx VIP
- 消化内科新护士独立上岗前考试题.docx VIP
- 2025年“七一”专题党课学习课件(四套)汇编供参考选用.pptx VIP
文档评论(0)