2023网络数据安全风险评估实施指引.pdf

2023

目录

前言I

技术支持单位11

1范围1

2术语定义1

3风险评估概述3

3.1评估思路3

3.2评估内容3

3.3评估流程4

3.4评估手段6

4评估准备6

4.1明确评估目标7

4.2确定评估范围7

4.3组建评估团队8

4.4开展前期准备9

4.5制定评估方案10

5信息调研11

5.1数据处理者调研11

5.2业务和信息系统调研12

5.3数据资产调研12

5.4数据处理活动调研13

5.5安全措施调研14

6风险识别15

6.1数据安全管理15

6.2数据处理活动26

6.3数据安全技术38

6.4个人信息保护45

7综合分析56

7.1梳理问题清单56

7.2风险分析与评价57

7.3提出整改建议57

8评估总结57

8.1评估报告57

8.2风险处置59

附录A典型数据安全风险类别60

附录B评估报告模板62

1范围

本指南给出了网络数据安全风险评估思路、工作流程和评估内

容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息

保护等方面评估安全风险。

本指南适用于指导数据处理者、第三方机构开展风险评估，也可

为有关主管监管部门组织开展数据安全检查评估提供参考。

2术语定义

2.1网络数据

通过网络处理和产生的各种电子数据，简称“数据

2.2数据处理者

在数据处理活动中自主决定处理目的和处理方式的个人和组织。

2.3数据安全

通过采取必要措施，确保数据处于有效保护和合法利用的状态，

以及具备保障持续安全状态的能力。

2.4数据处理活动

数据的收集、存储、使用、加工、传输、提供、公开、删除等活

动。

2.5网络数据安全风险评估

对网络数据和数据处理活动安全进行风险识别、风险分析和风险

评价的整个过程。

2.6委托处理

1

数据处理者委托个人、组织按照约定的目的和方式开展的数据处

理活动。

2.7共同处理

两个以上的数据处理者共同决定数据的处理目的和处理方式的

数据处埋活动。

注：两个以上含两个,

2.8数据安全风险

数据安全事件的发生可能性及其对国家安全、公共利益或者组

织、个人合法权益造成的影响。

2.9合理性

数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，

符合网络安全和数据安全常识道理。

2・10风险隐患

可能导致危害数据的保密性、完整性、可用性和数据处理合理性

等事件的威胁、脆弱性、问题、隐患等，也称“风险源”。

注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括

数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。

2.11业务

组织为实现某项发展规划而开展的运营活动。

[来源:GB/T20984-2022,3.1.4]

2.12自评估

由数据处理者自身发起，组成机构内部评估小组或委托第三方评

估机构，依据有政策法规与标准，对评估对象的数据安全风险进行

2

评估的活动。

2.13检查评估

由数据处理者的上级主管部门、业务主管部门或国家有主管

（监管）部门发起的，依据有政策法规与标准，对评估对象的数据

安全风险进行的评估活动。

3