（ERP 系统） 数据安全风险评估报告 conv.docxVIP

（ERP系统）

数据安全风险评估报告

评估单位（盖章）：

报告时间：2025年6月10日

? 文档说明

文档名称 ERP系统数据安全风险评估报告

保密级别 商业秘密

制作人 安全评估团队

复审人 信息科技部

扩散范围 限“项目组”内

文档版本号 V1.0

制作日期 2025-6-10

复审日期

分发控制 创建、修改、读取 项目组：读取

? 适用范围

本次ERP系统数据安全风险评估是由XX公司（以下简称“XX”）授权，由数可安团队（以下简称“数可安”）对ERP系统进行的数据安全风险评估，并根据评估结果提交技术报告，技术报告用于描述被测试业务系统的风险描述和加固建议，仅限于“项目组”内部人员传阅。

报告结论的有效性建立在被测试单位提供相关信息的真实性基础之上，报告中描述的漏洞详情与修复建议仅适用于测试周期内信息系统的安全状况，当信息系统发生涉及到的系统构成组件（或子系统）变更时本报告不再适用。

? 版本变更记录

修改日期 版本 说明 修改人

2025-03-25 V1.0 正式版本 姚琦

? 版权声明

本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，

除另有特别注明，版权均属数可安?所有，受到有关产权及版权法保护。任何个人、

机构未经数可安?的书面授权许可，不得以任何方式复制或引用本文的任何片断。

版权所有，不得翻印 ?2025数可安?

数据安全风险评估报告（样例模板）

一、引言

1.1评估目的

为落实《数据安全法》《个人信息保护法》等法律法规要求或安全监管需要，

对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况

等进行安全评估，发现存在的安全问题和风险隐患，督促数据处理者健全安全制度、

改进安全措施、堵塞安全漏洞，进一步提高数据安全和个人信息保护能力。

数据安全风险评估的目标，包括但不限于：

a）摸清重要数据种类、规模、分布等基本情况；

b）摸清数据处理活动的情况；

c）发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问

题和风险；

d）发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全

问题和风险；

e）促进完善数据安全保护措施，提升数据安全保护能力。

1.2评估依据

评估依据包括但不限于：

[1] GB/T20984-2022[2] GB/T35273-2020[3] GB/T37988-2019[4] GB/T39335-2020

[5] GB/T41391-2022

信息安全技术 信息安全风险评估办法信息安全技术 个人信息安全规范信息安全技术 数据安全能力成熟度模型信息安全技术 个人信息安全影响评估指南

信息安全技术 移动互联网应用程序（APP）手机个

人信息基本要求

[6] GB/T45574-2025 数据安全技术 敏感个人信息处理安全要求[7] JR/T0223-2021金融安全技术数据生命周期安全规范

[8] YD/T3801-2020 电信网和互联网数据安全风险评估实施方法

[9] 中华人民共和国个人信息保护法（2021年8月20日中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过）

[10] 中华人民共和国个人信息保护法（2021年8月20日中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过）

[11] 中华人民共和国网络安全法（2016年11月7日中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过）

[12] 《互联网信息服务深度合成管理规定》（2022年11月3日国家互联网信息办公室、工业和信息化部、公安部联合印发）

[13] 《互联网信息服务算法推荐管理规定》（2022年11月16日国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发）

[14] 《常见类型移动互联网应用程序必要个人信息范围规定》（2021年3月12日国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅联合印发）

[15]《App违法违规收集使用个人信息认定方法》（2019年11月28日国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅联合印发）

1.3评估范围

?数据范围：涵盖[系统/项目名称]涉及的业务数据、应用开发数据、用户数据等全量数据资产。

?生命周期阶段：包括数据采集、存储、传输、使用、共享、销毁等环节。

?评估对象：数据资产、数据处理活动、技术架构、管理制度等。

本次评估工作采取“全面摸排、重点评估”原则，针对“数据安全管