数据风险评估是我国《数据安全法》明确要求的内容，我们知道在传统的网络安全活动基础上，数据处理活动更加复杂多样，包括生产、采集、提供、交易、交换、存储、传输、加工、使用、共享、公开、销毁等活动。重要数据的处理者应对数据处理活动中数据的安全性及可能存在的风险开展安全检测、风险评估，检验保护数据安全措施的有效性，及时发现问题隐患并整改。

国内外，网络数据安全领域，都看到数据风险评估的重要性，但多少还是存在一定差异的。而国外以国外的法律体系为基础，我们则以我们的法律体系为基础。今天，我们看一下外国企业对数据风险评估的一些看法。

许多组织都了解保护个人身份信息的重要性，但并非所有组织都知道如何正确执行数据风险评估。以下是保护组织中数据安全所需了解的信息。

存储个人身份信息 (PII) 的组织对犯罪分子来说是一个有吸引力的目标。不幸的是，许多存储 敏感数据的公司 没有正确跟踪敏感数据及其所在位置，从而导致可利用的漏洞，从而导致代价高昂的 数据泄露。

作为一项保护措施，组织应定期执行数据风险评估，以审查和保护敏感信息。但什么是数据风险评估以及执行数据风险评估的最佳方法是什么?

什么是数据风险评估?

数据风险评估是组织审查其控制下的敏感数据的过程。这包括整个组织 IT 生态系统(包括所有平台、服务器位置和云环境)存储、访问和管理的所有数据。

什么构成敏感数据?

在组织能够正确保护其敏感数据之前，必须首先了解系统中包含的数据。这就是为什么正确的数据分类 对于数据安全至关重要。

在确定应归类为敏感的数据时，请记住：

• 整个组织使用的数据类型
• 数据可能存放的位置
• 数据对组织的总体价值
•  所在行业的监管合规要求
• 访问授权权限

不幸的是，许多组织依赖手动分类，如果分类指南发生变化而没有对受影响的信息进行适当更新，手动分类可能很快就会过时。更糟糕的是，90% 的组织数据大部分都是暗数据，这些数据要么已被捕获但未使用，要么是公司不知道自己拥有的数据。

DRA 如何帮助保护组织

数据风险评估可以揭示组织所拥有的敏感信息。此外，这种增强的可见性可以更好地洞察组织可能面临的潜在风险，包括恶意风险和意外风险。

有效的数据安全风险评估计划的几个关键成果包括：

• 减少敏感信息的足迹。 这使得现有的数据安全计划能够更有效地发挥作用。
• 解决授权监督问题。 数据风险评估可以突出显示对敏感信息访问过多或过少的用户。在前一种情况下，可以减少访问以降低不当访问的风险，而解决后者可以提高组织效率。
• 制定适当的安全措施。 有效的风险评估允许组织通过 实施数据保护计划 或修复现有漏洞来解决安全缺陷。
• 降低运营成本。 通过更好地了解其控制下的数据，组织可以将资源集中在关键数据和基础设施上。适当的计划还可以 降低数据泄露时的成本。

数据风险评估的组成部分

数据风险评估可以分为三个不同的部分：发现、评估和行动。在许多情况下，每个步骤都是同时执行的，特别是在处理敏感数据的场景中。

此外，应定期进行风险评估。尽管对于应进行评估的频率存在各种建议，但业务的性质、所管理的数据以及先前评估的结果将决定企业应多久进行一次安全评估。然而，应该指出的是，在任何情况下，风险都不是静态的，评估的性质和频率应该是组织内持续讨论的内容。

发现组织数据并对其进行分类

如果没有适当的 数据发现和分类 实践，您的风险评估将不是最佳的。您必须了解所有数据的存储位置及其敏感级别，以确保根据内部建立的框架对数据进行分类。还要记住您可能遇到的任何 监管要求 。

确定分类级别时，请考虑以下变量：

• 保密：谁应该访问数据?
• 价值：数据对组织运营有多重要?如果数据被未经授权的一方访问、修改或破坏，组织可能会受到什么损害?
• 可用性：为了进行日常业务运营，数据必须有多容易获得，过度限制的协议是否会阻碍运营?

虽然一些组织选择手动处理这些分类任务，但这项工作通常不可持续或不可扩展，特别是在高度监管的环境中。由于需要用户输入和执行，分类速度缓慢、效率低下，并且无法适应不断变化的组织需求。因此，最好考虑采用自动化分类方法，以确保获得最佳结果。

评估数据安全风险

安全风险可以有多种不同的形式。虽然勒索软件、网络钓鱼攻击或类似事件等直接攻击是一种明显且日益增长的威胁，但这些并不是数据泄露的唯一入口点。并非所有风险都可以归因于恶意意图。通常，意外的疏忽也可能同样危险。

数据的常见风险包括：

• 密码管理不善。 超过60%的违规行为可以追溯到易于确定或其他较弱的密码。
• 第三方访问。如果获得访问权限的外部各方未能制定适当的数据安全措施，系统也可能受到损害。
• 无意访问。如果没有适当的凭据，组织内的员工或其他个人可能会有意或无意地访问敏感信息。
• 端点设备丢失和被盗。保存在笔记本电脑、硬盘或其他未加密设备上的数据很容易落入坏人之手。

虽然此列表并不详尽，但它代表了您的组织可能面临的威胁的样本。要确定组织内的独特风险，您需要考虑整个领导团队的观点，而不仅仅是 IT 部门的观点。通过引入更多观点，您的组织将更好地准备应对威胁。

采取行动降低风险并预防威胁

如果组织未能解决评估过程中发现的风险，那么在数据所在的位置找到数据并识别威胁就毫无意义。必须尽快解决数据面临的威胁，以减少数据泄露和其他安全风险的可能性。从基本端点安全到公司级别的全面策略更改，组织可能需要采取以下一些方法来应对风险：

• 实施备份和数据加密等保护措施，以更好地保护数据。
• 创建一种认识到数据安全重要性的公司文化。
• 制定全面的数据泄露响应计划，以减轻损失并改善响应
• 通过强大的安全和隐私产品满足数据安全需求。

如何主动满足数据安全需求

准备数据安全风险评估的最佳方法是使用适合组织的定制解决方案来保护敏感数据。

数据资产识别工具可以使组织能够通过自动化、实时和持久的数据分类，采取前瞻性的数据安全方法。这一强大的基础为开始数据安全风险评估创造了理想的条件。

此外，治理套件还可以监控数据并识别威胁，以确定敏感数据是否面临风险，并可以提供补救策略来解决组织内的漏洞。该软件还可以有效地满足数据主体访问请求(DSAR)，以确保遵守适用的法规。