在數(shù)字經(jīng)濟高速發(fā)展的今天�����,數(shù)據(jù)已成為驅動社會進步的新型生產(chǎn)要素。然而�,數(shù)據(jù)泄露���、濫用�、篡改等安全事件頻發(fā)���,不僅威脅國家安全與公共利益�����,更直接侵害個人權益��。為應對這一挑戰(zhàn),《數(shù)據(jù)安全法》《個人信息保護法》和《網(wǎng)絡數(shù)據(jù)安全管理條例》等法規(guī)相繼出臺,為數(shù)據(jù)安全治理構筑了法律框架。在此背景下�,2025年4月25日�,國家市場監(jiān)督管理總局與國家標準化管理委員會聯(lián)合發(fā)布《數(shù)據(jù)安全技術 數(shù)據(jù)安全風險評估方法》(GB/T 45577-2025)(以下簡稱“標準)�����,系統(tǒng)化明確了數(shù)據(jù)安全風險評估的實施路徑,標志著我國數(shù)據(jù)安全管理再邁新階段���。
標準明確了數(shù)據(jù)安全風險評估的基本概念、要素關系�����、分析原理�����、實施流程�����、評估內容、分析評價方法等�,適用于指導數(shù)據(jù)處理者���、第三方評估機構開展數(shù)據(jù)安全風險評估���,也可供有關主管監(jiān)管部門實施數(shù)據(jù)安全檢查評估時參考���。
為幫助數(shù)據(jù)處理者及監(jiān)管部門��、第三方評估機構更高效地落實標準要求,本文針對實際應用中可能存在的關鍵問題�����,結合標準核心條款進行深度解讀�����。以下從“評估場景”“要素關系”“實施流程”等維度,逐一解答風險評估落地的核心疑問。
01哪些情形必須開展數(shù)據(jù)安全風險評估����?標準明確規(guī)定了五類必須開展數(shù)據(jù)安全風險評估的情形�����,主要涉及重要數(shù)據(jù)、核心數(shù)據(jù)、大規(guī)模個人信息處理等高風險場景。除強制性要求以外,還列出三類“宜”(推薦性)開展風險評估的情形。數(shù)據(jù)處理者需要判斷是否屬于“必須評估”的范疇,落實數(shù)據(jù)安全風險評估。
02數(shù)據(jù)安全風險評估涉及哪些要素����?
數(shù)據(jù)安全風險評估涉及數(shù)據(jù)�����、數(shù)據(jù)處理活動�����、業(yè)務、信息系統(tǒng)���、安全措施、風險源等基本要素��,也說明數(shù)據(jù)安全風險評估需要圍繞數(shù)據(jù)�����、數(shù)據(jù)處理活動展開����,以全面發(fā)現(xiàn)數(shù)據(jù)安全隱患����。
03 數(shù)據(jù)安全風險評估工作流程包含哪些階段���?
數(shù)據(jù)安全風險評估工作劃分為五個階段�,包括前期評估準備、評估信息調研���、安全風險識別、風險分析與評價以及風險評估總結,每個階段都需要完成相關工作,以及輸出主要產(chǎn)出物�,以支撐下一階段工作的開展����。例如“信息調研”階段需要完成數(shù)據(jù)處理者調研����、業(yè)務和信息系統(tǒng)調研、數(shù)據(jù)資產(chǎn)調研、數(shù)據(jù)處理活動調研�����、安全措施調研����,輸出相關的調研報告,才能支撐“風險識別”階段對數(shù)據(jù)安全管理、數(shù)據(jù)處理活動��、數(shù)據(jù)安全技術�����、個人信息保護等方面進行數(shù)據(jù)安全風險識別�,發(fā)現(xiàn)可能存在的數(shù)據(jù)安全風險源���。
04實施數(shù)據(jù)安全風險評估時�����,需要評估哪些內容?數(shù)據(jù)安全風險評估時���,以信息調研為基礎支撐,圍繞數(shù)據(jù)安全管理���、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術����、個人信息保護四大核心領域開展數(shù)據(jù)安全風險評估���。在數(shù)據(jù)安全技術方面����,以網(wǎng)絡安全防護為基礎�����,重點評估風險監(jiān)測���、數(shù)據(jù)脫敏���、訪問控制�、安全認證、數(shù)據(jù)接口安全等技術應用情況�����。
05 數(shù)據(jù)安全風險評估可以采用哪些手段����?數(shù)據(jù)安全風險評估可綜合采用人員訪談�、文檔查驗、安全核查����、技術測試等手段��。
06 數(shù)據(jù)安全風險分析從哪些維度展開?
數(shù)據(jù)安全風險分析��,主要從影響數(shù)據(jù)保密性����、完整性、可用性和數(shù)據(jù)處理合理性角度分析各項風險源可能引發(fā)的數(shù)據(jù)安全風險����,及風險危害程度和發(fā)生的可能性方面展開����。
數(shù)據(jù)安全風險危害程度分析主要考慮數(shù)據(jù)價值���、風險源嚴重程度等因素�����,結合數(shù)據(jù)級別���、規(guī)模��、種類����、處理目的、方式、范圍等情況,綜合分析數(shù)據(jù)安全風險一旦發(fā)生,對國家安全�����、公共利益���、組織或者個人合法權益造成的危害程度����,將風險危害程度從低到高劃分為低、中、較高、高�、很高5個等級���。
風險發(fā)生可能性分析主要依據(jù)風險源發(fā)生頻率�、安全措施有效性和完備性�����、風險源關聯(lián)性等因素綜合評估�,將數(shù)據(jù)安全風險發(fā)生可能性從低到高分為低�、中、高3個等級,等級越高代表措施完備性、有效性越低���,風險越可能發(fā)生。
07 如何評價數(shù)據(jù)安全風險�����?
數(shù)據(jù)安全風險評價需結合數(shù)據(jù)安全風險危害程度和風險發(fā)生可能性進行綜合分析,實現(xiàn)對數(shù)據(jù)安全風險全面���、準確判斷���,有定性和定量兩種評價方法��,數(shù)據(jù)處理者可根據(jù)自身情況����,選擇適宜的評價方法����。
1)數(shù)據(jù)安全風險定性評估方法
數(shù)據(jù)處理者可根據(jù)自身情況,將僅影響組織權益、個人權益等的風險自行定為或調整為“重大”“高”等級別�����,及時進行風險處置���。
2)數(shù)據(jù)安全風險定量評估方法
先按照百分制對數(shù)據(jù)安全風險危害程度�、數(shù)據(jù)安全風險發(fā)生可能性進行量化,得分越高代表風險危害程度����、風險發(fā)生可能性越高���。
再根據(jù)量化結果計算風險分值��,得分越高代表風險等級越高。
08 數(shù)據(jù)安全風險評估報告應包含哪些內容�����?在數(shù)據(jù)安全風險評估報告中應該詳細包含信息調研情況��、數(shù)據(jù)安全風險識別情況、風險分析與評價����,并給出整改建議����,指導數(shù)據(jù)處理者對相關風險進行整改��。
在數(shù)字化浪潮席卷全球的當下��,數(shù)據(jù)安全已成為國家安全與經(jīng)濟發(fā)展的戰(zhàn)略基石。此標準的發(fā)布��,不僅為行業(yè)提供了科學的風險評估框架��,更標志著我國數(shù)據(jù)安全治理從“合規(guī)驅動”邁向“能力驅動”的新篇章��。作為這一進程的重要參與者,昂楷科技擁有16年數(shù)據(jù)安全的技術積淀�,從Database到API�、從產(chǎn)品到服務����,憑借自主研發(fā)的20余款數(shù)據(jù)安全產(chǎn)品及“四核四擴”數(shù)據(jù)安全服務體系,昂楷多行業(yè)��、多場景的數(shù)據(jù)安全解決方案幫助客戶構建了從風險評估到長效防護的閉環(huán)能力��。
未來�,昂楷科技將持續(xù)依托新國標的技術指引��,結合自身豐富的風險評估實踐經(jīng)驗�����,協(xié)助客戶精準識別數(shù)據(jù)安全隱患,高效落實標準中的技術要求與流程規(guī)范�,助力構建覆蓋數(shù)據(jù)全生命周期的安全防護體系�。
