| 标准编号 | GB/T 45577-2025 (GB/T45577-2025) | | 中文名称 | 数据安全技术 数据安全风险评估方法 | | 英文名称 | Data security technology - Risk assessment method for data security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 54,583 | | 发布日期 | 2025-04-25 | | 实施日期 | 2025-11-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45577-2025: 数据安全技术 数据安全风险评估方法
ICS 35.030
CCSL80
中华人民共和国国家标准
数据安全技术 数据安全风险评估方法
2025-04-25发布
2025-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 通则 3
5.1 概述 3
5.2 数据安全风险评估要素关系 3
5.3 数据安全风险评估原理 4
5.4 数据安全风险评估适用情形 5
5.5 数据安全风险评估实施流程 5
5.6 数据安全风险评估内容框架 6
5.7 数据安全风险评估手段 7
6 数据安全风险评估准备 7
6.1 确定评估目标 7
6.2 确定评估范围 8
6.3 组建评估团队 8
6.4 开展前期准备 8
6.5 制定评估方案 9
7 信息调研 9
7.1 数据处理者调研 9
7.2 业务和信息系统调研 10
7.3 数据资产调研 10
7.4 数据处理活动调研 10
7.5 安全防护措施调研 11
8 风险识别 11
8.1 通则 11
8.2 已开展测评情况分析 12
8.3 数据安全管理 12
8.4 数据处理活动安全 12
8.5 数据安全技术 13
8.6 个人信息保护 13
9 风险分析与评价 14
9.1 通则 14
9.2 数据安全风险分析 14
9.3 数据安全风险评价 16
9.4 形成数据安全风险清单 17
10 评估总结 17
10.1 编制评估报告 17
10.2 风险处置建议 18
10.3 残余风险分析 18
附录A(规范性) 数据安全风险识别内容 19
A.1 数据安全管理 19
A.2 数据处理活动 24
A.3 数据安全技术 30
A.4 个人信息保护 34
附录B(资料性) 典型数据安全风险类型 39
附录C(资料性) 数据安全风险分析参考 41
C.1 数据安全风险危害程度分析参考 41
C.2 数据安全风险发生可能性分析参考 43
附录D(资料性) 数据安全风险量化分析与评价方法 45
D.1 数据安全风险危害程度量化分析方法 45
D.2 数据安全风险发生可能性量化分析方法 45
D.3 数据安全风险量化评价方法 45
附录E(资料性) 数据安全风险评估报告模板 46
参考文献 49
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急
技术处理协调中心、国家工业信息安全发展研究中心、中央网信办数据与技术保障中心、中国信息安全
测评中心、国家信息中心、中国科学院信息工程研究所、公安部第三研究所、北京市政务信息安全保障中
心、中国网络安全审查认证和市场监管大数据中心、中国科学技术大学、中国科学院软件研究所、阿里云
计算有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。
本文件主要起草人:杨建军、姚相振、张宇光、胡影、陈琦、杨韬、林星辰、陈特、卢磊、林志强、姜松浩、
上官晓丽、任英杰、朱雪峰、晏慧、李敏、赵冉、刘曦泽、李晔、陈静、徐峰、王晖、王得福、都婧、马英、张妍、
苏艳芳、李媛、程瑜琦、左晓栋、张立武、宋璟、孙勇、王昕、白晓媛、邵萌、苏丹、李海东、张明天、高晨涛。
数据安全技术 数据安全风险评估方法
1 范围
本文件描述了数据安全风险评估的基本概念、要素关系、分析原理,给出了数据安全风险评估的实
施流程、评估内容、分析评价方法等。
本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门
实施数据安全检查评估时参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 43697-2024 数据安全技术 数据分类分级规则
3 术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
数据 data
任何以电子或者其他方式对信息的记录。
3.2
数据安全 datasecurity
通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的
能力。
3.3
数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
......
|