DB64T 2118-2025 网络安全和网络数据安全风险评估规范.docxVIP

ICS35.030CCS

ICS

35.030

CCS

L80

宁 夏 回 族 自 治 区 地 方 标 准

DB64/T2118—2025

网络安全和网络数据安全风险评估规范

Networksecurityandnetworkdatasecurityriskassessmentspecifications

2025-03-04发布 2025-06-03实施

宁夏回族自治区市场监督管理厅 发布

DB64/T2118

DB64/T2118—2025

DB64/T2118

DB64/T2118—2025

I

I

II

II

目 次

前言 II

范围 1

规范性引用文件 1

术语和定义 1

基本要求 2

评估管理 2

评估内容 2

评估方式 2

评估流程 3

评估结果 5

结果运用 6

附录A（规范性） 网络安全和网络数据安全风险记录表 7

附录B（资料性） 网络安全和网络数据安全风险评估报告 22

参考文献 23

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由国家计算机网络应急技术处理协调中心宁夏分中心提出。

本文件由宁夏回族自治区互联网信息办公室归口并组织实施。

本文件起草单位：宁夏回族自治区互联网信息办公室、国家计算机网络应急技术处理协调中心宁夏分中心、宁夏回族自治区标准化研究院。

本文件主要起草人:刘远、薛蓬、苏楠、塔娜、崔梦龙、白姜艳、王惠惠、刘金成、郭昊、张宁宁、施睿。

DB64/T2118

DB64/T2118—2025

DB64/T2118

DB64/T2118—2025

PAGE

PAGE11

PAGE

PAGE10

网络安全和网络数据安全风险评估规范

范围

本文件规定了网络安全和网络数据安全风险评估的基本要求、评估管理、评估方式、评估流程、评估结果及结果运用。

本文件适用于涉网单位的互联网系统，不适用于涉密网。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇

GB50174—2017数据中心设计规范

术语和定义

GB50174—2017、GB/T25069—2022、GB/T29246—2017界定的术语和定义适用于本文件。

网络network

由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

网络安全networksecurity

对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。

[来源：GB/T25069—2022,3.61]

风险评估riskassessment

风险识别、风险分析和风险评估的整个过程。

[来源：GB/T29246—2017,2.71]

网络数据networkdate

通过网络处理和产生的各种电子数据。

数据安全datesecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

收集collect

获得对信息控制权的行为。

[来源：GB/T25069—2022,3.558]

数据共享datasharing

让不同的数据用户能够访问大数据服务所整合的各种数据资源，并通过大数据服务或数据交换技术对这些数据资源进行相关的计算、分析、可视化等处理的行为。

[来源：GB/T25069—2022,3.566]

不符合nonconformity

对要求的不满足。

[来源：GB/T29246—2017,2.53]

基本要求

评估人员在评估过程中应当充分收集证据，对评估对象实施的安全措施的有效性和可靠性做出客观公正的判断。

在评估实施工程过中，应不干扰、破坏网络主体运营者的业务连续性。

评估管理

周期

宜每三年评估一次。

主体

评估主体包含网络安全监管部门、行业主管部门、第三方评估机构以及各网络数据运营单位。

对象

本文件用于评估主体对网络主体运营者开展网络安全和网络数据安全风险评估、自查工作。

评估内容

风险评估包含网络安全、网络数据安全两大部分，网络安全评估内容按照附录A.1的要求，网络数据安全评估内容按照附录A.