YD_T 3801-2020 电信网和互联网数据安全风险评估实施方法.docx

ICS 35.020 L80 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3801—2020 电信网和互联网 数据安全风险评估实施方法 Data security risk assessment implementation for telecommunications and Internet 2020-12-09发布 2021-01-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3801—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 数据安全风险评估概述 2 4.1 数据安全风险评估原则 2 4.2 风险评估各要素之间的关系 2 4.3 风险评估原理 3 4.4 数据安全风险评估流程 4 5 数据安全风险评估实施 5 5.1 评估工作准备 5 5.2 数据资产识别 6 5.3 数据应用场景识别 7 5.4 数据威胁识别 8 5.5 脆弱性识别 12 5.6 已有安全措施识别 14 5.7 数据安全威胁与脆弱性利用关系 14 5.8 风险分析与评价 14 6 风险处置 17 7 残余风险评估 18 附录A(资料性附录)数据安全有关