DB重慶市市場監督管理局發布 本文件按照GB/T1.1-2020《標準化工作導則第1部分:標準化文件的結構和起草規則》的規定起請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。和改革委員會、重慶市大數據應用管理局提出、歸口、解釋并組全科技股份有限公司、四川湯谷數智科技有周立、管慶旭、雷山鋒、曹霞、余靖濁、魏川渝政務數據風險評估指南GB/T25069-2022信息安全技DB51/T3056-2023政務數據數據分類分級指南DB51/T3058-2023政務數據數據脫敏規范GB/T25069-2022、DB51/T3056-202政務數據governmentaffairsd政務數據處理活動governmentaffairsdataprocessingactiv政務數據收集、存儲、使用、加工、傳輸、提供、公開、出境、刪除等活政務數據處理主體governmentaffairsdataproc政務數據安全governmentaffairsdatasecu政務數據風險governmentaffai導致數據安全事件的發生的可能性及其對國家安全政務數據風險評估governmentaffairsdatariskassess注：風險源，既包括安全威脅利用脆弱性可能導致政務數據安全事包括政務數據處理活動不合理操作可能造成違法違規處理事件的風險源（簡稱為“違法違規處理風險源”）。檢查評估examinationandassess檢查評估是指四川省、重慶市各級政務部門的上級監4政務數據風險評估概述4.1評估思路4.1.1政務數據風險評估堅持預防為主、主動發現、積極防范的原則，對政務數據和數據處理活動中4.2評估要素4.2.1政務數據風險評估涉及政務數據、政務數據處理活動、安全措施等基本要素，各要素之間的關a)政務數據是核心要素，數據具有一定的價值，數據價值越大，承受的數據安全風險越高；b)政務數據和政務數據處理活動是政務數據風險評估的評估對象；d)業務需要依托信息系統的支撐，可能涉及一個或多個信息系統；e)信息系統包含多個政務數據處理活動，信息系統是政務數據的運行載體；f)政務數據在流轉過程中涉及一個或多個政務數據處理活動；g)安全措施用于保護政務數據安全，能降低數據安全風險源發生的可能性；h)政務數據和政務數據處理活動可能存在風險源，風險源可能引發數據安全風險，數據安全風4.3評估適用情形4.3.1黨政機關、事業單位、國有企業等涉及重要數據、關鍵信息基礎設施運營、100萬人以上個人信息、大型互聯網平臺運營的政務數據處理主體，宜4.3.2政務數據處理主體開展高風險政務數據處理活動前4.3.3風險評估工作是持續性的活動，當評估對象的政策環境、外部威脅環境、業務目標、安全目標4.4評估內容框架資料查詢、授權征集等調研方式來獲取，詳細內容參見6.3.4、6.3.4、6.3.5、4.5評估形式審計的崗位/角色開展或委托第三方開展，檢查評估由有直接領導關系或監督管理責任的部門進行評估4.6評估手段開展數據風險評估時，宜綜合采取人員訪談、文檔查驗、確定評估涉及的政務數據資產、政務數據處理活動、業務、信息系統、人員和內外部組織等。6.1.1.2政務數據風險評估對象主要是政務數據和政務數據處理活動，工作范圍可能是全部政務數據a)新建的等保測評三級及以上的政務系統、最低安全級別三級及以上的政務數據，宜至少選取b)已建設完成或等保測評二級及以下的政務系統、最低安全級別二級及以下的政務數據，由系等相關人員組成，也可邀請有經驗的政務數據安全專家組a)評估對象通常由組織的政務數據安全負責人和安全、法務、合規、運維、研發、業務等部門b)評估方做好評估前的表格、文檔、檢測工具等各項準備工作，并按照需求簽署保密協議。針對被評估的業務和信息系統，識別政務數據處理情況，輸出政務數據情況清單，附錄A中表A.1b)評估對象宜從政務數據處理活動（c)梳理各評估項的評估結果和發現的風險問b)已開展檢測評估工作有效性（指是否由有資質機構，按照正常程序開展6.3.2.2已開展檢測評估工作情況宜由評估對象提供證明材料，評估人員通過訪談、檢查、測試等方進行梳理歸類，根據問題屬性，作為不同類別風險源識別依據。6.3.2.3若評估對象未實施或通過國家法律法規、強制性國家標準等文件要求的檢測評估工作，如網政務數據收集安全風險和違法違規問題，掌握政務數據安全防護措施部署情況，常見風險源參見附錄A政務數據安全組織管理情況，附錄A中表A.4給出參考示根據《中華人民共和國個人信息保護法》《App違法違規收集使用個人信息行為認定方法》《常見發現可能存在的個人信息保護風險和違法違方面進行評估，發現可能存在的重要數據處理安全風險或違法違可能帶來的政務數據風險，附錄A中表A.5給出了風險分低、中、高、很高5個級別，參考DB51/T高中低高中低a)重大安全風險：一般指可能直接影響政治安全的政務數據風險；b)高安全風險：一般指可能直接危害國家安全、經濟c)中安全風險：一般指使自然人的人格尊嚴受到嚴重侵害或者人身、財產安全受到嚴重危害，d)低安全風險：一般指使自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，對社會、e)輕微安全風險：一般指影響小范圍的組織或公民個體權益，對人格尊嚴、人身安全、財產安高中低高中低數據風險清單，參考附錄A中表A.6，并列出各項風險的風險類別（典型安全風險類別見附等級、危害程度、發生可能性等，其中風險等級可按特殊情況或最新文件要求進行對評估結果進行分析總結，編制政務數據風險評估報告，評估報告模板見附錄無重大風險、高風險或重大風險、高風險全部處置完成后，可選擇對評估結果進行量化1理活動1作失誤作或有意盜取等，導致政務數據被未授權泄露、訪問從而影23或者缺乏有效的安全措施、人員有意或無意操作等，導致政務數4施、人員有意或無意操作等，導致政務數據被丟失、難以恢復等從而567據8據9據違反法律、行政法規等有關規定，非法或違規留存政務數據的風險據據違反法律、行政法規等有關規定，非法或違規向他人提供、共享、據據據（概要說明為開展本次評估工作，單位內部建立的組織機構及其人員構成、相關工作機制、匯報（對本次評估工作的時間進度安排進行說明，對每個工作階段的工作內容、消耗時間、工作結果（識別政務數據處理情況，輸出政務數據情況清單。識別內容包括但不限于：結構化和非結構化4.4政務數據安全措施風險源識別（含已有政（主要在風險