数据安全重要数据风险评估报告v1.0.docx

XXX系统重要数据 风险评估报告 所属部门： XXX公司XX部 受评系统： XX系统 完成时间： 2022年XX月XX日  目次 TOC \o 1-3 \h \z \u 5141 一、 评估报告摘要 4 13189 二、 评估方案概述 4 14939 2.1. 评估背景 4 3031 2.2. 评估依据 4 25884 2.3. 评估原则 5 12555 2.4. 评估内容 6 17206 2.5. 评估流程 11 29504 2.6. 评估方法 12 5682 2.7. 人员组成 16 8214 2.8. 实施计划 16 18031 三、 评估对象范围 16 29383 3.1. 支撑信息系统描述 16 3397 3.1.1. 系统功能概述 16 9773 3.1.2. 系统架构图 17 3457 3.2. 重要数据种类数量 17 16333 3.3. 重要数据处理场景 19 13503 四、 数据安全风险识别 20 9308 4.1. 合规性评估 20 21591 4.1.1. 合法正当性评估 20 18786 4.1.2. 基线要求差异分析 21 5888 4.2. 安全风险分析 76 13530 4.2.1. 风险源识别 76 24670 4.2.2. 安全影响分析 79 17162 五、 数据安全风险分析与评价 80 19979 5.1. 数据安全风险分析 80 11241 5.2. 数据安全风险评价 80 3550 5.2.1. 风险危害程度评价 80 19649 5.2.2. 风险发生可能性评价 81 7039 5.2.3. 安全风险等级评价 81 8190 5.3. 数据安全风险清单 82 18314 六、 风险评估计算 82 23614 七、 风险评估结论 83 15562 7.1. 风险处置建议 83 15650 7.2. 残余风险分析 83  评估报告摘要 为履行《网络安全法》、《数据安全法》关于重要数据安全管理的要求，确保企业重要数据安全管理工作合法合规，依据《电信领域重要数据风险评估指南》通过访谈、检查、测试等方式，对本系统涉及的重要数据处理活动开展了安全风险评估工作。 评估发现本系统涉及的重要数据处理活动，处理重要数据的目的、范围、方式均合法、正当、必要；综合分析数据安全事件发生的可能性等级以及对国家、经济、网络、社会、科技安全影响程度两个方面的因数，研判得出本系统涉及的重要数据处理活动安全风险等级为：低风险。 本系统涉及重要数据处理活动的网络环境和技术措施、管理制度和处理流程、参与人员和第三方管理、业务特点和安全态势目前均处于可控状态，可有效降低重要数据泄露、损毁等风险。但跨域数据传输方面仍存在不足,尚需进一步改进。 评估方案概述 评估背景 近年来数据泄露事件频发，危害公民权益和生命财产安全，更对国家安全、社会经济和公共秩序造成严重影响。 针对重要数据安全，国家“十四五”规划强调保障国家数据安全加强个人信息保护，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用。在法律法规方面国家已出台《网络安全法》、《数据安全法》等一系列法律法规。同时为确保数据安全工作落实到位，工信部在《省级基础电信企业网络与信息安全工作考核要点与评分标准》对电信领域企业重要数据安全管提出了监管要求。 为履行《网络安全法》、《数据安全法》要求的社会责任，进一步加强重要数据安全管理工作，提高数据安全保护水平，确保企业重要数据安全管理工作合法合规，根据工信部监管要求以及《电信领域重要数据风险评估指南》，特组织开展了本次重要数据安全风险评估工作。 评估依据 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《网络安全等级保护基本要求》GB/T 22239-2019 《电信网和互联网数据安全通用要求》YD/T 3802-2020 《电信领域重要数据和核心数据识别指南(试行)》 《电信领域数据安全保护指南（征求意见）》 《电信领域重要数据风险评估指南（征求意见）》 评估原则 电信领域重要数据风险评估坚持定期评估与持续监督相结合，风险评估与结果报备相结合，按照有关法律、行政法规规定，参照有关国家标准、行业标准要求，遵循公正、客观、有效的原则开展重要数据风险评估，保障重要数据安全，促进数据依法有序流动。 数据安全风险评估，旨在掌握数据安全总体状况，发现存在的数据安全风险和违法违规问题，为进一步健全数据安全管理