2025企业数据安全风险管理指南.docx

5

5

企业数据安全风险管理指南

2024

PAGE

PAGE7

目录

致谢 4

序言 6

数据安全政策和背景 9

数字经济发展现状 9

数据安全政策现状 13

数据安全风险管理概述 26

数据生命周期处理活动概述 26

数据安全风险概述 28

数据安全风险影响分析 30

数据安全风险管理的必要性 33

数据安全风险管理 34

数据安全风险管理框架 34

数据安全风险管理规划 36

数据处理活动管理 39

数据安全风险评估 44

数据安全风险处置 50

数据安全风险监督改进 51

数据安全风险沟通与评审 57

企业数据安全风险管理典型实践 60

企业数字化建设背景 60

企业数据安全风险管理实践 62

附录A：数据安全风险赋值表 67

数据重要程度赋值表 67

脆弱性可利用性赋值表 67

威胁动机赋值表 67

威胁能力赋值表 68

威胁发生频率赋值表 68

附录B：数据安全风险管理工具模板 69

数据清单 69

数据处理活动场景清单 69

已有安全措施清单 70

脆弱性清单 70

应用场景脆弱性严重程度 70

数据脆弱性严重程度 70

数据脆弱性可造成的损失 70

数据安全威胁清单 71

风险清单 71

数据风险值计算结果清单 71

风险处置建议清单 71

附录C：数据安全风险分析资料清单 71

常见脆弱性示例 71

数据安全威胁与脆弱性的利用关系示例 81

数据安全风险等级划分参考表 94

数据安全风险评估报告参考模板 95

?

?2023国际云安全联盟大中华区版权所有

PAGE9

数据安全政策和背景

数字经济发展现状

数字经济的概念界定和分类范围

进入数字经济时代，世界各国对数据的依赖快速上升，数据已成为国家基础性战略资源，对社会生活方式、经济运行机制、国家治理能力等产生重要影响。

数字经济，是指以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。

中国信通院发布的《中国数字经济发展报告（2022）》显示，2021年我国数字经济规模达到45.5万亿元，同比名义增长16.2%，高于同期GDP名义增速3.4%，占GDP比重达到39.8%。

“十三五”期间，我国数字经济增长主要体现在网上购物、移动支付、在线教育、短视频等领域。

“十四五”规划纲要中明确指出，进一步发展云计算、大数据、物联网、工业互联网、区块链、人工智能、VR与AR、数字社会建设等七大数字经济重点产业，意味着数字经济正在成为国家的重点发展对象。

根据国家统计局发布的《数字经济及其核心产业统计分类（2021）》，数字经济产业范围被确定为：1数字产品制造业、2数字产品服务业、3数字技术应用业、4数字要素驱动业、5数字化效率提升业等5个大类。

数字经济核心产业是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案，以及完全依赖于数字技术、数据要素的各类经济活动。分类中1-4大类为数字经济核心产业：主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等，是数字经济发展的基础；第5大类为产业数字化部分，指应用数字技术和数据资源为传统产业带来的产出增加和效率提升，是数字技术与实体经济的融合。如图1所示：

PAGE10

PAGE10

图1数字经济及其核心产业统计分类图

我国主要区域相关政策和发展目标

目前，我国各省市已陆续出台数字经济相关规划、行动计划、指导意见等，涵盖数字经济、制造业与互联网融合、智慧城市、数字政府等领域，持续推动数字经济战略政策落地实施。

2021年我国各省市共出台216个数字经济相关政策，其中，32个顶层设计政策、6个数据价值化政策、35个数字产业化政策、54个产业数字化政策、89个数字化治理政策。

我国数字经济发展具有区域聚集特征，京津冀、长三角、珠三角、川渝等区域成为我国数字经济发展的核心区域，这些区域的数字经济发展目标在相关政策文件中基本明确，如表1所示：

表1各区域数字经济发展目标表

省（市）

所属区域

政策文件

发展目标

打造成为全国数字经济发展的先

《北京市促进数字经济创新

导区和示范区；到2022年，数字

北京

发展行动纲要（2020-2022

经济增加值占地区GDP比重达到

年）》

55%。

到2023年，数字经济占GDP比重

《天津市促进数字经济发展

天津

全国领先，力争把滨海新区打造成

行动方案（201