數(shù)據(jù)安全風險評估實務：問題剖析與解決思路

大數(shù)據(jù)技術標準推進委員會

激據(jù)安全推進計劃BigT7m＜》吶midStandardConmiilee

0DATASECURITYINITIATIVED

CONTENTS

目錄

一、數(shù)據(jù)安全風險評估工作背景

（一）數(shù)據(jù)安全風險形勢日益嚴峻01

L數(shù)據(jù)泄露：持續(xù)呈現(xiàn)高發(fā)態(tài)勢01

2數(shù)據(jù)破壞：勒索攻擊危害顯著02

3.轆竊取：繳卜‘內(nèi)鬼”作案懶02

（-）組織風險防范面臨監(jiān)管考驗02

（三）新技術應用暗藏新型風險03

二、數(shù)據(jù)安全風險評估工作現(xiàn)狀

㈠風險評估已成業(yè)界焦點05

（二）評估標準編制進程加快07

（三）評估實施方法逐漸成熟10

三、實務問題剖析與解決思路

（一）評估海備13

1.如何確定評估觸發(fā)條件13

2如何制定評估工作目標15

3.如何規(guī)劃評估實施范圍16

（二）評估實施18

1.如何獲取有效評估信息18

2如何應用風險評估工具19

3.如何開展風險評估分析20

（三）評估總結23

1.如何充分應用評沽結果23

大散據(jù)技術標海推迸委員會

(IRj數(shù)據(jù)安全推進計劃時OtdTechndbgyandSUn（WdConvnitte^

79DATASECURITYINITIATIVED

四、數(shù)據(jù)安全風險評估工作建議

（一）建立數(shù)據(jù)安全風險評估機制25

（二）構建數(shù)據(jù)安全風險治理框架25

㈢完善數(shù)據(jù)安全師僉治理體系25

附錄：中國信通院云大所實務索引27

大數(shù)據(jù)技術標準推進委員會

ngj數(shù)據(jù)安全推進計劃BgOtaT?chnoAogyandStandnrdCommittM

79DATASECURITYINITIATIVED

圖目錄

圖1數(shù)據(jù)安全風險基本要素關系11

圖2風險矩陣（示例）20

圖了數(shù)據(jù)風險治理基本框架26

表目錄

表1數(shù)據(jù)安全風險評估標準發(fā)展、演進一覽（）8

表2數(shù)據(jù)安全風險評估實施流程與產(chǎn)出物12

表了數(shù)據(jù)安全風險評估適用情形13

表4評估適用情形檢查表（示例）14

表5重點評估對象（示例）17

表6數(shù)據(jù)安全風險危害程度（節(jié)選）21

表7數(shù)據(jù)級別賦值（示例）22

表8數(shù)據(jù)安全風險危害程度等級參考（節(jié)選）23

表9安全聲明（模板）24

表10實務索引27

附㈱居安到隹曲十劃D禁鬻!然照晦

79DATASECURITYINITIATIVE

-?數(shù)據(jù)安全風險評估工作背景

全球數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，嚴重危害了國家、

社會公眾安全。針對各國政府機構、關鍵信息基礎設施的網(wǎng)絡攻擊、數(shù)據(jù)竊取等違法活動明顯

增多，數(shù)據(jù)安全事件涉及的數(shù)據(jù)以及用戶體量也在持續(xù)加大。如何有效防范數(shù)據(jù)安全風險與事

件，是全球數(shù)字經(jīng)濟發(fā)展下的重點問題。

本章節(jié)將總結國際、國內(nèi)數(shù)據(jù)安全風險形勢，分析廣大組織面臨的各類數(shù)據(jù)安全風險以及

日趨嚴格的監(jiān)管合規(guī)要求，闡述了組織加強數(shù)據(jù)安全風險防范的必要性。

(-)數(shù)據(jù)安全風險形勢日益嚴峻

1.數(shù)據(jù)泄露：持續(xù)呈現(xiàn)高發(fā)態(tài)勢

全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。統(tǒng)計數(shù)據(jù)顯示，僅2021年全球范圍內(nèi)公開披露的數(shù)據(jù)泄露事

件已超過四千起，涉及超過200億條數(shù)據(jù)。進入2023年，數(shù)據(jù)泄露的趨勢似乎并未得到緩解：

2023年4月，威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報告》顯示，僅2023年第一季度

就已發(fā)生近千余起數(shù)據(jù)泄露事件，這些事件涉及上千家組織、近四十個行業(yè)。例如，Twitter在

2023年1月遭遇了數(shù)據(jù)泄露事件，包括用戶電子郵件地址、姓名等2億條個人信息被泄露。2023

年2月，全美最大的綜合醫(yī)療服務網(wǎng)絡HeritageProviderNetwork遭遇勒索軟件攻擊，導致多

個醫(yī)療機構大量敏感信息泄露。2023年2月，Telegram各大頻道突然大面積轉發(fā)某隱私查詢機

器人鏈接，該機器人泄露了大量來自我國各快遞、電商平臺的個人信息，包含了用戶的真實姓

名、電話與住址等，數(shù)據(jù)量高達45億條。

組織數(shù)據(jù)安全保障壓力倍增。2020年，某電商的客戶數(shù)據(jù)泄露導致不法分子冒充客服對全

國二十多個城市的受害者進行了電話詐騙，受害者的被騙金額為幾千到十幾萬元不等。2023年

8月，公安部公布了打擊侵犯公民個人信息犯罪的十大典型案例，其中黑灰產(chǎn)組織竊取、利用

組織掌握的用戶個人信息實施犯罪的案例高居榜首。隨著個人信息成為黑灰產(chǎn)組織逐利的“重災

區(qū)”，組織面對無孔不入的黑灰產(chǎn)組織，在數(shù)據(jù)安全風險應對上壓力倍增。

數(shù)據(jù)泄露事件為組織帶來的損失也在逐年走高。組織數(shù)字化轉型加快，對數(shù)據(jù)依賴程度隨

之加深，數(shù)據(jù)一旦泄露給組織帶來的損失也更加嚴重。根據(jù)IBM《2023年數(shù)據(jù)泄露成本報告》

顯示，組織數(shù)據(jù)泄露事件平均成本達到445萬美元，較2022年的435萬美元增長2.3席,而較

2020年的386萬美元則足足增長了15.3%,現(xiàn)已創(chuàng)下歷史新高。

數(shù)據(jù)安全風險評估實務：問題剖析與解決思路,DATASECURITYINITIATIVE

01

大數(shù)據(jù)技術標準推進受員會

riRj㈱居安至推進計劃&gMMTochnciogyAndStandardComcrrttcw

79DATASECURITYINITIATIVED

2.數(shù)據(jù)破壞：勒索攻擊危害顯著

有針對性的數(shù)據(jù)勒索與破壞事件愈演愈烈。隨著全球各行業(yè)領域的組織數(shù)字化轉型

程度加深，其系統(tǒng)及承載的數(shù)據(jù)重要程度也隨之提升，其中的關鍵數(shù)據(jù)更是組織業(yè)務運

行命脈，一旦這些關鍵數(shù)據(jù)遭到破壞，將面臨業(yè)務中斷、信息系統(tǒng)或網(wǎng)絡服務癱瘓，嚴

重的后果可能是長期業(yè)務受損，客戶信息、商業(yè)機密等重要數(shù)據(jù)泄露，給組織帶來重大

的經(jīng)濟損失和聲譽損失。而近年來，針對政府機構、知名組織的數(shù)據(jù)勒索、破壞事件也

持續(xù)增加：2022年，哥斯達黎加政府遭遇Conli勒索軟件團伙攻擊，國家財政部數(shù)個TB

的數(shù)據(jù)以及800多臺服務器受到此次攻擊影響，國內(nèi)數(shù)字稅務服務、海關控制IT系統(tǒng)以

及醫(yī)療保健系統(tǒng)在多輪攻擊下接連癱瘓、被迫下線，導致國內(nèi)醫(yī)療保健系統(tǒng)陷入混亂。

同年，法國巴黎的一家醫(yī)院CenterHospitalierSudFrancilien(以下簡稱CHSF)遭

遇網(wǎng)絡攻擊并被勒索1000萬美元作為解密密鑰的贖金.此次攻擊直接導致了CHSF多個

業(yè)務軟件、醫(yī)學影像存儲系統(tǒng)無法訪問，大量醫(yī)療數(shù)據(jù)被加密迫使醫(yī)院推遲多臺手術計

劃，大量患者被臨時轉診至其他機構，這嚴重威脅了當?shù)氐募?、重病患者生命安全?/p>

3.數(shù)據(jù)竊取：組織“內(nèi)鬼”作案猖獗

來自“內(nèi)鬼”的數(shù)據(jù)竊取也令組織防不勝防。2023年6月6日，Verizon發(fā)布了《2023

年度數(shù)據(jù)泄露調(diào)查報告》(2023DataBreachInvestigationsReport,簡稱DBIR),

分析了從2017年以來的16312起安全事件和5199起數(shù)據(jù)泄露事件，指出74席的泄露事件

由人為因素造成的，約五分之一的數(shù)據(jù)泄露事件來自于組織的內(nèi)部。組織收集、存儲了

大量用戶的個人信息數(shù)據(jù)，一旦組織內(nèi)部出現(xiàn)了特權賬號濫用、數(shù)據(jù)權限分配不清、人

員利用越權訪問漏洞等問題，將直接導致?lián)碛袃?nèi)部人員對其獲取的數(shù)據(jù)進行不正當?shù)氖?/p>

用或者竊取。2023年5月，特斯拉兩名員工違規(guī)挪用、泄露了包括員工個人信息、客戶

銀行信息、生產(chǎn)信息在內(nèi)的100GB數(shù)據(jù)，影響超過7.5萬人。無獨有偶，2023年7月，日

本通信運營商NTTDOCOMO的承包商員工盜取了包括用戶個人信息在內(nèi)的596萬條商業(yè)信

息，這些案件均有力證明了組織“內(nèi)鬼”竊取數(shù)據(jù)的危害。

(-)組織風險防范面?曲監(jiān)管考驗

面對日益嚴峻的網(wǎng)絡數(shù)據(jù)安全風險，各國政府倡導國際、國內(nèi)或地區(qū)內(nèi)的公私部門

開展網(wǎng)絡數(shù)據(jù)安全風險防范合作。例如，2023年《聯(lián)合國打擊網(wǎng)絡犯罪公約》結合新

型網(wǎng)絡犯罪情況，要求締約國將黑客攻擊、非法數(shù)據(jù)獲取等犯罪行為納入本國刑法執(zhí)法

范圍，倡導加強網(wǎng)絡數(shù)據(jù)安全風險的跨國協(xié)作與應對。再例如，歐盟《數(shù)據(jù)治理法案》

(2022)提出歐盟境內(nèi)的公共和私營組織在共享數(shù)據(jù)時，應遵守的安全與可靠性要

求，要求及時報告數(shù)據(jù)泄露事件，防范全球數(shù)據(jù)流通帶來的數(shù)據(jù)共享風險。美國《網(wǎng)絡

安全信息分享法案(CISA)>(2015)也曾鼓勵國內(nèi)的私營組織與政府進行網(wǎng)絡威脅情報

共享，增強其網(wǎng)絡數(shù)據(jù)安全風險防御能力。

數(shù)據(jù)安全與隱私保護法規(guī)的發(fā)展對廣大數(shù)據(jù)處理者的風險防范能力提出了新要求。除了網(wǎng)

絡數(shù)據(jù)安全風險的跨國協(xié)作與應對，各國的法律法規(guī)也明確規(guī)定了國內(nèi)數(shù)據(jù)處理者的數(shù)據(jù)安全

義務、責任，要求其開展數(shù)據(jù)保護影響評估等活動，加強對用戶個人信息的保護。

DATASECURITYINITIATIVE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思￡02

大數(shù)據(jù)技術標準推進簽員會

riRj㈱居安至推進計劃的DotaTctchndogyandStandardComfnttoa

79DATASECURITYINITIATIVED

中國方面。2021年，中國《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安

全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）相繼

頒布、實施。作為數(shù)據(jù)安全領域的基礎性法律，《數(shù)據(jù)安全法》指出數(shù)據(jù)處理者開展數(shù)

據(jù)處理活動應依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)

據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。其中，重要數(shù)

據(jù)處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風

險評估報告?！秱€人信息保護法》則進一步強調(diào)了個人信息處理者的責任與義務，提出

個人信息處理者應對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息

的安全。在處理敏感個人信息等情形下，個人信息處理者還應當事前進行個人信息保護

影響評估，并對處理情況進行記錄。

歐盟方面。2018年，歐盟《通用數(shù)據(jù)保護條例》（GeneralDataProtectionReg-

ulation,以下簡稱“GDPR”）正式生效。GDPR基于其域外效力及嚴厲的行政處罰措施，

提出了個人同意'隱私權影響評估等多項數(shù)據(jù)處理合規(guī)要求，并警示其適用范圍內(nèi)的數(shù)據(jù)

處理主體嚴格履行合規(guī)義務。針對可能會為白然人權利與白由帶來高度風險的數(shù)據(jù)處理方

式，GDPR提出數(shù)據(jù)處理主體應事先進行影響評估，加強對個人敏感信息的保護，限制對

個人信息的非授權使用。

美國方面。2023年1月，美國《加州隱私權法案》（CaliforniaPrivacyRightsAct,以

下簡稱CPRA）正式生效。CPRA在《加州消費者隱私法案》（CaliforniaConsumerPrivacyAct,

簡稱CCPA）的基礎上進行了修訂，要求組織開展數(shù)據(jù)處理活動風險評估，并定期向當?shù)仉[私局提

交評估報告。此外，美國的《弗吉尼亞州消費者保護法》與《科羅拉多州隱私法》也要求，針對

可能對消費者帶來重大風險的行為，信息處理者應開展數(shù)據(jù)保護影響評估（DataProtection

ImpactAssessment,簡稱DPIA）,并在評估期間對消費者的信息進行去標識處置。

新加坡、俄羅斯、印度、巴西、韓國等多個國家也通過立法明確了數(shù)據(jù)處理者的數(shù)

據(jù)保護、風險防范以及數(shù)據(jù)保護影響評估活動等方面的要求，加強了數(shù)據(jù)處理者的監(jiān)督

和處罰，極大地推動了以上國家、地區(qū)的數(shù)據(jù)處理者提升數(shù)據(jù)安全風險防范能力，切實

保護數(shù)據(jù)安全。

三）新技術應用暗藏新型風險

新技術應用衍生新型安全風險。5G、人工智能、云計算,移動互聯(lián)網(wǎng)、大數(shù)據(jù)分析等

新興技術應用極大地推動了各行業(yè)領域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、

便利的服務，但同時也帶來了大量的安全漏洞、風險。以云計算為例。云計算通過互聯(lián)網(wǎng)

為組織提供了更加靈活、可擴展的計算和存儲服務，實現(xiàn)了資源池化、按需擴縮容的能

力，但云平臺的復雜性以及多租戶環(huán)境也存在數(shù)據(jù)隔離失效的問題，存在內(nèi)部人員越權訪

問的可能，增加了組織數(shù)據(jù)泄露的風險。再例如，5G技術的典型應用場景eMBB（增強

移動帶寬）,由于在增強現(xiàn)實（AR）、虛擬現(xiàn)實（VR）、高清視頻直播、頻等對帶寬有

DATASECURIPINITIATIVE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思,03

大數(shù)據(jù)技術標準推進受員會

盤據(jù)安全推進計劃&gMMTochnciogyAndStandardComcrrttcw

DATASECURITYINITIATIVED

極高要求的業(yè)務場景下衍生的海量數(shù)據(jù)往往涉及個人隱私數(shù)據(jù)，而傳統(tǒng)的安全基砧設施

難以適應超大流量的5G網(wǎng)絡防護以及海量用戶隱私數(shù)據(jù)保護的安全需求。

新興技術的監(jiān)管措施與規(guī)范的不完善也可能導致數(shù)據(jù)安全風險。部分處于萌芽期的

新興技術可能因其配套的監(jiān)管措施與技術規(guī)范尚未完善，在實際應用過程中為組織、個

人帶來尚未被公眾充分認識的數(shù)據(jù)安全風險，導致安全事件一旦發(fā)生，出現(xiàn)責任主體判

定難、治理成本高等問題。以生成式A1為例。其在文本、圖片或視頻生成等領域中得到

了廣泛的應用，但如果在學習訓練階段缺乏監(jiān)管，該技術可能會因其對個人信息進行深

度加工、價值挖掘，導致個人信息被違規(guī)利用或個人信息主體的權益遭到侵害，帶來個

人信息泄露的安全風險。針對這一問題，2023年7月我國國家互聯(lián)網(wǎng)信息辦公室（以下

簡稱“國家網(wǎng)信辦”）發(fā)布了《生成式人工智能服務管理暫行辦法》，明確了數(shù)據(jù)訓練的

要求，強調(diào)涉及個人信息的訓練數(shù)據(jù)處理活動須遵守法律和監(jiān)管要求一一這一定程度上

推動了生成式A1技術的安全、合規(guī)應用，但對于如何防范其可能引發(fā)的數(shù)據(jù)安全風險問

題，仍需產(chǎn)業(yè)界的持續(xù)探索。

據(jù)安全風險評估實務：問題剖析與解決思路DATASECURITYINH1AT1VE04

⑹散悔安全幗計劃D娉型警配晦

DATASECURITYINITIATIVE

二.數(shù)據(jù)安全風險評估工作現(xiàn)狀

隨著我國數(shù)字經(jīng)濟的快速發(fā)展、傳統(tǒng)業(yè)務的數(shù)字化轉型以及數(shù)據(jù)價值化加速推進，結

合全球數(shù)據(jù)安全風險的整體形勢，數(shù)據(jù)安全風險的識別、評估與應對已成為我國廣大組織

面臨的最緊迫、最根本的問題，受到了國家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視。

本章節(jié)將總結國內(nèi)數(shù)據(jù)安全風險評估工作落地情況，介紹數(shù)據(jù)安全風險評估的相關標準

與實施方法，為相關數(shù)據(jù)處理者、服務機構初步建立數(shù)據(jù)安全風險評估實施的整體認知。

（一）風險評估已成業(yè)界焦點

國家層面，推進數(shù)據(jù)安全風險評估工作勢在必行。國家法規(guī)鼓勵開展數(shù)據(jù)安全風險評估，

《數(shù)據(jù)安全法》提出了國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息

共享、監(jiān)測預警機制，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全

缺陷、漏洞等風險時，應當立即采取補救措施，強調(diào)了對風險信息的監(jiān)測與評估是把控

數(shù)據(jù)安全風險的首要途徑C

多部門提出數(shù)據(jù)安全風險評估工作要求。為了規(guī)范數(shù)據(jù)處理活動，防范重大數(shù)據(jù)安全風

險，中華人民共和國國務院（以下簡稱“國務院”）、國家網(wǎng)信辦、工業(yè)和信息化部（以

下簡稱“工信部”八中國人民銀行、國家醫(yī)療保障局等監(jiān)管部門、行業(yè)主管部門相繼發(fā)

布了數(shù)據(jù)安全保護工作要求，提出數(shù)據(jù)處理者應建立健全數(shù)據(jù)安全風險評估機制，開展

風險評估工作，及時消除風險隱患。包括《關鍵信息基礎設施安全保護條例》《汽車數(shù)

據(jù)安全管理若干規(guī)定（試行）》《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》《工業(yè)和信

息化領域數(shù)據(jù)安全管理辦法（試行）》《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征

求意見稿）》等多項文件也進一步明確了關鍵信息基礎設施的運營者、重要數(shù)據(jù)處理者

以及特定情形下的個人信息處理者等重點主體應按照有關規(guī)定，定期開展風險評估，報

送評估報告的具體工作要求。

關鍵信息基礎設施運營者每年開展風險評估c國務院令第745號《關鍵信息基礎設施

安全保護條例》要求關鍵信息基礎設施運營者每年至少進行一次網(wǎng)絡安全檢測和風險評

估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況。

重要數(shù)據(jù)處理者定期開展數(shù)據(jù)安全評估?！稊?shù)據(jù)安全法》在第三十條明確了重要數(shù)據(jù)

的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風

險評估報告。2022年，國家網(wǎng)信辦發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》,

要求組織的數(shù)據(jù)安全管理機構定期開展數(shù)據(jù)安全宣傳教育培訓I、風險評估、應急演練等

活動。涉及處理重要數(shù)據(jù)或者赴境外上市的，數(shù)據(jù)處理者應每年開展一次數(shù)據(jù)安全評估。

DATASECURITYINITIATIVE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思105

附㈱居安到隹曲十劃D段鬻徽鸚蟠

79DATASECURITYINITIATIVE

主管部門應定期組織開展本行業(yè)、本領域的數(shù)據(jù)安全風險評估，對數(shù)據(jù)處理者履行數(shù)據(jù)

安全保護義務情況進行監(jiān)督檢查，指導督促數(shù)據(jù)處理者及時對存在的風險隱患進行整

改。工信部發(fā)布的《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》也提出，工信領域

的重要數(shù)據(jù)和核心數(shù)據(jù)處理者應每年對其數(shù)據(jù)處理活動至少開展一次風險評估，及時整

改風險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告。

個人信息處理者應結合具體情形開展安全評估或者個人信息保護影響評估?！秱€人信

息保護法》明確了個人信息處理者在特定的情形下需要通過國家網(wǎng)信部門組織的安全評

估或者開展個人信息保護影響評估的要求：例如，第四十條提出了關鍵信息基礎設施運

營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，在確需將在中華人

民共和國境內(nèi)收集和產(chǎn)生的個人信息向境外提供的情形下，應通過國家網(wǎng)信部門組織的

安全評估。而第五十五條則明確了在處理敏感個人信息、利用個人信息進行自動化決策

等五種具體情形下，個人信息處理者應事前進行個人信息保護影響評估，并對處理情況

進行記錄，并進一步規(guī)定了個人信息保護影響評估的內(nèi)容、報告和處理記錄留存等具體

要求。

如涉及向境外提供境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的數(shù)據(jù)處理者開展數(shù)據(jù)出境

風險自評估。此類數(shù)據(jù)處理者需要按照國家網(wǎng)信辦《數(shù)據(jù)出境安全評估辦法》,開展數(shù)

據(jù)出境風險自評估開展數(shù)據(jù)出境風險自評估，并向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評

估。數(shù)據(jù)處理者需要在風險自評估環(huán)節(jié)，重點評估其出境數(shù)據(jù)的規(guī)模、范圍、種類、敏

感程度、數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險以及

數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露等風險等方面內(nèi)容。

地方層面，多地積極響應數(shù)據(jù)安全風險評估工作。北京、貴州、天津、海南、山西、

吉林、安徽、山東、深圳、上海等省市地區(qū)紛紛頒布相關數(shù)據(jù)條例、管理辦法等文件，

積極落實國家法律法規(guī)要求，推動當?shù)財?shù)據(jù)處理者開展風險評估工作。2019年天津市互

聯(lián)網(wǎng)信息辦公室印發(fā)的《天津市數(shù)據(jù)安全管理辦法（暫行）》在第七條提出數(shù)據(jù)運營者

應當開展數(shù)據(jù)安全風險評估的要求，并在第十七條強調(diào)數(shù)據(jù)運營者如向境外提供個人信

息和重要數(shù)據(jù)，應按照相關法律法規(guī)的規(guī)定開展安全評估。2021年11月，上海市第十五

屆人民代表大會通過了《上海市數(shù)據(jù)條例》。其中，第八十一條提出重要數(shù)據(jù)處理者應

按照規(guī)定，定期對其數(shù)據(jù)處理活動開展風險評估，井依法向有關土管部門報送風險評估

報告的要求。其他的省市地區(qū)（例如：遼寧、安徽、山東、蘇州、深圳、廈門等）也均

在其數(shù)據(jù)條例等文件中強調(diào)了開展數(shù)據(jù)處理活動的組織定期進行數(shù)據(jù)安全風險評估，提

高風險識別與處置能力，嚴格落實個人信息合法使用、數(shù)據(jù)安全使用承諾和重要數(shù)據(jù)出

境安全管理等相關要求。

由此可見，數(shù)據(jù)安全風險評估在國家建立健全數(shù)據(jù)安全治理體系中起到了關鍵作用：數(shù)

據(jù)安全風險評估推動了各行業(yè)、領域的廣大數(shù)據(jù)處理者合法、正當?shù)亻_展數(shù)據(jù)處理活動，

在提高數(shù)據(jù)處理者的數(shù)據(jù)安全保障能力，防范重大數(shù)據(jù)安全風險等方面具有重要的意義。

DATASECURIPINITIATIVE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思;06

附㈱居安到隹曲十劃D鬻您照里噂

79DATASECURITYINITIATIVE

㈡詡酶淄物I］進微口快

為更好地響應廣大數(shù)據(jù)處理者的需求、落實數(shù)據(jù)安全風險評估的法定要求，國家、地

方數(shù)據(jù)安全監(jiān)管機構以及相關行業(yè)組織也相繼發(fā)布了具體的數(shù)據(jù)安全風險評估實施指

引、標準以及實踐指南等文件，積極推動數(shù)據(jù)安全風險評估標準與指南的研究與制定工

作。

國家標準編制進程持續(xù)加速。2022年3月，全國信息安全標準化技術委員會：以下

簡稱“全國信安標委”）啟動了國家標準《信息安全技術數(shù)據(jù)安全風險評估方法》（以下簡

稱《數(shù)據(jù)安全風險評估方法（征求意見稿）》）的編制工作，并于2023年8月面向社會公

眾公開征求意見。

《數(shù)據(jù)安全風險評估方法（征求意見稿）》基于國家標準GB/T20984-2022《信息

安全技術信息安全風險評估方法》（以下簡稱《信息安全風險評估方法》）的框架、流

程與實施方法，考慮了數(shù)據(jù)和數(shù)據(jù)處理活動的特點，借鑒了68/137988-2019《信息安

全技術數(shù)據(jù)安全能力成熟度模型》、GB/T35273-2020《信息安全技術個人信息安全

規(guī)范》、JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等國家、行業(yè)標準，

最終從管理、數(shù)據(jù)處理活動、技術等維度入手，結合核心數(shù)據(jù)、重要數(shù)據(jù)、個人信息、

一般數(shù)據(jù)的安全特點與保護要求，提出了數(shù)據(jù)安全風險評估的基本概念、要素關系、分

析原理、實施流程、評估內(nèi)容、分析與評價方法等方面的內(nèi)容。

此外，2023年5月，全國信安標委還編制、發(fā)布了《TC260-PG-20231A網(wǎng)絡數(shù)據(jù)

安全實踐指南一一網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》（以下簡稱《網(wǎng)絡數(shù)據(jù)安全風險評

估實施指引》），為廣大組織與專業(yè)服務機構提供了風險評估的實施流程、實施方法、

評估內(nèi)容等具體指導。

多個行業(yè)的數(shù)據(jù)安全風險評估標準持續(xù)完善。數(shù)據(jù)安全風險與行業(yè)領域數(shù)據(jù)的應用

場景息息相關。為了更好地指導業(yè)內(nèi)的廣大數(shù)據(jù)處理者有效識別、評估數(shù)據(jù)安全風險，

因地制宜地加強自身的風險防范能力，一些行業(yè)主管部門也在持續(xù)推進行業(yè)數(shù)據(jù)安全風

險評估方法的編制工作。

以電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)為例。2020年，工信部發(fā)布了YD/T3801-2020《電信網(wǎng)和互

聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》標準。該標準同樣參考了《信息安全風險評估方法》，

將數(shù)據(jù)作為核心保護對象，面向電信網(wǎng)和互聯(lián)網(wǎng)的典型數(shù)據(jù)應用場景，提煉了電信網(wǎng)和互

聯(lián)網(wǎng)數(shù)據(jù)安全風險的基本要素及要素間的關系，提供了電信網(wǎng)和互聯(lián)網(wǎng)組織實施數(shù)據(jù)安全

風險評估的具體流程、操作方法與風險分析思路。此外，YD/T3956-2021?電信網(wǎng)和互

聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》、YD/T4241-2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估技術實施指

南》等行業(yè)標準也提供了對電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡單元以及業(yè)務系統(tǒng)進行安全評估的方法，

為業(yè)內(nèi)組織開展數(shù)據(jù)安全風險評估、現(xiàn)有安全措施評估等工作提供了參考依據(jù)。

DATASECURITYINITIATIVE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思07

大數(shù)據(jù)技術標準推進受員會

盤據(jù)安全推進計劃&gMMTochnciogyAndStandardComcrrttcw

DATASECURITYINITIATIVED

再例如金融行業(yè)。近年，中國人民銀行陸續(xù)發(fā)布了JR/T0223-2021《金融數(shù)據(jù)安全

數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全評估規(guī)范（征求意見稿）》等標準，

充分結合金融業(yè)機構的組織特點、數(shù)據(jù)及其處理活動的特征，提供了金融業(yè)機構開展數(shù)

據(jù)安全風險評估相關工作的實施流程、重點評估事項，在有效指導金融業(yè)機構及時識別

數(shù)據(jù)安全風險，防范數(shù)據(jù)安全事件的同時，也推動金融業(yè)機構充分落實金融業(yè)數(shù)據(jù)安全

管理要求，提升數(shù)據(jù)安全保護工作水平，為各機構實施數(shù)據(jù)安全風險評估相關的工作提

供了重要的參考。上述風殮評估標準的發(fā)展與演進見表1。

表1數(shù)據(jù)安全風險評估標準發(fā)展、演進一覽

標準名稱發(fā)布時間標準價值

?明確了風險評估實施方法

說明：提出了信息安全風險評估的基本概念、風險要素關

系、風險分析原理、風險評估實施流程和方法，以及風險

2007年首次發(fā)評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形

GB/T20984-2022

布式。

《信息安全技術

?構建了風險評估整體框架

信息安全風險評

2022年更新、說明：從風險要素關系、風險分析原理、風險評估流程三

估方法》實施方面構建了風險評估框架。

?制定了風險評估實施流程

說明：實施流程包括評估準備、風險識別、風險分析、風

險評價四個階段。溝通與協(xié)商、文檔記錄作為必要的手

段，貫穿整個評估實施流程。

?明確了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施要點

說明：基于《信息安全風險評估方法》，總結了電信網(wǎng)和

互聯(lián)網(wǎng)的數(shù)據(jù)威脅、脆弱性、己有安全措施等要素識別內(nèi)

容、風險要素關系。

-提出了對電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)應用場景的識別要求

YD/T3801-2020說明：提出風險評估依賴數(shù)據(jù)所涉及的各應用場景，認為

《電信網(wǎng)和互針對已識別的待評估數(shù)據(jù)資產(chǎn)，需要對數(shù)據(jù)應用場景中的

聯(lián)網(wǎng)數(shù)據(jù)安全業(yè)務流程或使用流程、數(shù)據(jù)活動、參與主體進行識別，進

2020年發(fā)布

風險評估實施而識別、分析場景內(nèi)的數(shù)據(jù)威脅、脆弱性等風險要素。

方法》?細化了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施流程

說明：將風險評估實施作為一個單獨階段，與風險處置、

殘余風險評估共同構成整個實施流程三個階段，在評估實

施階段明確了評估準備、數(shù)據(jù)資產(chǎn)識別、數(shù)據(jù)應用場景識

別、數(shù)據(jù)威脅識別、脆弱性識別、已有安全措施識別、風

險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定了電信網(wǎng)和互

聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施的整體流程。

DATASECURITYINEATIVE

實務：問題剖析與解決思將08

大數(shù)據(jù)技術標準推進受員會

nsi取據(jù)安全推進計劃叼MMTochnciogyAndStandardComcrrttcw

79DATASECURITYINITIATIVED

標準名稱發(fā)布時間標準價值

?明確了政務數(shù)據(jù)安全風險評估實施要點

說明：基于《信息安全風險評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)

數(shù)據(jù)安全風險評估實旅方法》，參考GB/T37973-2019

《信息安全技術大數(shù)據(jù)安全管理指南》等標準，結合政務

數(shù)據(jù)分級要求，分析政務數(shù)據(jù)在全生命周期內(nèi)面臨的安全

威脅、安全脆弱性、安全措施等要素識別內(nèi)容、風險要素

DB3212/T1117-關系。

2022-提出了政務系統(tǒng)資產(chǎn)的識別要求

《政務數(shù)據(jù)安說明：基于《信息安全風險評估方法》的風險要素與評估

全風險評估規(guī)2022年發(fā)布實施流程，提出了在評估實施階段根據(jù)政務數(shù)據(jù)安全管理

范》的目標與原則，進行政務數(shù)據(jù)分類與分級，并將系統(tǒng)資產(chǎn)

價值與安全威脅、安全脆弱性等其他風險要素一并進行識

別、賦值。

?細化了政務數(shù)據(jù)安全風險評估實施流程

說明：基于評估準備、評估實施、風險分析與評價、編制

報告四個階段，分別明確了評估準備、數(shù)據(jù)資產(chǎn)識別、數(shù)

據(jù)應用場景識別、數(shù)據(jù)威脅識別、脆弱性識別、已有安全

措施識別、風險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定

/政務數(shù)據(jù)安全風險評估實施的整體流程。

擴展了風險評估的目標

說明：結合當前國家法律法規(guī)的最新要求，在《信息安全

風險評估方法》對組織的業(yè)務以及系統(tǒng)、平臺等資產(chǎn)的安

全風險進行評估、分析這一目標的基礎上，提出數(shù)據(jù)安全

風險評估的目標還包括落實法律法規(guī)義務，保護關鍵信息

TC260-PG-2023基礎設施或個人信息主體權益等方面的內(nèi)容。

1A《網(wǎng)絡安全標?提供了更加清晰的檢查項作為風險評估實施要點

準實踐指南一一說明：提供了數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技

網(wǎng)絡數(shù)據(jù)安全風

2023年發(fā)布術、個人信息保護相關的檢查項，與《信息安全風險評估

險評估實施指方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》以

引》及GB/T39335-2020《信息安全技術個人信息安全影響評

估指南》等側重于方法論構建的評估標準文件形成互補、

銜接。

?提供了自評估與檢查評估兩套實施流程

說明：明確了在自評估與檢查評估兩種情況卜的評估目標

確立、評估方案策劃、風險分析評價等具體環(huán)節(jié)的實施差

異。

DATASECUREINEAT1VE

數(shù)據(jù)安全風險評估實務：問題剖析與解決思09

大數(shù)據(jù)技術標準推進受員會

nsi取據(jù)安全推進計劃叼MMTochnciogyAndStandardComcrrttcw

79DATASECURITYINITIATIVED

標準名稱發(fā)布時間標準價值

?進一步擴展了風險要素的范圍：結合數(shù)據(jù)以及數(shù)據(jù)處理

活動的特點，提出了數(shù)據(jù)安全風險評估涉及的風險要素包

括數(shù)據(jù)處理者、業(yè)務、信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動、

風險源、安全措施。

?提出了“風險源”的概念：結合數(shù)據(jù)以及數(shù)據(jù)處理活動的

YD/T380