全国信息安全标准化技术委员会：2023年网络安全标准实践指南网络数据安全风险评估实施指引（72页）.pdf

1、TC260-PG-20TC260-PG-2023231A1A网络安全网络安全标准标准实践指南实践指南网络数据安全风险评估网络数据安全风险评估实施实施指引指引（v1.0v1.0-20-2023052305）全国信息安全标准化技术委员会全国信息安全标准化技术委员会秘书处秘书处2023 年年 5 月月本文档可从以下网址获得：本文档可从以下网址获得： 范围.12 术语定义.13 风险评估概述.33.1 评估思路.33.2 评估内容.33.3 评估流程.43.4 评估手段.64 评估准备.64.1 明确评估目标.74.2 确定评估范围.74.3 组建评估团队.84.4 开展前期准备.94.5 制定评估方

2、案.105 信息调研.115.1 数据处理者调研.115.2 业务和信息系统调研.125.3 数据资产调研.125.4 数据处理活动调研.135.5 安全措施调研.146 风险识别.156.1 数据安全管理.156.2 数据处理活动.266.3 数据安全技术.386.4 个人信息保护.457 综合分析.567.1 梳理问题清单.567.2 风险分析与评价.577.3 提出整改建议.578 评估总结.578.1 评估报告.578.2 风险处置.59附录 A 典型数据安全风险类别.60附录 B 评估报告模板.6211 范围本指南给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理

3、、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估，也可为有关主管监管部门组织开展数据安全检查评估提供参考。2 术语定义2.1 网络数据网络数据通过网络处理和产生的各种电子数据，简称“数据”。2.2 数据处理者数据处理者在数据处理活动中自主决定处理目的和处理方式的个人和组织。2.3 数据安全数据安全通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。2.4 数据处理活动数据处理活动数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。2.5 网络数据安全风险评估网络数据安全风险评估对网络数据

4、和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程。2.6 委托处理委托处理2数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。2.7 共同处理共同处理两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。注：两个以上含两个。2.8 数据安全风险数据安全风险数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。2.9 合理性合理性数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，符合网络安全和数据安全常识道理。2.10 风险风险隐患隐患可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患

5、等，也称“风险源”。注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。2.11 业务业务组织为实现某项发展规划而开展的运营活动。来源：GB/T 20984-2022,3.1.42.12 自评估自评估由数据处理者自身发起，组成机构内部评估小组或委托第三方评估机构，依据有关政策法规与标准，对评估对象的数据安全风险进行3评估的活动。2.13 检查评估检查评估由数据处理者的上级主管部门、业务主管部门或国家有关主管（监管）部门发起的，依据有关政策法规与标准，对评估对象的数据安全风险进行的评估活动。3 风险评估概述3.1

6、评估评估思路思路网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险、视情评价风险，并