版權聲明本報告版權屬于數據安全推進計劃，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：數據安全推進計劃”。違反上述聲明者，數據安全推進計劃將追究其相關法律責任。報告愿景及目標全球數字經濟持續發展，我國數字化轉型加速推進，數據要素市場化進度加快。然而，數據泄露、數據破壞、數據濫用等安全事件頻繁發生，這嚴重危害了國家、社會公眾安全，數據安全風險防范的重要性日益凸顯。隨著網絡安全、數據安全領域的法律法規相繼頒布，強調數據處理者應依法依規開展數據處理活動，建立健全數據安全管理制度，加強數據安全風險監測與防范，定期開展數據安全風險評估，數據安全風險的評估與治理已成為業內各方最為關切的話題。然而，盡管大量的法規、標準提供了豐富的理論指引，數據安全風險評估工作實務中仍然存在諸多問題。這些問題分布在整個評估過程的各個階段，成因錯綜復雜，嚴重影響了組織的數據安全風險評估工作落地，長期來看不利于組織數據安全風險治理能力的持續提升。在此背景下，數據安全推進計劃（DSI）聯合中國通信標準化協會大數據技術標準推進委員會（CCSATC601），攜手業內眾多專家撰寫了本報告。本報告旨在解決數據安全風險評估實務中的諸多問題，介紹了當前我國數據安全風險評估的監管要求、標準編制現狀以及評估實施方法，提煉了數據安全風險評估工作的具體實施流程，并以評估實施流程為主線，系統性梳理了組織在評估準備、評估實施、評估總結三大階段面臨的具體實務問題，并提出問題解決思路，為數據處理者、評估機構的數據安全風險評估實務提供參考，為相關數據處理者、服務機構紓難解惑，增強產業界信心。聯系方式編制單位中國信息通信研究院云計算與大數據研究所、中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國聯合網絡通信有限公司研究院、中國移動通信集團江蘇有限公司、中國人壽保險（集團）公司、中國平安人壽保險股份有限公司、華泰證券股份有限公司、天翼電子商務有限公司、西部證券股份有限公司、中國航天科工集團航天情報與信息研究所、國家電網有限公司、重慶長安汽車股份有限公司、賽力斯集團股份有限公司、北京銀行股份有限公司、北京五八信息技術有限公司、杭州美創科技股份有限公司、奇安信科技集團股份有限公司、北京天融信網絡安全技術有限公司、聯通數字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限責任公司、騰訊科技（深圳）有限公司、北京億賽通科技發展有限責任公司、北京塔斯數據技術有限公司、天道金科股份有限公司、杭州藪貓科技有限公司、深圳市聯軟科技股份有限公司、北京數字認證股份有限公司、杭州數夢工場科技有限公司、安徽辰圖大數據科技有限公司、北京數安行科技有限公司、北京煉石網絡技術有限公司、南京聚銘網絡科技有限公司、杭州安恒信息技術股份有限公司、阿里云計算有限公司、廈門服云信息科技有限公司、深圳市華傲數據技術有限公司、杭州極盾數字科技有限公司。編制工作組編制專家龔詩然、張亞蘭、溫暖、王勇、李冰、王志宇、周瑩、李文琦、劉飛龍、錢江洪、陳豪、曹咪、陶冶、吳璟、姬長鵬、劉洋、張嘯雷、馬寧、張揚、柯淑馨、江旺、張炎、周思佳、謝云鵬、洪雪蓮、許琛超、邢驍、姜娜、全曉東、李超、張立鵬、張強強、劉斌、蘇輝、李鵬、王會宴、楊力、王思涵、朱夢瑤、李娜（北京銀行）、王基安、劉蕾、柳遵梁、應以峰、葉樺、朱朔漫、楚赟、蘇文亭、梁偉、王瑋、艾龍、謝雄、馬明、趙寧、周莉、王笑晨、郭麗穎、胡嘉偉、甘長華、翟培康、關中華、項宇欣、劉玉紅、趙倩、唐開達、陳虎、高柱、徐道晨、李娜（阿里云）、楊智壟、何旭珩、查浩奇。 一、數據安全風險評估工作背景(一)數據安全風險形勢日益嚴 01數據泄露：持續呈現高發態 01數據破壞：勒索攻擊危害顯 數據竊取：組織“內鬼”作案猖 (二)組織風險防范面臨監管考 (三)新技術應用暗藏新型風 二、數據安全風險評估工作現狀(一)風險評估已成業界焦 (二)評估標準編制進程加 (三)評估實施方法逐漸成 0三、實務問題剖析與解決思路(一)評估準 13如何確定評估觸發條 13如何制定評估工作目 15如何規劃評估實施范 16(二)評估實 18如何獲取有效評估信 18如何應用風險評估工 19如何開展風險評估分 (三)評估總 如何充分應用評估結 23四、數據安全風險評估工作建議(一)建立數據安全風險評估機 (二)構建數據安全風險治理框 (三)完善數據安全風險治理體 附錄:中國信通院云大所實務索 圖目錄圖目錄圖1數據安全風險基本要素關 1圖2風險矩陣（示例 圖3數據風險治理基本框 表目錄表1數據安全風險評估標準發展、演進一 表2數據安全風險評估實施流程與產出 12表3數據安全風險評估適用情 13表4評估適用情形檢查表（示例 14表5重點評估對象（示例 7表6數據安全風險危害程度（節選 21表7數據級別賦值（示例 表8數據安全風險危害程度等級參考（節選 表9安全聲明（模板 表10實務索 DATASECURITYDATASECURITY 一.數據安全風險評估工作背景全球數據泄露、數據破壞、數據竊取、數據濫用等安全事件頻繁發生，嚴重危害了國家、社會公眾安全。針對各國政府機構、關鍵信息基礎設施的網絡攻擊、數據竊取等違法活動明顯增多，數據安全事件涉及的數據以及用戶體量也在持續加大。如何有效防范數據安全風險與事件，是全球數字經濟發展下的重點問題。本章節將總結國際、國內數據安全風險形勢，分析廣大組織面臨的各類數據安全風險以及日趨嚴格的監管合規要求，闡述了組織加強數據安全風險防范的必要性。全球數據泄露事件持續高發。統計數據顯示，僅2021件已超過四千起，涉及超過200億條數據。進入223年，數據泄露的趨勢似乎并未得到緩解：2023年4月，威脅獵人發布的《2023年Q1數據資產泄露分析報告》顯示，僅2023年第一季度就已發生近千余起數據泄露事件，這些事件涉及上千家組織、近四十個行業。例如，witter在23年1月遭遇了數據泄露事件，包括用戶電子郵件地址、姓名等2億條個人信息被泄露。23年2月，全美最大的綜合醫療服務網絡HeritageProviderNetwork遭遇勒索軟件攻擊，導致多個醫療機構大量敏感信息泄露。223年2月，elegram各大頻道突然大面積轉發某隱私查詢機器人鏈接，該機器人泄露了大量來自我國各快遞、電商平臺的個人信息，包含了用戶的真實姓名、電話與住址等，數據量高達45億條。組織數據安全保障壓力倍增。220年，某電商的客戶數據泄露導致不法分子冒充客服對全國二十多個城市的受害者進行了電話詐騙，受害者的被騙金額為幾千到十幾萬元不等。23年8月，公安部公布了打擊侵犯公民個人信息犯罪的十大典型案例，其中黑灰產組織竊取、利用組織掌握的用戶個人信息實施犯罪的案例高居榜首。隨著個人信息成為黑灰產組織逐利的“重災區”，組織面對無孔不入的黑灰產組織，在數據安全風險應對上壓力倍增。數據泄露事件為組織帶來的損失也在逐年走高。組織數字化轉型加快，對數據依賴程度隨之加深，數據一旦泄露給組織帶來的損失也更加嚴重。根據IBM《2023年數據泄露成本報告》顯示，組織數據泄露事件平均成本達到445萬美元，較2022年的435萬美元增長2.3%，而較220年的386萬美元則足足增長了15.3%，現已創下歷史新高。DATASECURITYDATASECURITY 有針對性的數據勒索與破壞事件愈演愈烈。隨著全球各行業領域的組織數字化轉型程度加深，其系統及承載的數據重要程度也隨之提升，其中的關鍵數據更是組織業務運行命脈，一旦這些關鍵數據遭到破壞，將面臨業務中斷、信息系統或網絡服務癱瘓，嚴重的后果可能是長期業務受損，客戶信息、商業機密等重要數據泄露，給組織帶來重大的經濟損失和聲譽損失。而近年來，針對政府機構、知名組織的數據勒索、破壞事件也持續增加：2022年，哥斯達黎加政府遭遇Conti勒索軟件團伙攻擊，國家財政部數個TB的數據以及800多臺服務器受到此次攻擊影響，國內數字稅務服務、海關控制IT系統以及醫療保健系統在多輪攻擊下接連癱瘓、被迫下線，導致國內醫療保健系統陷入混亂。同年，法國巴黎的一家醫院CenterHospitalierSudFrancilien（以下簡稱CHSF）遭遇網絡攻擊并被勒索1000萬美元作為解密密鑰的贖金。此次攻擊直接導致了CHSF多個業務軟件、醫學影像存儲系統無法訪問，大量醫療數據被加密迫使醫院推遲多臺手術計劃，大量患者被臨時轉診至其他機構，這嚴重威脅了當地的急、重病患者生命安全。來自“內鬼”的數據竊取也令組織防不勝防。2023年6月6日，Verizon發布了《2023年度數據泄露調查報告》（2023DataBreachInvestigationsReport，簡稱DBIR），分析了從2017年以來的16312起安全事件和5199起數據泄露事件，指出74%的泄露事件由人為因素造成的，約五分之一的數據泄露事件來自于組織的內部。組織收集、存儲了大量用戶的個人信息數據，一旦組織內部出現了特權賬號濫用、數據權限分配不清、人員利用越權訪問漏洞等問題，將直接導致擁有內部人員對其獲取的數據進行不正當的使用或者竊取。2023年5月，特斯拉兩名員工違規挪用、泄露了包括員工個人信息、客戶銀行信息、生產信息在內的100GB數據，影響超過7.5萬人。無獨有偶，2023年7月，日本通信運營商NTTDOCOMO的承包商員工盜取了包括用戶個人信息在內的596萬條商業信息，這些案件均有力證明了組織“內鬼”竊取數據的危害。面對日益嚴峻的網絡數據安全風險，各國政府倡導國際、國內或地區內的公私部門開展網絡數據安全風險防范合作。例如，2023年《聯合國打擊網絡犯罪公約》結合新型網絡犯罪情況，要求締約國將黑客攻擊、非法數據獲取等犯罪行為納入本國刑法執法范圍，倡導加強網絡數據安全風險的跨國協作與應對。再例如，歐盟《數據治理法案》（2022）提出歐盟境內的公共和私營組織在共享數據時，應遵守的安全與可靠性要求，要求及時報告數據泄露事件，防范全球數據流通帶來的數據共享風險。美國《網絡安全信息分享法案（CISA）》（2015）也曾鼓勵國內的私營組織與政府進行網絡威脅情報共享，增強其網絡數據安全風險防御能力。數據安全與隱私保護法規的發展對廣大數據處理者的風險防范能力提出了新要求。除了網絡數據安全風險的跨國協作與應對，各國的法律法規也明確規定了國內數據處理者的數據安全義務、責任，要求其開展數據保護影響評估等活動，加強對用戶個人信息的保護。DATASECURITYDATASECURITY 中國方面。2021年，中國《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）相繼頒布、實施。作為數據安全領域的基礎性法律，《數據安全法》指出數據處理者開展數據處理活動應依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。其中，重要數據處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。《個人信息保護法》則進一步強調了個人信息處理者的責任與義務，提出個人信息處理者應對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。在處理敏感個人信息等情形下，個人信息處理者還應當事前進行個人信息保護影響評估，并對處理情況進行記錄。歐盟方面。2018年，歐盟《通用數據保護條例》（GeneralDataProtectionReg-ulation，以下簡稱“GDPR”）正式生效。GDPR基于其域外效力及嚴厲的行政處罰措施，提出了個人同意、隱私權影響評估等多項數據處理合規要求，并警示其適用范圍內的數據處理主體嚴格履行合規義務。針對可能會為自然人權利與自由帶來高度風險的數據處理方式，GDPR提出數據處理主體應事先進行影響評估，加強對個人敏感信息的保護，限制對個人信息的非授權使用。美國方面。2023年1月，美國《加州隱私權法案》（CaliforniaPrivacyRightsAct，以下簡稱CPRA）正式生效。CPRA在《加州消費者隱私法案》（CaliforniaConsumerPrivacyAct，可能對消費者帶來重大風險的行為，信息處理者應開展數據保護影響評估（DataProtectionImpactAssessment，簡稱DPIA），并在評估期間對消費者的信息進行去標識處置。新加坡、俄羅斯、印度、巴西、韓國等多個國家也通過立法明確了數據處理者的數據保護、風險防范以及數據保護影響評估活動等方面的要求，加強了數據處理者的監督和處罰，極大地推動了以上國家、地區的數據處理者提升數據安全風險防范能力，切實保護數據安全。新技術應用衍生新型安全風險。5G、人工智能、云計算、移動互聯網、大數據分析等新興技術應用極大地推動了各行業領域的組織發展與創新，為廣大用戶提供了更為智能、便利的服務，但同時也帶來了大量的安全漏洞、風險。以云計算為例。云計算通過互聯網為組織提供了更加靈活、可擴展的計算和存儲服務，實現了資源池化、按需擴縮容的能力，但云平臺的復雜性以及多租戶環境也存在數據隔離失效的問題，存在內部人員越權訪問的可能，增加了組織數據泄露的風險。再例如，5G技術的典型應用場景eMBB（增強移動帶寬），由于在增強現實（AR）、虛擬現實（VR）、高清視頻直播、頻等對帶寬有DATASECURITYDATASECURITY 極高要求的業務場景下衍生的海量數據往往涉及個人隱私數據，而傳統的安全基礎設施難以適應超大流量的5G網絡防護以及海量用戶隱私數據保護的安全需求。新興技術的監管措施與規范的不完善也可能導致數據安全風險。部分處于萌芽期的新興技術可能因其配套的監管措施與技術規范尚未完善，在實際應用過程中為組織、個人帶來尚未被公眾充分認識的數據安全風險，導致安全事件一旦發生，出現責任主體判定難、治理成本高等問題。以生成式AI為例。其在文本、圖片或視頻生成等領域中得到了廣泛的應用，但如果在學習訓練階段缺乏監管，該技術可能會因其對個人信息進行深度加工、價值挖掘，導致個人信息被違規利用或個人信息主體的權益遭到侵害，帶來個人信息泄露的安全風險。針對這一問題，2023年7月我國國家互聯網信息辦公室（以下簡稱“國家網信辦”）發布了《生成式人工智能服務管理暫行辦法》，明確了數據訓練的要求，強調涉及個人信息的訓練數據處理活動須遵守法律和監管要求——這一定程度上推動了生成式AI技術的安全、合規應用，但對于如何防范其可能引發的數據安全風險問題，仍需產業界的持續探索。DATASECURITYDATASECURITY 二.數據安全風險評估工作現狀隨著我國數字經濟的快速發展、傳統業務的數字化轉型以及數據價值化加速推進，結合全球數據安全風險的整體形勢，數據安全風險的識別、評估與應對已成為我國廣大組織面臨的最緊迫、最根本的問題，受到了國家、行業主管部門以及產業多方的高度重視。本章節將總結國內數據安全風險評估工作落地情況，介紹數據安全風險評估的相關標準與實施方法，為相關數據處理者、服務機構初步建立數據安全風險評估實施的整體認知。國家層面，推進數據安全風險評估工作勢在必行。國家法規鼓勵開展數據安全風險評估，《數據安全法》提出了國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，數據處理者開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施，強調了對風險信息的監測與評估是把控數據安全風險的首要途徑。多部門提出數據安全風險評估工作要求。為了規范數據處理活動，防范重大數據安全風險，中華人民共和國國務院（以下簡稱“國務院”）、國家網信辦、工業和信息化部（以下簡稱“工信部”）、中國人民銀行、國家醫療保障局等監管部門、行業主管部門相繼發布了數據安全保護工作要求，提出數據處理者應建立健全數據安全風險評估機制，開展風險評估工作，及時消除風險隱患。包括《關鍵信息基礎設施安全保護條例》《汽車數據安全管理若干規定（試行）》《網絡數據安全管理條例（征求意見稿）》《工業和信息化領域數據安全管理辦法（試行）》《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》等多項文件也進一步明確了關鍵信息基礎設施的運營者、重要數據處理者以及特定情形下的個人信息處理者等重點主體應按照有關規定，定期開展風險評估，報送評估報告的具體工作要求。關鍵信息基礎設施運營者每年開展風險評估。國務院令第745號《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施運營者每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。重要數據處理者定期開展數據安全評估。《數據安全法》在第三十條明確了重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。2022年，國家網信辦發布了《網絡數據安全管理條例（征求意見稿）》，要求組織的數據安全管理機構定期開展數據安全宣傳教育培訓、風險評估、應急演練等活動。涉及處理重要數據或者赴境外上市的，數據處理者應每年開展一次數據安全評估。DATASECURITYDATASECURITY 主管部門應定期組織開展本行業、本領域的數據安全風險評估，對數據處理者履行數據安全保護義務情況進行監督檢查，指導督促數據處理者及時對存在的風險隱患進行整改。工信部發布的《工業和信息化領域數據安全管理辦法（試行）》也提出，工信領域的重要數據和核心數據處理者應每年對其數據處理活動至少開展一次風險評估，及時整改風險問題，并向本地區行業監管部門報送風險評估報告。個人信息處理者應結合具體情形開展安全評估或者個人信息保護影響評估。《個人信息保護法》明確了個人信息處理者在特定的情形下需要通過國家網信部門組織的安全評估或者開展個人信息保護影響評估的要求：例如，第四十條提出了關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，在確需將在中華人民共和國境內收集和產生的個人信息向境外提供的情形下，應通過國家網信部門組織的安全評估。而第五十五條則明確了在處理敏感個人信息、利用個人信息進行自動化決策等五種具體情形下，個人信息處理者應事前進行個人信息保護影響評估，并對處理情況進行記錄，并進一步規定了個人信息保護影響評估的內容、報告和處理記錄留存等具體要求。如涉及向境外提供境內收集和產生的重要數據和個人信息的數據處理者開展數據出境風險自評估。此類數據處理者需要按照國家網信辦《數據出境安全評估辦法》，開展數據出境風險自評估開展數據出境風險自評估，并向國家網信部門申報數據出境安全評估。數據處理者需要在風險自評估環節，重點評估其出境數據的規模、范圍、種類、敏感程度、數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險以及數據出境中和出境后遭到篡改、破壞、泄露等風險等方面內容。地方層面，多地積極響應數據安全風險評估工作。北京、貴州、天津、海南、山西、吉林、安徽、山東、深圳、上海等省市地區紛紛頒布相關數據條例、管理辦法等文件，積極落實國家法律法規要求，推動當地數據處理者開展風險評估工作。2019年天津市互聯網信息辦公室印發的《天津市數據安全管理辦法（暫行）》在第七條提出數據運營者應當開展數據安全風險評估的要求，并在第十七條強調數據運營者如向境外提供個人信息和重要數據，應按照相關法律法規的規定開展安全評估。2021年11月，上海市第十五屆人民代表大會通過了《上海市數據條例》。其中，第八十一條提出重要數據處理者應按照規定，定期對其數據處理活動開展風險評估，并依法向有關主管部門報送風險評估報告的要求。其他的省市地區（例如：遼寧、安徽、山東、蘇州、深圳、廈門等）也均在其數據條例等文件中強調了開展數據處理活動的組織定期進行數據安全風險評估，提高風險識別與處置能力，嚴格落實個人信息合法使用、數據安全使用承諾和重要數據出境安全管理等相關要求。由此可見，數據安全風險評估在國家建立健全數據安全治理體系中起到了關鍵作用：數據安全風險評估推動了各行業、領域的廣大數據處理者合法、正當地開展數據處理活動，在提高數據處理者的數據安全保障能力，防范重大數據安全風險等方面具有重要的意義。DATASECURITYDATASECURITY 為更好地響應廣大數據處理者的需求、落實數據安全風險評估的法定要求，國家、地方數據安全監管機構以及相關行業組織也相繼發布了具體的數據安全風險評估實施指引、標準以及實踐指南等文件，積極推動數據安全風險評估標準與指南的研究與制定工作。國家標準編制進程持續加速。2022年3月，全國信息安全標準化技術委員會（以下簡稱“全國信安標委”）啟動了國家標準《信息安全技術數據安全風險評估方法》（以下簡稱《數據安全風險評估方法（征求意見稿）》）的編制工作，并于2023年8月面向社會公眾公開征求意見。《數據安全風險評估方法（征求意見稿）》基于國家標準GB/T20984-2022《信息安全技術信息安全風險評估方法》（以下簡稱《信息安全風險評估方法》）的框架、流程與實施方法，考慮了數據和數據處理活動的特點，借鑒了GB/T37988-2019《信息安全技術數據安全能力成熟度模型》、GB/T35273-2020《信息安全技術個人信息安全規范》、JR/T0223-2021《金融數據安全數據生命周期安全規范》等國家、行業標準，最終從管理、數據處理活動、技術等維度入手，結合核心數據、重要數據、個人信息、一般數據的安全特點與保護要求，提出了數據安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內容、分析與評價方法等方面的內容。此外，2023年5月，全國信安標委還編制、發布了《TC260PG-20231A網絡數據安全實踐指南——網絡數據安全風險評估實施指引》（以下簡稱《網絡數據安全風險評估實施指引》），為廣大組織與專業服務機構提供了風險評估的實施流程、實施方法、評估內容等具體指導。多個行業的數據安全風險評估標準持續完善。數據安全風險與行業領域數據的應用場景息息相關。為了更好地指導業內的廣大數據處理者有效識別、評估數據安全風險，因地制宜地加強自身的風險防范能力，一些行業主管部門也在持續推進行業數據安全風險評估方法的編制工作。以電信網和互聯網行業為例。2020年，工信部發布了YD/T3801-2020《電信網和互聯網數據安全風險評估實施方法》標準。該標準同樣參考了《信息安全風險評估方法》，將數據作為核心保護對象，面向電信網和互聯網的典型數據應用場景，提煉了電信網和互聯網數據安全風險的基本要素及要素間的關系，提供了電信網和互聯網組織實施數據安全風險評估的具體流程、操作方法與風險分析思路。此外，YD/T3956-2021《電信網和互聯網數據安全評估規范》、YD/T4241-2023《電信網和互聯網數據安全評估技術實施指南》等行業標準也提供了對電信網和互聯網網絡單元以及業務系統進行安全評估的方法，為業內組織開展數據安全風險評估、現有安全措施評估等工作提供了參考依據。DATASECURITYDATASECURITY 再例如金融行業。近年，中國人民銀行陸續發布了JR/T0223-2021《金融數據安全數據生命周期安全規范》《金融數據安全數據安全評估規范（征求意見稿）》等標準，充分結合金融業機構的組織特點、數據及其處理活動的特征，提供了金融業機構開展數據安全風險評估相關工作的實施流程、重點評估事項，在有效指導金融業機構及時識別數據安全風險，防范數據安全事件的同時，也推動金融業機構充分落實金融業數據安全管理要求，提升數據安全保護工作水平，為各機構實施數據安全風險評估相關的工作提供了重要的參考。上述風險評估標準的發展與演進見表1。20072022評估在信息系統生命周期不同階段的實施要點和工作形險評價四個階段。溝通與協商、文檔記錄作為必要的手《電信網和互聯網數據安全2020風險評估實施DATASECURITYDATASECURITY 數據安全風險評估實施方法》，參考GB/T37973-2019《政務數據安全風險評估規范》2022TC260-PG-1A《網絡安全標準實踐指南——網絡數據安全風險評估實施指2023及GB/T39335-2020DATASECURITYDATASECURITY YD/T3801-《電信網和互聯網數據安全風險2023提出了“風險源”的概念：結合數據以及數據處理活動的特點，提出了風險源（又稱“風險隱患”）可能引發數據安全風險。此外，結合《網絡數據安全風險評估實施指引》提出的“合規+安全”的風險評估目標，進一步指出風險隱患既包括安全威脅利用脆弱性可能導致數據安全事件的風險隱患，也包括數據處理活動不合理操作可能造成違法違規處理事件的風險隱患。實施指引》保持了一致，將信息調研作為一個單獨的階業內相繼發布了多項信息安全風險、數據安全風險的評估標準，這些標準相互補充、持續完善，已成為廣大數據處理者開展風險評估的重要參考資料。評估思路方面，各標準均強調了全面識別風險基本要素的重要性。大量的數據流轉使數據與其訪問主體、傳輸鏈路、承載環境、安全策略等因素共同構成了“牽一發而動全身”的數據安全風險。這一點在國際、國內的多項標準中均有體現：美國國家標準技術研究院（NIST）《隱私工程和風險管理》（NIST8062）曾提出“問題操作”這一概念，并指出被識別的問題操作可用于評估風險發生的可能性、風險產生的影響。國內的《信息安全風險評估方法》則提出信息安全風險評估需要識別包括資產、威脅、脆弱性、安全措施在內的“基本要素”，通過建立、分析基本要素之間的關系（即：資產存在脆弱性，威脅通過利用脆弱性導致風險，而安全措施的實施是通過降低脆弱性被利用難易程度，以防范威脅、保護資產）進行風險分析。2020年的《電信網和互聯網數據安全風險評估實施方法》結合電信網和互聯網行業數據以及數據處理活動的特征，進一步提出了該行業的數據安全風險評估需要識別包括數據資產、應用場景、數據威脅、數據脆弱性、安全措施在內的基本要素及其屬性，同樣通過建立基本要素之間的關系，分析各應用場景下的數據安全事件發生的可能性與影響，最終得出數據資產在多個應用場景下面臨的總體風險值。相較于《信息安全風險評估方法》《電信網和互聯網數據安全風險評估實施方法》，2023年《網絡數據安全風險評估實施指引》和《數據安全風險評估方法（征求意見稿）》則基于前述的基本要素，提出了數據安全風險的“風險源”這一概念（即：風險源是可能導致危害數據的保密性、完整性、可用性和數據處理合理性等事件的威脅、脆弱性、問題、隱患等，也稱“風險隱患”），并同樣指出了數據安全風險評估需要通過信息調研，識別數據處理者、業務和信息系統、數據資產、數據處理活動、安全措施等相關基本要素，從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面識別風險隱患，最終形成風險源清單，分析、評價數據安全風險并給出整改建議。來源：國家標準《數據安全風險評估方法（征求意見稿）評估流程方面，“準備-實施-總結”已成為共識。數據安全風險評估工作主要圍繞數據處理者的數據和數據處理活動，對可能影響數據保密性、完整性、可用性和數據處理合理性的安全風險進行分析和評價。通過對比、總結國內《數據安全風險評估方法（征求意見稿）》《網絡數據安全風險評估實施指引》《電信網和互聯網數據安全風險評估實施方法》等風險評估標準，可以發現，風險評估工作目前已形成一套覆蓋“準備-實施-總結”三大階段的流程，具體分為評估準備、信息調研、風險識別、綜合分析、評估總結五個環節。各環節的工作任務以及產出物也基本明確，具體流程與產出物見表2。表2來源：國家標準《數據安全風險評估方法（征求意見稿）三.實務問題剖析與解決思路盡管大量法律法規、部門規章以及標準提供了豐富的理論指引，組織在數據安全風險評估工作實務中仍然面臨重重阻礙。這些阻礙分布在整個評估過程的各個階段，成因錯綜復雜。因此，本章節將通過系統梳理數據安全風險評估的各階段面臨的典型問題，深入分析問題成因，充分參考業內優質經驗，形成問題解決思路，為相關數據處理者、服務機構紓難解惑。《網絡安全法》提出網絡運營者應開展網絡安全認證、檢測、風險評估等活動，并通過網絡安全等級保護、信息安全風險評估等一系列標準對組織的網絡、信息安全風險評估工作進行落地指導。相較于網絡、信息安全風險評估，數據安全風險評估的工作要求、標準依據或正在征求意見，或尚未正式發布——這導致許多數據處理者的數據安全風險評估工作仍處于起步階段，面臨著評估觸發條件不明確的“0號困境”。部分組織將同地區、同行業的組織遭遇數據安全事件或受到監管部門處罰作為自身開展風險評估的觸發條件：通過將這些公開的事件或處罰信息內化形成風險信息檢查表單，對業務部門逐個開展數據安全風險排查專項工作。然而，此類專項排查工作投入高、收效低：不同的組織對數據安全風險的承受能力與管理需求存在較大的差異，公開的信息披露有限且存在一定的滯后性，導致組織難以有規劃地開展數據安全風險評估工作，評估內容參考性較低，對組織的風險啟示性不足。解決思路：梳理適用情形針對這一問題，組織或評估機構可以參考國家標準《數據安全風險評估方法（征求意見稿）》的“5.4評估適用情形”。評估適用情形列出了數據處理者開展數據安全風險評估的一些具體適用情形，具體見表3。表3a）100萬人以上個人信息b）數據處理者開展高風險數據處理活動前，宜開展數據安全風險評估，高風險數據處理活動包括但不限于：f）當被評估對象的政策環境、外部威脅環境、業務目標、安全目標等發生來源：國家標準《數據安全風險評估方法（征求意見稿）這些情形一是引述了國家法律法規中有關開展風險評估的要求與場景（例如：數據處理者在重要數據共享、交易、委托處理之前），在明確數據安全風險評估活動開展的必要性的同時，也提供了評估活動開展的法規依據；二是總結了組織常見的高風險數據處理活動（例如：基于不同業務目的的數據匯聚融合），為組織或評估機構提供了更為明確、直接的工作指引與建議；三是回應了如何持續開展評估的關切，已開展過風險評估的數據和數據處理活動一旦發生重大變更或變化，組織或評估機構應重新實施風險評估，將風險評估融入組織的數據安全運營機制。實務操作上，組織或評估機構可通過持續梳理數據安全風險評估的適用情形，從評估要求的來源、內容等角度入手，分析、判斷自身適宜開展評估活動的觸發條件、實施時機以及具體評估項的必要性，推動數據安全風險評估工作的常態化開展。示例見表4。表4評估適用情形檢查表（示例第三十條重要數據的處理者應當按照（征第二十五條數據處理者利用生物特征進行個人身份認證的，應當對必要第六條[評估期限]重要數據和核心數（c)重要數據和個人信息處理者合并、分立、解散、被宣告破產進行數據（e)對于已經評估過數據安全風險評估的數據處理活動，當數據范圍、數據處理活動、環境、相關方等發生重大變更時，需重新開展數據安全風險評估。

數據處理者開展數據安全風險評估工作的主要目標可以被分為三層：一是落實監管要求，滿足國家法律法規關于開展風險評估的要求；二是摸底數據現狀，摸清自身數據和數據處理活動基本情況；三是提升安全能力，檢查重要的數據處理活動中是否存在管理、技術風險隱患，推動完善數據安全保護措施。三層目標共同促進數據處理者履行法定義務、建立健全數據安全制度、排查解決漏洞隱患，使數據處于有效保護和合法利用、持續安全的狀態。然而，大量組織未能正確、全面地認識數據安全風險評估的價值與目標：多數組織將第一層目標作為開展風險評估或其他風險治理工作的唯一目標——這導致一旦缺少了國家法規或監管部門的強制性要求，這些組織開展數據安全風險評估工作的意愿與動力也會隨之喪失。此外，由于大量組織前期未能全面掌握業務、數據和數據處理活動的特點以及潛在的漏洞隱患，其制定的數據安全風險管理策略無法反映組織的風險管理需求與準則，這也導致組織即使開展了數據安全風險評估工作，也無法基于評估結果準確地衡量風險問題整改措施的投入產出比、實施優先級，甚至產生內部多方對風險評估結果難以達成共識、風險問題整改推進困難等問題，長遠來看，不利于組織數據安全風險的防范與治理。解決思路：建立風險準則針對這一問題，組織可以參考數據安全推進計劃發布的《數據安全治理實踐指南3.0（以下簡稱《實踐指南3.0》），開展數據安全風險評估及治理專項，通過系統化的數據安全風險治理，建立組織的數據安全風險準則。數據安全風險治理是以風險為中心的方法論，提煉了組織管理數據安全風險時需要重點關注的五大環節，即：風險準則建立、風險要素識別、風險評估分析、風險處置解決、風險治理改進。其中，風險準則建立是指通過分析組織數據安全風險需求，識別組織的關鍵業務、數據和數據處理活動，形成風險治理準則，幫助組織將注意力與資源集中在那些超出自身承受能力的數據安全風險，在明確了風險治理重點對象的同時，也為風險評估、整改等具體活動提供了判斷與執行標準。實務操作上，組織一是通過分析風險需求，具體任務包括收集、整理自身適用的數據安全、隱私保護法律法規，識別組織的關鍵業務、數據和數據處理活動，明確數據安全風險治理的范圍與重點對象；二是創建數據安全風險治理愿景、使命，這一步需要與組織高層人員進行溝通、協商，在獲得其批準與支持之后，形成基本的風險準則，明確組織的風險管理偏好；三是制定數據安全風險治理政策，這一步需要與內部相關方（例如：人力資源、法務、安全、營銷、IT團隊）進行商議，在充分了解相關方的業務與合規需求之后，制定風險管理政策，為后續風險評估以及其他風險治理相關的工作提供實施方針、標準。此外，針對組織或內部相關方無法正確理解風險評估的價值與目標這一問題，組織還可以通過工作動員會、研討會、培訓講座等方式，宣貫組織的風險治理政策，解讀評估標準，討論評估方案，加強業務部門對數據安全風險評估及其目標、價值的認知與理解，提升內部相關方對風險評估工作的參與程度，持續強化各方在數據安全風險評估以及治理工作的協同能力。組織數據安全風險的邊界持續擴展：傳統的安全防護通常采用邊界防護策略保障靜態數據的安全。然而，一方面，組織的業務活動必然伴隨著數據的流動，而數據廣泛存在于數據中心、云端、終端等位置，數據資源暴露面的擴大意味著其面臨的威脅也成倍增加；另一方面，組織數據在多個業務、數據處理活動中與大量設備、人員產生交互，異常的行為隱匿于海量的數據訪問行為中，不僅變得更加隱蔽、難以識別，也無形中擴大了數據安全風險可波及的范圍。因此，組織如何在日益復雜的業務及數據處理活動中，規劃數據安全風險評估的范圍，在既定的評估時間、范圍內識別出組織最為關注的數據安全風險，是廣大數據處理者、評估機構在籌備評估工作過程中需要重點思考的問題。解決思路：識別重點對象為了避免風險邊界過大導致的評估“失焦”問題，提高數據安全風險評估的投入產出比，組織可以參考《網絡數據安全風險評估實施指引》，在規劃評估范圍時，首先明確評估工作中的重點評估對象。實務操作上，組織可以參考數據分類分級的成果，將個人信息、重要數據、核心數據以及這些數據的處理活動作為重點評估對象，并抽樣選取一般數據及其數據處理活動，一并納入本次風險評估的范圍，在確保識別出重點評估對象面臨的風險的同時，也保障了評估的全面性，具體示例見表5。由于一般數據涵蓋范圍較廣，數據處理者可結合組織自身安全需求，對一般數據進行細化分級，本報告將一般數據從低到高分為1級、2級、3級。表5重點評估對象（示例核心數據重要數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利如：財務信息等內部機密用，可能對個人、組織合法權益造成危害，但不會危害國家安全、公共利益如果組織尚未開展數據分類分級工作，則可以參考信息系統等級保護的相關要求，根據業務、信息系統的重要程度，選取核心業務系統或內部的重要信息系統（例如：大數據平臺、人力資源系統、供應鏈系統）的數據和數據處理活動作為重點評估對象，重點評估其承載的數據和數據處理活動面臨的風險。這一解決思路目前已應用于許多組織的數據安全風險評估實踐：組織選取某一重要的信息系統作為評估實施的“原點”，將其數據的來源、去向系統作為評估的范圍邊界，梳理該系統涉及的數據、數據處理活動并繪制數據流向圖，識別數據流轉過程中的操作人員、操作行為以及操作結果等信息，從而分析潛在的數據安全風險問題。信息調研是數據安全風險評估工作中最為重要的環節，組織的評估執行人員通過文檔審閱、配置核查、人員訪談等不同的方式，收集組織的數據和數據處理活動、數據安全管理、技術等方面的信息。數據安全風險評估涉及到組織的業務及其數據應用場景，需要評估執行人員實地調研業務和數據情況，多輪訪談組織業務人員，掌握數據處理活動的背景——這意味著評估執行人員不僅需要熟練掌握數據安全風險評估要點，還要通過專業的協作迅速了解組織的業務、數據和數據處理活動的關鍵信息，從而更好地識別出潛在的威脅、脆弱性以及已有安全措施的不完善之處。然而，許多組織在開展數據安全風險評估的過程中發現，由于組織前期開展的網絡、信息安全評估通常由安全部門發起、主導，執行人員同樣來自安全部門，主要負責網絡結構、信息資產、威脅檢測工具安全情況的調研、核查，對業務、數據處理活動的了解不夠深入。因此，人員執行數據安全風險評估的信息調研時，產生了新的問題：一方面，評估執行人員對業務、數據情況理解欠佳，對于業務、數據及其處理活動的風險識別不全面，且不同人員可能對于同一風險問題的判斷存在較大的差異；另一方面，受訪人員未能充分理解風險評估的依據與要點，在訪談或調研過程中反饋大量的無關信息，直接導致了返工或者評估進度延期等問題。針對這一問題，組織可以通過完善組織協作機制，從團隊、工具、協商三方面入手，規避上述在信息調研過程中的問題。實務操作上，針對評估執行人員可能存在的業務掌握度低、自由裁量等問題，一方面織可以在組建評估團隊時，選取業務人員加入評估執行團隊，由業務人員負責整理本次風險評估涉及的業務和信息系統、數據信息，并適時向團隊其他成員介紹這一部分信息，在執行團隊內部實現優勢互補；另一方面，完善評估信息調研表等工具，在逐步固化、標準化數據安全風險評估依據中的評估項、查驗方式以及訪談問題等內容的同時，完善對于不同角色的受訪人員或者證明材料的信息判斷標準，確保評估執行人員之間具備相對統一的評估尺度。同時，針對受訪人員可能無效響應的問題，組織可以在實施訪談工作前，邀請計劃受訪的人員參與本次風險評估的研討會，由評估執行人員對風險評估方案、依據以及要點進行解讀，雙方對評估內容進行充分協商，輸出、分發評估研討會問答合集，以免在風險評估的實施過程中出現人員理解偏差的問題。組織調研當前的數據資產情況、發現潛在威脅與脆弱性、檢查安全防護措施狀態都離不開評估工具。數據安全風險評估中，評估工具能夠提供更為客觀的信息，在降低人力成本的同時，也極大地提高了評估結果的可信度。整個評估實施的過程中，評估執行人員需要調研覆蓋組織數據安全管理、技術以及大量數據處理活動的各類信息，故需要通過應用組織內部已部署的安全產品或者使用其他技術檢測工具，收集、整合以上多方甚至多維度的信息，從而回答風險評估工作的核心問題，即：組織的何種數據、分布何處、如何流轉、誰在使用、如何防護。然而，大量組織反饋，當前數據安全產品種類多且功能各異，在缺乏工具應用指導的背景下，組織開展數據安全風險評估時傾向于沿用傳統的信息安全風險評估工具，因此僅能識別網絡、信息安全方面的風險問題，很難識別出隱藏在具體業務場景和數據處理活動中的安全風險問題，嚴重影響了數據安全風險問題檢出的全面性。因此，在當前數據安全產品工具發展迅速、種類多樣，而風險評估實施的必備工具尚未明確的背景下，如何選取合適的評估檢測工具同樣是組織實施數據安全風險評估面臨的重要問題。解決思路：認識工具功能針對這一問題，組織可以結合前期規劃的評估范圍、重點評估對象等信息和風險評估實施各個環節的目標，明確工具在各個階段內應發揮的功能，從而選取適宜的數據安全產品工具。實務操作上，組織首先可以參考數據安全推進計劃2023年發布的《數據安全產品與服務觀察報告》以及其他業內研究報告，初步掌握主流的數據安全產品工具及其功能。在數據安全風險評估的實踐中，可應用的評估工具主要分為三類：一是掃描類工具，主要負責提供針對數據、風險源（例如：脆弱性）等風險要素的掃描服務，為數據安全風險評估提供要素識別的功能，具體包括資產掃描類、數據識別類、漏洞檢測類工具等。目前市面上許多數據分類分級、數據資產管理以及部分數據安全防護類工具（例如：API數據防泄露）都具備這一部分的功能；二是流量分析類工具，主要負責提供對數據處理活動的識別與監測能力，用于關聯應用、數據庫、人員的敏感數據操作，分析潛在的風險行為，具體包括應用層流量分析、全流量分析等數據風險監測類工具；三是自動化評估類工具，主要負責自動化評估流程管理、評估對象的信息填報、證明文件的上傳和查閱、評估結果的生成及報告的輸出等，具體包括合規檢測工具、在線評估系統等。隨著產品工具的平臺化、一體化趨勢日益明顯，上述的三類工具在數據安全風險評估中提供的能力也已在一些平臺型產品中得以集合。風險分析是組織基于前期的信息調研、風險識別的情況，對風險的影響程度、發生的可能性進行賦值、分析，最終通過風險矩陣輸出風險值的過程。風險矩陣如圖2所示。 影響的嚴重程圖2風險矩陣（示例風險分析的方法主要為定性分析、定量分析、綜合分析（定性與定量相結合）。定性分析不要求各個風險要素被嚴格地量化，在風險要素的評價上主要依靠評估執行人員的個人經驗、專業知識等，因此對于評估執行人員的專業能力要求較高。定量分析（包括半定量分析）則是對風險要素進行賦值，依據數值建立數學模型，量化風險分析的過程與結果，確保輸出清晰的風險分析結論，但其存在將復雜問題過度簡化或模糊化的缺陷，同樣易造成風險分析結論的偏差。目前業內的數據安全風險分析方法以定性分析為主，例如《網絡數據安全風險評估實施指引》和《數據安全風險評估方法（征求意見稿）》提出，針對風險發生的影響程度可以結合數據價值、安全問題嚴重程度等因素進行分析，從不同的影響對象、危害程度高低分別提供了定性的描述，以便評估執行人員參考、對照分析，具體見表6。然而，在實務操作上依然存在分析過程嚴重依賴執行人員經驗、分析結論主觀性過高等問題。表6數據安全風險危害程度（節選1.民經濟總值和增長速度、國民經濟主要比例關系、物價總水平、勞動就業總水平與失業率、貨幣發行總規模與增長速度、進出口貿易總規模與變動等。2.直接影響一個或多個地級市、行業內多個企業或大規模用戶，對行業發展態勢、技術進步和產業生態等造成嚴重影響，或者直接影響行業領域核心競爭力、核心業務運行、關鍵產業鏈、核心供應鏈等。1.直接危害公共健康和安全，如嚴重影響疫情防控、傳染病的預防監控和治療等。2.可能導致重大突發公共衛生事件（Ⅱ級），造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒等嚴重影響公眾健康的事件。3.導致一個或多個地市大部分地區的社會公共資源供應較長期中斷，較大范圍社會成員（如100萬人以上）無法使用公共設施、獲取公開數據資源、接受公共服務。可能導致組織遭到監管部門嚴重處罰（包括取消經營資格、長期暫停相關業務等），或者影響重要/關鍵業務無法正常開展的情況，造成重大經濟或技術損失，嚴重破壞機構聲譽，企業面臨破產。個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等。來源：國家標準《數據安全風險評估方法（征求意見稿）解決思路：建立分析模型針對這一問題，組織可以建立數據安全風險分析模型，通過明確判斷尺度、豐富評價維度、提升賦值精度三方面的措施，提高分析過程和結果的客觀性。一是制定風險分析過程的判斷尺度。組織采用定性分析方法進行風險分析時，人員的主觀判斷將直接影響風險分析的結論。因此，明確評估執行人員的判斷尺度，提供判斷某項風險是否屬于重大風險的“紅線”、“基線”——這在一定程度上能夠防止風險分析結論與實際情況偏差過大。以汽車行業的實踐為例，汽車自身及其業務屬性決定了其在風險分析的過程中聚焦可能直接影響行車安全、財產安全等方面的風險要素，因此在開展數據安全風險評估的過程中，組織將“是否為極端威脅行車、財產安全等方面的風險”與“是否為大多數人群所適用的風險”作為人員分析風險時的重要尺度。二是完善風險分析過程的評價維度。組織開展風險分析時，通常使用風險矩陣圖對風險發生的可能性和影響程度進行評價。然而，風險本身具有不確定性，組織評價風險發生的可能性時缺乏成熟的參考依據，賦值易流于形式，對風險分析結論缺乏參考價值。因此，組織可以豐富風險評價的維度，提升風險分析結論的實用性。例如，目前組織面臨的數據安全風險不僅包括了數據保密性、完整性、可用性遭到危害，還包括了數據被違法、違規處理帶來的合規風險，基于這一問題，組織可以在風險矩陣中補充“可罰性”這一維度，即：從組織的合規管理角度出發，評價組織數據一旦被泄露、破壞、濫用可能引發的監管處罰、違約追責等問題的嚴重程度。三是提升風險分析過程的賦值精度。組織采用定量分析方法開展風險分析時，最大的難點問題在于風險發生的可能性和危害程度的定級、賦值和計算。針對風險發生的危害程度，組織可以從數據的重要程度、數據資產價值、脆弱性嚴重程度等具體風險要素進行相對精準的賦值：《江蘇省數據安全風險評估規范》從數據遭到泄露或損害時，可能對國家安全、經濟運行、社會穩定、公共利益、個人權益造成的影響程度入手，提出了組織可以參考的一般、重要與核心數據賦值。具體賦值方法如表7。未來，組織在風險分析的過程中，也可以參考數據的流通價值，進一步提升數據這一風險要素的賦值精度。表7數據級別賦值（示例3.來源：國家標準《數據安全風險評估方法（征求意見稿）針對風險發生的可能性，實務操作上存在一定的困難：風險源（例如：威脅和脆弱性）的發生頻率、安全措施有效性和完備性等因素難以預測、量化。組織可以“以系統為單位”，默認同一信息系統、數據庫中的威脅與脆弱性賦值保持一致，避免風險分析過程引入錯誤的關聯關系，提升定量分析的可落地性、可操作性。如果組織在近期開展過網絡安全等級保護測評等評估評測，也可以參考其脆弱性識別結果進行賦值。此外，針對數據安全風險危害程度與發生的可能性的量化分析與評價，《數據安全風險評估方法（征求意見稿）》在