202407月整理-数据安全风险评估实务.docx

日固崴据安呈椎划

D 大据技本准推委

BigData

:

剖

据安全推 划

CCSATC601大据技 准推委

2023年12月

版 权 声 明

报告愿景及目标

全球数字经济持续发展，我国数字化转型加速推进，数据要素市场化进度加快。然而，数据泄露、数据破坏、数据滥用等安全事件频繁发生，这严重危害了国家、社会公众安全，数据安全风险防范的重要性日益凸显。

随着网络安全、数据安全领域的法律法规相继颁布，强调数据处理者应依法依规开展数据处理活动，建立健全数据安全管理制度，加强数据安全风险监测与防范，定期开展数据安全风险评估，数据安全风险的评估与治理已成为业内各方最为关切的话题。然而，尽管大量的法规、标准提供了丰富的理论指引，数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段，成因错综复杂，严重影响了组织的数据安全风险评估工作落地，长期来看不利于组织数据安全风险治理能力的持续提升。

在此背景下，数据安全推进计划（DSI）联合中国通信标准化协会大数据技术标准推进委员会（CCSATC601），携手业内众多专家撰写了本报告。本报告旨在解决数据安全风险评估实务中的诸多问题，介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法，提炼了数据安全风险评估工作的具体实施流程，并以评估实施流程为主线，系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的具体实务问题，并提出问题解决思路，为数据处理者、评估机构的数据安全风险评估实务提供参考，为相关数据处理者、服务机构纾难解惑，增强产业界信心。

由于编制时间仓促、水平有限，报告难免存在疏漏，欢迎大家批评指正。

\h联系方式：gongshir\han@caict.ac.cn

编制单位

中国信息通信研究院云计算与大数据研究所、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国联合网络通信有限公司研究院、中国移动通信集团江苏有限公司、中国人寿保险（集团）公司、中国平安人寿保险股份有限公司、华泰证券股份有限公司、天翼电子商务有限公司、西部证券股份有限公司、中国航天科工集团航天情报与信息研究所、国家电网有限公司、重庆长安汽车股份有限公司、赛力斯集团股份有限公司、北京银行股份有限公司、北京五八信息技术有限公司、杭州美创科技股份有限公司、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、联通数字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限责任公司、腾讯科技（深圳）有限公司、北京亿赛通科技发展有限责任公司、北京塔斯数据技术有限公司、天道金科股份有限公司、杭州薮猫科技有限公司、深圳市联软科技股份有限公司、北京数字认证股份有限公司、杭州数梦工场科技有限公司、安徽辰图大数据科技有限公司、北京数安行科技有限公司、北京炼石网络技术有限公司、南京聚铭网络科技有限公司、杭州安恒信息技术股份有限公司、阿里云计算有限公司、厦门服云信息科技有限公司、深圳市华傲数据技术有限公司、杭州极盾数字科技有限公司。

编制工作组

龚诗然、张亚兰、李雪妮、李天阳、张越、郝志婧、刘雪花

编制专家

龚诗然、张亚兰、温暖、王勇、李冰、王志宇、周莹、李文琦、刘飞龙、钱江洪、陈豪、曹咪、陶冶、吴璟、姬长鹏、刘洋、张啸雷、马宁、张扬、柯淑馨、江旺、张炎、周思佳、谢云鹏、洪雪莲、许琛超、邢骁、姜娜、全晓东、李超、张立鹏、张强强、刘斌、苏辉、李鹏、王会宴、杨力、王思涵、朱梦瑶、李娜（北京银行）、王基安、刘蕾、柳遵梁、应以峰、叶桦、朱朔漫、楚赟、苏文亭、梁伟、王玮、艾龙、谢雄、马明、赵宁、周莉、王笑晨、任兴、崔玲龙、何徐麒、曾云、崔壤丹、李滨、姬生利、乐元、张林成、刘灿、张艺伟、梁步庭、李楷、胡国华、卓柳俊、王振东、张红露、王同新、张赣、毛靖文、傅娅兰、陈洪运、宫小茜、郭丽颖、胡嘉伟、甘长华、翟培康、关中华、项宇欣、刘玉红、赵倩、唐开达、陈虎、高柱、徐道晨、李娜（阿里云）、杨智垄、何旭珩、查浩奇。

CONTENTS

目 录

一、数据安全风险评估工作背景

(一)数据安全风险形势日益严峻 01

数据泄露：持续呈现高发态势 01

数据破坏：勒索攻击危害显著 02

数据窃取：组织“内鬼”作案猖獗 02

(二)组织风险防范面临监管考验 02

(三)新技术应用暗藏新型风险 03

二、数据安全风险评估工作现状

(一)风险评估已成业界焦点 05

(二)评估标准编制进程加快 07

(三)评估实施方法逐渐成熟 10

三、实务问题剖析与解决思路

(一)评估