《数据安全风险评估实施指南》编制说明.pdfVIP

数据安全风险评估实施指南

编制说明

标准起草工作组

2024年12月

1必要性

随着数字化技术飞速发展，数据已成为企业、组织乃至国

家的生产要素，数据安全直接关系到用户隐私保护、法律合规

性以及社会经济的稳定；数据安全风险评估作为一种“工具”，

旨在主动识别、分析和量化数据面临的威胁、脆弱性及潜在影

响；数据安全风险评估实施指南给出了数据安全风险评估的基

本概念、基本原则、实施流程、评估方法、评估内容及工具，

用于数据处理者、第三方机构开展数据安全评估工作，指导数

据安全风险评估的组织、实施、验收等工作。

2工作简述

2.1任务来源

本标准根据四川省网络空间安全协会数据安全团体标准

制修订计划立项，由四川省网络空间安全协会归口，由成都久

信信息技术股份有限公司牵头组织编制。

2.2起草单位

本标准牵头起草单位：成都久信信息技术股份有限公司；

本标准参加起草单位：成都市信息系统与软件评测中心，

成都卓越华安信息技术服务有限公司，成都安美勤信息技术股

份有限公司，杭州安恒信息技术有限公司，深信服科技股份有

限公司，豪符密码检测技术有限责任公司，北京山石网科信息

技术有限公司，四川智仁信息技术有限公司。

1

——

2.3起草过程

2024年7月，成都久信信息技术股份有限公司向四川省

网络空间安全协会提交《数据安全风险评估实施指南》团体标

准项目建议书。

2024年8月，由四川省网络空间安全协会邀请专家对《数

据安全风险评估实施指南》立项评审，标准立项，成立标准起

草工作组。

2024年9月，召开《数据安全风险评估实施指南》团体

标准启动会议，会议讨论了数据安全风险评估实施指南的主要

框架和内容，确定了标准起草的总体框架、主要内容、人员分

工。

2024年10月，完成了数据安全团体标准《数据安全风险

评估实施指南》草案稿编写。

2024年12月，专家对标准征求意见稿进行了评审，《数

据安全风险评估实施指南》标准质量达到征求意见稿发布要求。

3标准编制原则和主要内容

3.1编制原则

本标准的制定工作遵循合规性、可操作性、准确性的原则。

(1)合规性。在标准制订过程中，严格遵循国家已颁布的相

关法律法规，如《网络安全法》《数据安全法》《个人信息保

护法》和《网络数据安全管理条例》等，并与相关国家标准

2

——

GB/T43697-2024数据安全技术数据分类分级规则等保持一

致。

(2)可操作原则。在编制实施指标的时要充分考虑所制定的

评估指标和标准不仅理论上可行，而且在实际操作中易于理解

和执行。

(3)准确性原则。在编制实施指标标准时，应确保所有相关

的数据资产、应用场景、威胁、脆弱性以及安全措施都被纳入

评估范围。这包括但不限于数据的物理安全、技术安全、人员

安全和组织管理方面的风险。

3.2主要内容

本标准共分为5章，包括附录A、附录B及参考文献。

1．范围

2．规范性引用文件

3．术语和定义

4．数据安全风险评估概述

5．数据安全风险评估的阶段性工作

4技术论证与效果

4.1技术指标和指标来源依据

本标准的技要求主要以国家相关法律法规为依据，包括

《网络安全法》《数据安全法》《个人信息保护法》等法律，

以及国家标准体系。这些为数据安全风险评估提供了基本的法

律框架和合规要求。技术路线主要包括评估准备、信息调研、

3