本标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考安全属性。

  对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。

  数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险，掌握数据安全总体状况，发现数据安全风险隐患，提出数据安全管理和技术 保护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、 数据处理活动、数据安全技术、个人隐私信息保护等方面识别风险隐患，最后梳理风险源清单，分析数据安全风险、视情评价风险，并给出整改建议。

  数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素，要素间关系如图1所示。数据和数据处理活动是数据安全风险评估的评估对象。

  信息调研：对可能影响数据安全风险的要素的情况调研，包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全保护措施。掌握数据处理者、业务和信息系统基本情况，梳理涉及的数据资产和数据处理活动，了解采取的数据安全保护措施情况，掌握被评估对象或同行业有关数据安全事件历史发生情况。

  风险识别：基于信息调研情况，从数据安全管理、数据处理活动安全、数据安全技术、个人隐私信息保护等方面做数据安全风险识别，识别评估对象现有安全措施完备性并对其有效性做验证，识别有几率存在的风险源。

  1) 数据安全风险分析，包括数据安全风险归类、风险危害程度分析、风险 发生可能性分析。

  3)风险危害程度分析，从数据价值、数据重要性、风险源危害程度等方面，综合评价风险可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度。

  4) 风险发生可能性，从风险源发生频率、安全措施有效性与完备性、风险源关联性等方面， 综合评价风险发生的可能性。

  5) 风险评价过程，一般根据风险危害程度和风险发生可能性评价数据安全风险，得到数据安 全风险级别，梳理形成数据安全风险清单。

  情形一：重要数据处理者、关键信息基础设施运营者、处理 100 万人以上个人隐私信息的个人信息处理者、大型网络站点平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护三级及以上运营者，应每年开展一次数据安全风险评估。

  情形二：数据处理者在重要数据共享、交易、委托处理或向境外提供前，应开展数据安全风险评估。

  情形三：数据处理者开展高风险数据处理活动前，宜开展数据安全风险评估，高风险数据处理活动包括 但不限于：

  1) 重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。

  2) 承载重要数据处理活动的信息系统发生架构调整、下线) 数据处理者利用生物特征进行个人身份认证。

  8) 别的可能直接危害国家安全、公共利益或者大量个人、组织合法权益的数据处理活动。

  对于已经评估过数据安全风险评估的数据处理活动，当数据范围、数据处理活动、环境、相关方等出现重大变更时，需重新开展数据安全风险评估。

  当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等出现重大变化时，应重新开 展风险评估。

  是数据安全风险评估的初始预备阶段，在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。

  ：a）摸清数据种类、规模、分布等基本情况；b）摸清数据处理活动的情况；c）发现可能会影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险；d）发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险；e）促进完善数据安全保护的方法，提升数据安全保护能力。

  ：根据工作需要和评估目标，确定数据安全风险评估的对象、范围和边界，明确评估涉及的数据资产、 数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动，评估范围可以是某个单独的业务、信息系统、部门涉及的数据和数据处理活动，可以是组织全部数据和 数据处理活动。

  ：数据处理者自行或委托第三方专业方面技术机构开展数据安全风险评估时，可组织业务、安全、法务、合规、运维、研发等有关部门参与实施，评估组长由数据安全负责人或授权代表担任，也可委托第三方专业方面技术机构实施。第三方机构在评估中获取的信息只能用于评估目的，没有经过授权不应泄露、出售或者非法向他人提供。

  ：开展数据安全风险评估前期准备时，应根据评估目标、评估范围和调研情况，制定工作规划、确定评估依据、确定评估内容、建立评估文档。

  ：评估团队编制数据安全风险评估工作方案并获得评估管理方的支持、认可，方案内容有但不限于：评估概述、评估内容和方法、评估人员、实施计划、工作要求、测试方案。

  主要用于识别数据处理者的基本情况，厘清其与业务和信息系统的关系，处理的数据和开展的数据处理活动情况，采取的数据安全保护措施。形成数据处理者基本情况、业务清 单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等，具备条件的，可绘制数据流图。

  ：数据处理者的基本情况，包括单位基本情况、单位性质、是否属于特定类型数据处理者、所属行业、业务运营地区、主体业务范围等。

  ：包括网络和信息系统基本情况、业务基础信息、业务涉及个人隐私信息及重要数据数据处理情况等。

  ：梳理结构化数据资产（如数据库表等）和非结构化数据资产（如图表文件等），摸清数据底数，输 出数据资产清单。涉及范围有但不限于生产环境、测试环境、备份存储环境、云存储环境、个人工作 终端、数据采集设备终端等收集和产生的数据。

  ：针对评估对象和范围，梳理数据处理活动清单，验证或绘制数据流图。数据流图应描述数据流转各 环节经过的相关方、信息系统，以及每个流动环节涉及的数据类型等。

  ：调研已有安全措施情况，包括已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况，及发现问题的整改情况、数据安全管理组织、人员及制度情况等。

  针对各个评估对象，从数据安全管理、数据处理活动、数据安全技术、个人隐私信息保护等方面，通过多种评估手段识别有几率存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检验测试报告等。

  ：应从数据安全管理制度、安全组织机构、分类分级管理、合作外包管理、安全威胁和应急管理、开发运维管理、云数据安全等方面识别数据安全管理风险。

  ：数据收集安全风险识别、数据存储安全风险识别、 数据传输安全风险识别、数据使用和加工安全风险识别、数据提供安全风险识别、数据公开安全风险识别、数据删除安全风险识别、其他数据处理活动安全风险识别。

  ：应从网络安全防护、身份鉴别与访问控制、检测预警、数据脱敏、数据防泄漏、数据接口安全、数 据备份与恢复、安全审计等方面识别数据安全技术风险。

  ：如被评估范围涉及个人信息处理，还应从个人信息处理根本原则、个人隐私信息告知同意、个人隐私信息处理、敏感个人隐私信息处理、个人隐私信息主体权利、个人信息安全义务、个人信息投诉举报、大型网络站点平台个人隐私信息保护等方面识别个人隐私信息保护风险。

  在风险识别基础上开展风险分析，并视情对风险进行评价，最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。典型数据安全风险类别示例

  数据安全风险评估，在信息调研基础上，围绕数据安全管理、数据处理活动安全、数据安全技术、 个人隐私信息保护等方面开展评估。

  查验安全管理制度、风险评估报告、等保测评报告等相关材料及制度落实情况的证 明材料。

  核查网络环境、数据库和大数据平台等相关系统和设施安全策略、配置、保护措施 情况。

  应用技术工具、渗透测试等手段查看数据资产情况、检测保护措施有效性。摘自：全国信安标委秘书处《信息安全技术 数据安全风险评估方法》（征求意见稿）