ICS35.030 CCSL80 中华人民共和国国家标准 GB/T45577—2025 数据安全技术 数据安全风险评估方法 Datasecuritytechnology—Riskassessmentmethodfordatasecurity 2025-04-25发布 2025-11-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 通则 3 ……………………………………………………………………………………………………… 5.1 概述 3 ………………………………………………………………………………………………… 5.2 数据安全风险评估要素关系 3 ……………………………………………………………………… 5.3 数据安全风险评估原理 4 …………………………………………………………………………… 5.4 数据安全风险评估适用情形 5 ……………………………………………………………………… 5.5 数据安全风险评估实施流程 5 ……………………………………………………………………… 5.6 数据安全风险评估内容框架 6 ……………………………………………………………………… 5.7 数据安全风险评估手段 7 …………………………………………………………………………… 6 数据安全风险评估准备 7 ………………………………………………………………………………… 6.1 确定评估目标 7 ……………………………………………………………………………………… 6.2 确定评估范围 8 ……………………………………………………………………………………… 6.3 组建评估团队 8 ……………………………………………………………………………………… 6.4 开展前期准备 8 ……………………………………………………………………………………… 6.5 制定评估方案 9 ……………………………………………………………………………………… 7 信息调研 9 ………………………………………………………………………………………………… 7.1 数据处理者调研 9 …………………………………………………………………………………… 7.2 业务和信息系统调研 10 ……………………………………………………………………………… 7.3 数据资产调研 10 ……………………………………………………………………………………… 7.4 数据处理活动调研 10 ………………………………………………………………………………… 7.5 安全防护措施调研 11 ………………………………………………………………………………… 8 风险识别 11 ………………………………………………………………………………………………… 8.1 通则 11 ………………………………………………………………………………………………… 8.2 已开展测评情况分析 12 ……………………………………………………………………………… 8.3 数据安全管理 12 ……………………………………………………………………………………… 8.4 数据处理活动安全 12 ………………………………………………………………………………… 8.5 数据安全技术 13 ……………………………………………………………………………………… 8.6 个人信息保护 13 ……………………………………………………………………………………… 9 风险分析与评价 14 ………………………………………………………………………………………… ⅠGB/T45577—2025 9.1 通则 14 ………………………………………………………………………………………………… 9.2 数据安全风险分析 14 ………………………………………………………………………………… 9.3 数据安全风险评价 16 ………………………………………………………………………………… 9.4 形成数据安全风险清单 17 …………………………………………………………………………… 10 评估总结 17 ……………………………………………………………………………………………… 10.1 编制评估报告 17 …………………………………………………………………………………… 10.2 风险处置建议 18 …………………………………………………………………………………… 10.3 残余风险分析 18 …………………………………………………………………………………… 附录A(规范性) 数据安全风险识别内容 19 ……………………………………………………………… A.1 数据安全管理 19 …………………………………………………………………………………… A.2 数据处理活动 24 …………………………………………………………………………………… A.3 数据安全技术 30 …………………………………………………………………………………… A.4 个人信息保护 34 …………………………………………………………………………………… 附录B(资料性) 典型数据安全风险类型 39 ……………………………………………………………… 附录C(资料性) 数据安全风险分析参考 41 ……………………………………………………………… C.1 数据安全风险危害程度分析参考 41 ………………………………………………………………… C.2 数据安全风险发生可能性分析参考 43 ……………………………………………………………… 附录D(资料性) 数据安全风险量化分析与评价方法 45 ………………………………………………… D.1 数据安全风险危害程度量化分析方法 45 …………………………………………………………… D.2 数据安全风险发生可能性量化分析方法 45 ………………………………………………………… D.3 数据安全风险量化评价方法 45 ……………………………………………………………………… 附录E(资料性) 数据安全风险评估报告模板 46 ………………………………………………………… 参考文献 49 …………………………………………………………………………………………………… ⅡGB/T45577—2025