GBT-信息安全技术 数据安全风险评估方法.pdf

ICS35.030

CCSL80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术数据安全风险评估方法

Informationsecuritytechnology—Riskassessmentmethodfordatasecurity

（征求意见稿）

（本稿完成时间：2023年8月20日）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

目次

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5通则3

5.1概述3

5.2风险要素关系3

5.3风险分析原理4

5.4评估适用情形4

5.5评估实施流程5

5.6评估内容框架6

5.7评估手段7

6数据安全风险评估准备7

6.1确定评估目标7

6.2确定评估范围7

6.3组建评估团队8

6.4开展前期准备8

6.5制定评估方案9

7信息调研9

7.1数据处理者调研9

7.2业务和信息系统调研9

7.3数据资产调研10

7.4数据处理活动调研10

7.5安全防护措施识别11

8风险识别11

8.1通则11

8.2已开展测评工作结论分析11

8.3数据安全管理12

8.4数据处理活动安全12

8.5数据安全技术13

I

GB/TXXXXX—XXXX

8.6个人信息保护13

9风险分析与评价13

9.1通则13

9.2数据安全风险分析13

9.3数据安全风险评价16

9.4数据安全风险清单17

10评估总结17

10.1编制评估报告17

10.2风险处置建议18

10.3残余风险分析18

附录A（规范性）典型数据安全风险类别19

附录B（规范性）数据安全风险量化分析与评价方法21

附录C（资料性）数据安全风险评估报告模板22

参考文献25

II

GB/TXXXXX—XXXX

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本文件起草单位：中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急

技术处理协调中心、国家工业信息安全发展研究中心、阿里巴巴（北京）软件服务有限公司、中国信息

安全测评中心、国家信息中心、中国科学院信息