TC260-PG-20231A 网络安全标准实践指南—网络数据安全风险评估实施指引（v1.0-202305）.pdfVIP

TC260-PG-20231A 网络安全标准实践指南 —网络数据安全风险评估实施指引 （v1.0-202305） 全国信息安全标准化技术委员会秘书处 2023年5月 本文档可从以下网址获得： / 前 言 《网络安全标准实践指南》（以下简称 《实践指南》）是 全国信息安全标准化技术委员会 （以下简称“信安标委”）秘 书处组织制定和发布的标准相关技术文件，旨在围绕网络安 全法律法规政策、标准、网络安全热点和事件等主题，宣传 网络安全相关标准及知识，提供标准化实践指引。 I 声 明 本 《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译 《实践指南》的 任何部分。凡转载或引用本 《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本 《实践指南》得到中国电子技术标准化研究院、国家 信息技术安全研究中心、国家计算机网络应急技术处理协调 中心、国家工业信息安全发展研究中心等单位的技术支持。 II 摘 要 为指导网络数据安全风险评估工作，发现数据安全隐 患，防范数据安全风险，依据《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息 保护法》等法律法规，参照数据安全相关国家标准，制定本 指南。 本指南给出了网络数据安全风险评估思路、工作流程和 评估内容，可用于指导数据处理者、第三方机构开展数据安 全评估，也可为有关主管监管部门组织开展检查评估提供参 考。 III 目 录 前 言 I 技术支持单位 II 1 范围1 2 术语定义1 3 风险评估概述3 3.1 评估思路3 3.2 评估内容3 3.3 评估流程4 3.4 评估手段6 4 评估准备6 4.1 明确评估目标7 4.2 确定评估范围7 4.3 组建评估团队8 4.4 开展前期准备9 4.5 制定评估方案10 5 信息调研11 5.1 数据处理者调研11 5.2业务和信息系统调研12 5.3 数据资产调研12 5.4 数据处理活动调研13 5.5 安全措施调研14 6 风险识别15 6.1 数据安全管理15 6.2 数据处理活动26 6.3 数据安全技术38 6.4 个人信息保护45 7 综合分析56 7.1 梳理问题清单56 7.2 风险分析与评价57 7.3 提出整改建议57 8 评估总结57 8.1 评估报告57 8.2 风险处置59 附录A 典型数据安全风险类别60 附录B 评估报告模板62 IV 1 范围 本指南给出了网络数据安全风险评估思路、工作流程和评估内 容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息 保护等方面评估安全风险。 本指南适用于指导数据处理者、第三方机构开展风险评估，也可 为有关主管监管部门组织开展数据安全检查评估提供参考。 2 术语定义 2.1 网络数据 通过网络处理和产生的各种电子数据，简称“数据”。 2.2数据处理者 在数据处理活动中自主决定处理目的和处理方式的个人和组织。 2.3数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态， 以及具备保障持续安全状态的能力。 2.4数据处理活动 数据的收集、存储、使用、加工、传输、提供、公开、删除等活 动。 2.5 网络数据安全风险评估 对网络数据和数据处理活动安全进行风险识别、风险分析和风险 评价的整个过程。 2.6委托处理