當前，數據已成為驅動企業創新發展的核心力量。然而，隨著數字化進程加速，網絡攻擊面持續擴大、數據泄露事件頻發，企業面臨的安全威脅日益復雜。在此背景下，定期開展數據安全風險評估，已成為企業構建主動防御機制、實現風險全周期管控的核心抓手。

為規范數據安全風險評估，提升安全防護能力，國家市場監督管理總局、國家標準化管理委員會發布《GBT 45577 - 2025 數據安全技術 數據安全風險評估方法》，將于2025年11月1日實施。該文件主要描述數據安全風險評估的基本概念、要素、分析原理，給出具體實施流程、評估內容、分析評價方法，為企業開展風險評估工作提供可操作指南。

國標核心：風險評估的“方法論”和“操作指南”

數據安全風險評估,在信息調研基礎上，圍繞數據安全管理、數據處理活動安全、數據安全技術、個人信息保護等方面開展評估。

數據安全風險評估，主要圍繞數據和數據處理活動，聚焦可能影響數據的保密性、完整性、可用性和數據處理活動合理性的安全風險，掌握數據安全總體狀況，發現數據安全隱患,提出數據安全管理和技術防護措施建議，提升數據安全防攻擊、防破壞、防竊取、防泄露、防濫用能力。

1、評估步驟：從規劃到落地的全流程閉環

數據安全風險評估流程,主要包括評估準備、信息調研、風險識別、風險分析與評價、評估總結五個階段。

2、評估內容：從管理到技術的全方面防護

數據安全管理

安全管理制度：數據安全制度體系建設是否完善，制度執行是否到位。

安全組織機構：數據安全組織架構是否健全，職責分工是否明確。

分類分級管理：審查數據資產梳理情況，數據分類分級制度是否落實，是否存在數據管理混亂的情況。

人員安全管理：考察人員錄用、保密協議簽訂、轉崗離崗管理及數據安全培訓情況。

合作外包管理：合作方管理機制是否健全，合作協議是否明確數據安全責任，外包人員訪問權限是否合理控制等。

安全威脅和應急管理：安全威脅識別和應急響應機制是否完善，是否能夠及時發現并有效應對安全事件。

開發運維管理：審查應用開發審核流程、代碼安全管理、測試數據脫敏處理等情況。

云數據安全：云服務提供者、第三方廠商、云租戶的安全責任劃分情況，云安全產品服務的使用和配置情況，以及云上操作行為的安全審計情況。

數據處理活動

應圍繞數據全生命周期開展評估:

數據收集：數據收集是否合法正當，是否存在超范圍收集或非法獲取數據的行為等。

數據存儲：評估數據存儲的安全性，包括存儲介質管理、加密措施、存儲期限及存儲地點選擇等。

數據傳輸：數據傳輸過程中的加密措施是否到位，是否存在傳輸鏈路不安全或中間人攻擊的風險。

數據使用和加工：數據使用和加工過程中是否遵守法律法規，是否存在濫用或違規操作，特別是涉及敏感數據或個人信息的情況。

數據提供及公開：數據提供、委托處理、共同處理及數據公開過程中的安全措施是否到位。

數據刪除：數據刪除和存儲介質銷毀流程是否規范，是否存在數據殘留或介質未徹底銷毀的風險。

數據安全技術

網絡安全：評估網絡拓撲結構、邊界防護、訪問控制等網絡安全措施的有效性，防止外部攻擊。

身份鑒別與訪問控制：檢查身份鑒別機制是否健全，訪問控制是否嚴格，防止未授權訪問。

監測預警：審視安全監測預警機制是否建立，能否及時發現并響應安全事件，減少損失。

數據脫敏與防泄漏：評估數據脫敏規則和方法是否合理，數據防泄露措施是否到位，防止敏感數據泄露。

數據接口安全：檢查數據接口的安全控制措施是否完善，防止接口被非法調用或數據泄露。

數據備份恢復不可靠：評估數據備份恢復策略和操作規程是否健全，備份數據是否可用，確保在災難發生時能夠快速恢復數據。

安全審計：檢查安全審計機制是否建立，審計記錄是否完整，能否有效追溯數據操作和訪問行為。

個人信息保護

個人信息保護處理原則：是否遵循合法、誠信原則與正當、必要原則。

個人信息告知與同意：是否充分告知用戶并獲得同意，告知內容是否清晰易懂。

個人信息處理：審視個人信息保存、共同處理、委托處理、轉移等處理活動是否合法合規，是否存在超范圍處理或濫用行為，特別是涉及敏感個人信息的情況。

敏感個人信息處理：評估敏感個人信息的處理是否遵循特殊保護要求，如加密存儲、訪問控制等。

個人信息主體權利：檢查個人信息主體權利是否得到充分保障，如查閱、復制、更正、刪除等權利是否能夠得到有效行使。

個人信息安全義務：檢查個人信息保護

大型平臺監管不嚴：針對大型網絡平臺，評估其個人信息保護合規制度體系是否健全，是否對平臺內產品或服務提供者的個人信息處理活動進行有效監督。

了解更多具體評估內容查看官方發文?：https://std.samr.gov.cn/gb/search/gbDetailed?id=33D40F1161195D92E06397BE0A0A5B93

評估工具

開展數據安全風險評估時,可綜合采取下列手段進行評估：

人員訪談:對相關人員進行訪談,核查制度規章、防護措施、安全責任落實情況。

文檔查驗:查驗安全管理制度、合同協議、應急演練報告、事件處置報告及數據安全風險評估報告、網絡安全等級保護測評報告等有關材料及制度落實情況的證明材料。

安全核查:核查網絡環境、數據庫和大數據平臺等相關系統和設備安全策略、配置、防護措施情況。

技術測試:應用技術工具、滲透測試等手段查看數據資產情況、檢測防護措施有效性。

服務對標國標：從“標準解讀”到“落地實踐”

企業應圍繞數據全生命周期并涵蓋管理策略與防護技術，構建安全體系，從技術上打通數據孤島，解決數據開放共享鏈條上的安全顧慮。

安全體系應該具備包括數據分類分級、數據加密與脫敏、數據訪問審計與監控、數據庫防火墻與安全管控、威脅檢測與應急響應等相關功能。