数据加密风险评估规范.docxVIP

  • 2
  • 0
  • 约1.18万字
  • 约 19页
  • 2026-07-01 发布于湖北
  • 举报

数据加密风险评估规范

数据加密风险评估规范

一、数据资产识别与加密现状调研规范

数据加密风险评估的首要环节是对组织内所有涉及加密保护的数据资产及密码应用现状进行全面识别与系统化登记,这是后续威胁分析和风险量化的基础。评估人员需首先依据《数据安全法》及GB/T37988-2019《信息安全技术数据安全能力成熟度模型》、GB/T45577-2025《数据安全技术数据安全风险评估方法》,明确评估范围,覆盖所有使用对称加密、非对称加密、哈希算法及数字签名技术保护的数据对象和相关信息系统。资产识别应包括但不限于以下类别:一是受加密保护的数据库字段、文件、备份介质及磁盘卷等静态存储数据资产,需记录其所属业务系统、数据分类分级结果(核心数据、重要数据、一般数据、敏感个人信息)、数据量级及当前采用的加密算法(如SM4、AES-256、3DES等)与加密模式(如CBC、GCM);二是经TLS、IPSec或专用安全协议加密传输的数据流,需记录通信双方端点、协议版本(如TLS1.2及以上)、协商的密码套件及是否启用双向认证;三是密码运算所依赖的密钥管理基础设施,包括密钥生成方式(是否使用经国家密码管理部门核准的随机数发生器及密码模块)、密钥长度(如SM2为256位、SM4为128位、RSA不低于2048位)、密钥存储位置(是否存于符合GM/T0028要求的密码模块或硬件安全模块HSM中)、

文档评论(0)

1亿VIP精品文档

相关文档