國家標準征求意見材料

一、工作簡況

1.1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全

技術數據安全風險評估方法》由中國電子技術標準化研究院負責承辦，并聯合

國家信息技術安全研究中心、國家計算機網絡應急技術處理協調中心等單位編

制，計劃號：20230257-T-469。本標準由全國信息安全標準化技術委員會歸口管

理。

1.2制定背景

2022年3月6日，全國信息安全標準化技術委員會發布《關于發布2022年度網

絡安全國家標準需求的通知》（信安秘字〔2022〕47號)，在附件《2022年網絡

安全國家標準需求清單》中明確了有關需求“支撐《數據安全法》第十八條、第

三十條對數據安全風險評估相關規定的落地實施。”

我國高度重視數據安全工作，先后出臺《中華人民共和國數據安全法》《中

華人民共和國個人信息保護法》等法律法規。與此同時，數據安全風險和違法違

規問題依然嚴峻，國家數據安全、企業商業秘密和公民個人信息安全防護需求迫

切。為了規范數據處理活動，保障數據安全，《數據安全法》明確提出建立數據

安全風險評估機制要求。數據安全風險評估，主要針對數據處理者的數據和數據

處理活動進行風險評估，旨在掌握數據安全總體狀況，發現存在的數據處理不合

理、缺少有效的數據安全措施等風險隱患，為進一步健全數據安全管理制度和技

術措施，提高數據安全治理能力奠定基礎。

本標準給出了數據安全風險評估的基本概念、要素關系、分析原理、實施流

程、評估內容、分析與評價方法等，明確了數據安全風險評估各階段的實施要點

和工作方法。適用于指導數據處理者、第三方評估機構開展數據安全風險評估，

也可供有關主管監管部門實施數據安全檢查評估時參考。

1.3起草過程

1

國家標準征求意見材料

2022年3月，成立編制工作組，啟動標準編制工作，形成標準草案，同步編

制研究報告、實施應用方案。

2022年4月，在信安標委標準會議周的WG7工作組內進行立項匯報，通過工作

組立項投票。

2022年5-10月。組織多次研討會，起草組先后完成3次標準草案的修改，形

成《數據安全風險評估研究報告》、《<信息安全技術數據安全風險評估方法>

實施應用方案》。

2022年6月，在信安標委標準會議周的WG7工作組內進行立項匯報，通過立項

專家評審。

2022年11月2日，信安標委發布標準立項通知，標準獲得信安標委立項。

2022年11月16日至11月30日，標準公開征集參編單位。

2022年11月-12月，召開編制組會議，對標準草案進行完善。

2022年11月25日，參與國標委標準項目立項答辯，回應了專家質詢。

2022年12月6日，在信安標委會議周的WG7工作組對標準工作進展進行了匯

報，通過工作組投票，建議將本標準推進至征求意見稿。

2022年12月至2023年2月，針對會議周專家意見，完善標準內容。

2023年3月27日，參加秘書處組織的征求意見稿專家審查會，評審專家對

標準提出38條意見。

2023年4月-5月，處理專家意見，完善標準內容。

2023年6月1日，在信安標委會議周的WG7工作組對標準工作進展進行了

匯報，收集42條意見。

2023年6月-8月，處理專家意見，完善標準內容。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

本標準在編制過程中遵循了問題導向原則、協調性原則。

2.2主要內容及其確定依據

本標準為支撐《數據安全法》第十八條、第三十條對數據安全風險評估相關

規定落實，貫徹《個人信息保護法》《網絡數據安全管理條例（征求意見稿）》有

關要求，建設數據安全風險評估的協作和統一管理機制，發現國家、重點行業領

2

國家標準征求意見材料

域和地方區域的數據安全風險，理清數據安全建設方向，針對性提升我國數據安

全能力水平。

本文件提出了數據安全風險評估的基本概念、要素關系、分析原理、實施流

程、評估內容，明確了數據安全風險評估各階段的實施要點和工作方法，包括：

1)評估要素間關系；

2)風險分析原理；

3)評估適用情形；

4)評估實施流程；

5)評估內容框架；

6)評估方法；

7)數據安全風險評估準備；

8)數據和數據處理活動識別；

9)數據安全風險識別；

10)數據安全風險分析與評價；

11)評估總結；

12)數據安全風險評估報告模板。

三、試驗驗證的分析、綜述報告，技術經濟論證，預期的經濟效益、社會

效益和生態效益

3.1試驗驗證的分析、綜述報告

將根據下一步標準試點工作開展情況而定。

3.2技術經濟論證

將根據下一步標準試點工作開展情況而定。

3.3預期的經濟效益、社會效益和生態效益

通過研究提出統一的數據安全風險評估方法，明確數據安全風險評估的實施

流程、內容、風險分析原理，給出數據安全風險評價方法和風險處置方法。支撐

國家數據安全相關制度、工作，以及數據安全風險評估要求更好地在各行業領域

落地，指導數據處理者開展數據安全風險評估工作，提高我國數據安全保護水平。

四、與國際、國外同類標準技術內容的對比情況，或者與測試的國外樣品、

樣機的有關數據對比情況

當前，國外數據安全和個人信息保護方面的評估認證，主要有數據保護影響

3

國家標準征求意見材料

評估（DPIA）、受控非密信息安全評估、ISO/IEC27000系列管理體系認證、信

息技術產品安全評估（CC）等。20世紀80年代，美國、加拿大等發達國家就已

經開始建立以信息安全風險評估為基礎的信息安全風險管理體系，制定了相關標

準、評估方法和相關技術。當前尚缺少數據安全風險評估相關的國際標準。，主

要在信息安全、產品安全等標準中引入隱私保護要求。

ISO/IEC27000信息安全管理體系認證，擴展到隱私信息管理體系認證。目

前，信息安全管理體系認證已形成比較成熟的一套體系認證機制，同時隨著

ISO/IEC27000系列信息安全管理標準不斷完善，已經出臺針對個人信息保護的

管理體系標準，例如提出隱私信息管理體系的ISO/IEC27701《擴展的ISO/IEC

27001和ISO/IEC27002隱私信息管理要求和指南》、提出個人信息保護控制措

施集合的ISO/IEC29151《個人可識別信息保護實踐指南》、適用于公有云個人

信息保護的ISO/IEC27018《公有云作為個人信息處理者保護可識別個人信息的

實踐指南》，這些標準也常被用于進行管理體系認證。

此外，信息技術產品安全評估正在增加產品的隱私保護功能評估。信息技術

產品安全評估（簡稱CC）按照ISO/IEC15408《信息技術安全評估通用準則》對

信息技術產品，尤其是信息安全產品的安全保障級別進行評估。目前CC作為國

際常用的產品安全測評方式，已形成一套完整的測評方法論。同時，ISO/IEC

15408系列標準也正在修訂，增加了隱私保護等產品安全功能組件，例如CC中

涉及數據安全的安全功能組件，主要包括用戶數據保護、隱私兩大功能組件，其

中用戶數據保護涉及訪問控制、數據鑒別、數據完整性、數據輸入、數據機密性、

內部傳輸、信息流控制、數據輸出、殘余信息保護等，隱私組件，包括匿名化、

假名化、不可鏈接性、不可觀測性等。

五、以國際標準為基礎的起草情況，以及是否合規引用或者采用國際國外

標準，并說明未采用國際標準的原因

無。

六、與有關法律、行政法規及相關標準的關系

本標準與現行法律、法規以及國家標準不存在沖突與矛盾，與其他標準屬于

配套銜接關系。

法律方面，《中華人民共和國數據安全法》中提出“國家支持有關部門、行

4

國家標準征求意見材料

業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、

處置等方面開展協作。”“國家建立集中統一、高效權威的數據安全風險評估、報

告、信息共享、監測預警機制。”“重要數據的處理者應當按照規定對其數據處理

活動定期開展風險評估，并向有關主管部門報送風險評估報告。”的要求。

國家標準方面，GB/T20984-2022《信息安全技術信息安全風險評估方法》

給出了信息安全風險評估的框架、流程和實施方法，本標準充分借鑒信息安全風

險評估的評估模型、工作流程、評估模式，結合數據和數據處理活動的特點，從

管理、數據處理活動、技術等方面，結合核心數據、重要數據、個人信息、一般

數據安全特點及保護要求，從監管要求、安全需求等方面識別數據安全風險。GB/T

37988—2019《信息安全技術數據安全能力成熟度模型》提供了多維度的數據安

全能力評估模型和安全要求，GB/T35273—2020《信息安全技術個人信息安全

規范》提出了個人信息安全保護要求。行業標準方面，JR/T0223-2021《金融

數據安全數據生命周期安全規范》給出了金融行業數據安全保護要求。本標準

充分借鑒和參考上述標準，且與相關國家標準協調配套。

七、重大分歧意見的處理經過和依據

無。

八、涉及專利的有關說明

本文件不涉及專利等知識產權。

九、實施國家標準的要求，以及組織措施、技術措施、過渡期和實施日期

的建議等措施建議

無。

十、其他應當說明的事項

無。

《信息安全技術數據安全風險評估方法》編制工作組

2023年8月20日

5

國家標準征求意見材料

一、工作簡況

1.1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全

技術數據安全風險評估方法》由中國電子技術標準化研究院負責承辦，并聯合

國家信息技術安全研究中心、國家計算機網絡應急技術處理協調中心等單位編

制，計劃號：20230257-T-469。本標準由全國信息安全標準化技術委員會歸口管

理。

1.2制定背景

2022年3月6日，全國信息安全標準化技術委員會發布《關于發布2022年度網

絡安全國家標準需求的通知》（信安秘字〔2022〕47號)，在附件《2022年網絡

安全國家標準需求清單》中明確了有關需求“支撐《數據安全法》第十八條、第

三十條對數據安全風險評估相關規定的落地實施。”

我國高度重視數據安全工作，先后出臺《中華人民共和國數據安全法》《中

華人民共和國個人信息保護法》等法律法規。與此同時，數據安全風險和違法違

規問題依然嚴峻，國家數據安全、企業商業秘密和公民個人信息安全防護需求迫

切。為了規范數據處理活動，保障數據安全，《數據安全法》明確提出建立數據

安全風險評估機制要求。數據安全風險評估，主要針對數據處理者的數據和