近期发布的《网络安全标准实践指南—网络数据安全风险评估实施指引(征求意见稿)》(下称“《实施指引》”)从评估准备、信息调研、风险评估、综合分析及评估总结五个方面介绍网络数据安全风险评估工作的内容、流程和方式,既可指导数据处理者自行开展风险评估,亦可为数据处理者在日常运营中构建数据安全管理制度和技术体系提供参考。其中,《实施指引》对数据合作方的评估指引值得关注。
一 、数据合作外包场景中的主要风险
在数据处理全生命周期中,皆可能涉及数据合作,如通过第三方收集数据,将数据存储在第三方云平台及委托第三方进行数据处理等等,皆可能面临安全风险。下表是在数据外包合作场景中,数据处理者可能面临的风险示例:
环节 | 风险类别 | 风险描述 |
收集 | 数据源错误风险 | 通过第三方收集的数据存在未授权、失效、不符合预期等问题时,导致数据完整性、可用性降低。 |
存储 | 数据不可控风险 | 委托第三方云平台、数据中心等外部提供者存储数据,但缺少有效的约束与控制手段,影响数据机密性、完整性、可用性。 |
传输 | 传输手段失效风险 | 由于软硬件故障、接口故障、配置失效等导致数据无法在数据处理者和第三方之间传输或在传输过程中丢失,影响数据完整性、可用性。 |
使用和加工 | 数据处理不可控风险委 | 委托第三方机构或外部系统处理数据,没有有效的约束与控制手段,影响数据机密性、完整性、可用性。 |
提供 | 共享越权风险 | 由于数据共享接口的管理或技术手段失效,或共享权限分配混乱,导致第三方可以获取授权之外的数据,影响数据机密性、完整性、可用性。 |
公开 | 超范围公开风险 | 第三方超出预定范围公开数据,造成数据泄露。 |
删除 | 数据销毁不彻底风险 | 第三方未按照规定的要求进行销毁,数据使用环境中存在多副本,数据销毁时存在遗留副本未被销毁,未销毁备份数据,破坏了数据的机密性。 |
二 、数据处理者可采取的管理措施
为降低前述数据安全风险,结合《实施指引》中对“合作外包管理”的评估重点,我们可以梳理数据处理者在数据合作外包的事前、事中及事后阶段可采取的约束和监督数据合作方数据处理行为的管理措施。
(一)事前阶段
建立数据合作方安全管理机制是第一步。数据处理者通过制度确立为数据合作方选择、评价、管理及监督提供指引,有利于后续数据合作外包工作的规范进行。其次,为选择合适的合作方,数据处理者需在事前评估数据合作方的安全能力。此外,为约束数据合作方的数据处理行为,数据处理者可考虑通过签署合作协议约束合作方行为。具体而言:
| 数据合作方安全管理机制建设 | 明确对合作方或外包服务机构的选择、评价、管理、监督机制。 |
| 评估数据合作方安全能力 | 数据处理者可考虑通过如下要素评估数据合作方的安全能力: a)已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况; b)数据安全管理机构、人员及制度情况; c)防火墙、入侵检测、入侵防御等网络安全设备及策略情况; d)网络访问控制和身份鉴别情况; e)网络安全漏洞管理及修复情况; f)VPN 等远程管理软件的用户及管理情况; g)设备、系统及用户的账号口令管理情况; h)加密、脱敏、匿名化、去标识化等安全技术应用情况; i)3 年内发生的网络和数据安全事件及处置情况。 |
| 签署合作协议 | a)通过合同协议等方式对接收、使用本单位数据的合作方的数据使用行为进行约束; b)在合作协议中明确数据处理目的、方式、范围,安全保护责任、保密约定及违约责任和处罚条款等; c)在合作协议中明确数据处理者与合作方、外包服务商间的数据安全责任界定情况。 |
| 技术检测 | a)对合作方接入的系统、使用的技术工具进行了技术检测,避免引入木马、后门等; b)建立面向合作方数据接口的接口认证鉴权与安全监控能力建设情况,限制违规接入,对接口调用进行必要的自动监控和处理。 |
| 评估合作方提供数据的安全情况 | 如涉及通过数据合作方收集数据,需评估该数据的安全情况: a)通过合同协议等合法方式,约定从外部机构采集的数据范围、收集方式、使用目的和授权同意情况; b)对外部数据源和外部收集数据进行鉴别和记录的情况; c)数据的真实性及来源的可靠性; d)对外部数据源和外部收集数据的合法性、安全性和授权同意情况进行审核的情况。 |
| 政务数据处理特殊要求 | 如涉及政务部门或针对法律、法规授权的具有管理公共事务职能的组织委托处理政务数据,数据处理者还应: a)在委托他人建设、维护电子政务系统,存储、加工政务数据,是否经过严格的批准程序; b)评估支撑电子政务相关系统运行的相关服务或系统的安全措施,是否满足电子政务系统管理和相关安全要求; c)在合同中明确约定数据安全保护义务,包括不得擅自留存、使用、泄露或者向他人提供政务数据。 |
(二)事中阶段
在数据处理者和数据合作方达成合作并开展数据处理活动后,可能涉及数据处理者向数据合作方提供数据,或为合作方开通相关权限以访问数据处理者的数据,在这一阶段,建议数据处理者考虑采取如下适当措施保障数据安全:
| 监督检查 | a)对外包服务机构、人员履行安全责任义务进行监督检查; b)对外包人员现场服务安全管理情况进行检查; c)对外包人员的数据访问及操作行为进行监督: 1)监 督管理外包人员数据导出操作或数据外发操作; 2)实时监督或监测外包人员对敏感数据的访问及操作; 3)监督外包人员远程访问操作系统或数据的情况 。 |
| 权限限制 | a)将外包人员对数据与系统的访问、修改权限限制于最小必要范围; b)能够在测试环境下或使用测试数据完成的,不向外包人员开放生产环境权限或真实数据; c)监督数据外包服务账号及访问权限管理情况。 |
(三)事后阶段
在合作结束或服务终止后,数据合作者对数据处理者提供的数据已无处理的必要性,建议数据处理者采取如下措施防范风险:
| 数据回收 | 要求数据合作者返还数据处理者基于完成技术或服务目的提供的数据。 |
| 数据删除销毁 | 要求数据合作方删除销毁数据处理者向其提供的数据,包括副本或备份数据。 |
| 关闭权限 | 及时注销为合作方开通的账号,关闭相应权限。 |
