政策图解-《数据安全技术数据安全风险评估方法》（GBT45577-2025）.pptx

图解国标

《数据安全技术数据安全风险评估方法》

(GB/T45577-2025)

炼石网络2025年05月;

制定目的

为贯彻落实《数据安全法》关于数据安全风险评估的

要求，国家市场监督管理总局、国家标准化管理委员

会联合发布《数据安全技术数据安全风险评估方法》

(GB/T45577-2025),用于指导开展数据安全风

险评估工作。

主要内容

该标准描述了数据安全风险评估的基本概念、要素关

系、分析原理，给出了数据安全风险评估的实施流程、

评估内容、分析评价方法等；适用于指导数据处理者、

第三方评估机构开展数据安全风险评估，也可供有关

主管监管部门实施数据安全检查评估时参考。;

2025年4月25日发布的《数据安全技术数据安全风险评估方法》,制定过程中参考了

《网络安全法》、《数据安全法》、《个人信息保护法》等数据安全相关国家标准，将于2025年11月1日正式实施。标准要求，针对已有安全措施、重要数据处理者报送风险评估报告内容、数据安全制度体系建设、逻辑存储安全、数据传输链路安全、数据提供技术措施以及个人信息保护措施部署等情况，应重点评估：加密、脱敏、去标识化、访问控制、安全认证等安全技术应用情况。;

一、图解《数据安全技术数据安全风险评估方法》

二、数据安全建设实践;

炼石整理：《数据安全风险评估方法》国标总览

数据安全风险评估方法;

范围

本文件描述了数据安全风险评估的基本

概念、要素关系、分析原理，给出了数据安全风险评估的实施流程、评估内容、分析评价方法等。

本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。;;

1.范围;

1.范围;

开展数据安全风险评估应充分考虑要素间关系。各要素关系说明如下：

a)数据和数据处理活动是核心要素，是数据安全风险评估的对象，数据在流转过程涉及一个或多个数据处理活动，数据处理活动可能涉及不同数据。

b)数据处理者运营业务，业务利用数据和数据处理活动实现。

c)信息系统是业务的支撑，也是数据的载体，信???系统涉及一个或多个数据处理活动。

d)风险源在数据或数据处理活动中客观存在，由风险源产生的数据安全风险，对数据和数据处理活动有潜在危害。

e)安全措施用于保护数据和数据处理活动，抵御数据安全风险源，抑制数据安全风险发生。;;

开展数据安全风险分析和评价时，数据安全风险危害程度分析、风险发生可能性分析等步骤可依据下列情形选择。如不开展数据安全风险危害程度

分析、风险发生可能性分析，可基于数据安全风险归类分析结果得到数据安全风险清单。

a)数据处理者为满足自身数据安全风险防控需要开展评估时，数据安全风险分析和评价等步骤可选。

b)为落实相关法律法规关于开展数据安全风险评估工作、报送数据安全风险评估报告等要求，屉行重要数据、超1000万个人信息等类型处理者责任义务，以及第三方评估机构开

展数据安全风险评估等情形，数据安全风险分析和评价等步骤为必选。

c)有关主管监管部门实施数据安全检查评估时，可参考本文件自行选取数据安全风险分析和评价等步骤。

d)其他情形下，可按照实际工作需要自行确认是否选取数据安全风险分析和评价等步骤。;

序号;

1.范围;

要素关系评估原理适用情形实施流程内容框架评估手段

图3数据安全风险评估实施流程图

阶段具体工作主要产出物

1.确定评估目标4.开展前期准备;

数据安全管理数据处理活动安全数据安全技术个人信息保护

包括个人信息处理基本原

则、个人信息告知同意、

个人信息处理、敏感个人

信息处理、个人信息主体权利、个人信息保护义务、个人信息投诉举报、大型网络平台个人信息保护等。;

数据处理活动安全

数据收集数据存储数据传输数据使用和加工

数据提供数据公开数据删除

个人信息保护

基本原则告知同意保护义务主体权利投诉举报

个人信息处理敏感个人信息保护大型网络平台;

序号;

1.范围

2.规范性引用文件

3.术语和定义

4.缩略语

5.通则

6.数据安全风险评估

准备

7.信息调研

8.风险识别

9.风险分析与评价

10.评估总结

附录

参考