《信息安全技术数据安全风险评估方法》征求意见稿

中科至善 2023-10-18

今年8月20日，国家市场监督管理总局与国家标准化管理委员会发布的国家标准《信息安全技术数据安全风险评估方法》（征求意见稿）。为确保标准质量，信安标委秘书处面向社会广泛征求意见，截止时间为2023年10月20日。

《信息安全技术数据安全风险评估方法》（征求意见稿）给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险，掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理风险源清单，分析数据安全风险、视情评价风险，并给出整改建议。

数据安全风险评估流程，主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段，如图1 所示：

图 1 数据安全风险评估实施流程

数据安全风险评估，在信息调研基础上，围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图 1 所示。

图2 数据安全风险评估内容框架图

附录给出了常见数据安全风险类别，如数据泄露风险、数据篡改风险、数据破坏风险、数据丢失风险等。

数据安全风险评估报告主要内容（模板）

一、评估概述
1.1 评估目的
1.2 评估依据
1.3 评估对象和范围
说明评估对象的选择原则，描述评估对象和评估范围。
1.4 评估结论概要
说明数据和数据处理活动的概要情况，评估结果概要。
二、评估工作开展情况
2.1 评估人员情况
说明评估工作组织和评估团队人员情况，被评估方参与人员情况。
2.2 评估时间安排情况
说明本次评估工作的时间进度安排，描述各阶段完成的任务、工作成果和时间节点等内容。
2.3 评估工具和环境情况
说明使用的评估工具，接入的网络或系统环境、技术测试内容等情况。
三、信息调研情况
按照本文件第 7 章内容说明信息调研情况。
3.1 数据处理者基本情况
说明数据处理者的机构实体基本情况。
3.2 业务和信息系统情况
说明主营业务、信息系统、App 和网络拓扑等情况。
3.3 数据资产情况
说明数据资产、数据分类分级，涉及个人信息、重要数据、核心数据目录等情况。
3.4 数据处理活动情况
说明数据收集、数据存储、数据使用、数据加工、数据传输、数据提供、数据公开、数据删除、数据出境情况。针对评估对象结合实际情况画出数据流转图。

3.5 安全措施情况
说明已开展的安全测评认证和核实情况，数据安全管理机构、人员及制度情况，网络和数据安全主要措施。
四、数据安全风险识别
按照本指南第 6 章内容，从数据安全管理、处理活动、技术、个人信息处理等方面，说明各评估对象的风险隐
患或安全问题，如有必要可附上关键证据材料。
4.1 数据安全管理风险识别
4.2 数据处理活动风险识别
4.3 数据安全技术风险识别
4.4 个人信息处理风险识别
五、风险分析与评价
按照本指南第 7 章，针对本报告第 4 章发现的问题隐患，参考附录 A 分析数据安全风险，视情进行风险评价，
提出整改建议。具体风险分析和评价方法，可参考数据安全风险评估方法国家标准。
5.1 风险分析
5.2 风险评价（可选）
5.3 整改建议
附录 XXXX
附录可给出完整的数据安全风险源清单，根据实际需要提供评估底稿，或者补充相应的证据材料等。