TC260-PG-20231A 网络安全标准实践指南 —网络数据安全风险评估实施指引 （v1.0-202305） 全国信息安全标准化技术委员会秘书处 2023 年 5 月 本文档可从以下网址获得： www.tc260.org.cn/ 前 言 《网络安全标准实践指南》（以下简称《实践指南》）是 全国信息安全标准化技术委员会（以下简称“信安标委”）秘 书处组织制定和发布的标准相关技术文件，旨在围绕网络安 全法律法规政策、标准、网络安全热点和事件等主题，宣传 网络安全相关标准及知识，提供标准化实践指引。 I 声 明 本《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、国家 信息技术安全研究中心、国家计算机网络应急技术处理协调 中心、国家工业信息安全发展研究中心等单位的技术支持。 II 摘 要 为指导网络数据安全风险评估工作，发现数据安全隐 患，防范数据安全风险，依据《中华人民共和国网络安全法》 《中华人民共和国数据安全法》《中华人民共和国个人信息 保护法》等法律法规，参照数据安全相关国家标准，制定本 指南。 本指南给出了网络数据安全风险评估思路、工作流程和 评估内容，可用于指导数据处理者、第三方机构开展数据安 全评估，也可为有关主管监管部门组织开展检查评估提供参 考。 III 目 录 前 言 ....................................................................... I 技术支持单位 ................................................................ II 1 范围 ....................................................................... 1 2 术语定义 ................................................................... 1 3 风险评估概述 ............................................................... 3 3.1 评估思路 ............................................................. 3 3.2 评估内容 ............................................................. 3 3.3 评估流程 ............................................................. 4 3.4 评估手段 ............................................................. 6 4 评估准备 ................................................................... 6 4.1 明确评估目标 ......................................................... 7 4.2 确定评估范围 ......................................................... 7 4.3 组建评估团队 ......................................................... 8 4.4 开展前期准备 ......................................................... 9 4.5 制定评估方案 ........................................................ 10 5 信息调研 .................................................................. 11 5.1 数据处理者调研 ...................................................... 11 5.2 业务和信息系统调研 ...................................................12 5.3 数据资产调研 ........................................................ 12 5.4 数据处理活动调研 .................................................... 13 5.5 安全措施调研 ........................................................ 14 6 风险识别 .................................................................. 15 6.1 数据安全管理 ........................................................ 15 6.2 数据处理活动 ........................................................ 26 6.3 数据安全技术 ........................................................ 38 6.4 个人信息保护 ........................................................ 45 7 综合分析 .................................................................. 56 7.1 梳理问题清单 ........................................................ 56 7.2 风险分析与评价 ...................................................... 57 7.3 提出整改建议 ........................................................ 57 8 评估总结 .................................................................. 57 8.1 评估报告 ............................................................ 57 8.2 风险处置 ............................................................ 59 附录 A 典型数据安全风险类别 ..................................................60 附录 B 评估报告模板 ..........................................................62 IV 1 范围 本指南给出了网络数据安全风险评估思路、工作流程和评估内 容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息 保护等方面评估安全风险。 本指南适用于指导数据处理者、第三方机构开展风险评估，也可 为有关主管监管部门组织开展数据安全检查评估提供参考。 2 术语定义 2.1 网络数据 通过网络处理和产生的各种电子数据，简称“数据”。 2.2 数据处理者 在数据处理活动中自主决定处理目的和处理方式的个人和组织。 2.3 数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态， 以及具备保障持续安全状态的能力。 2.4 数据处理活动 数据的收集、存储、使用、加工、传输、提供、公开、删除等活 动。 2.5 网络数据安全风险评估 对网络数据和数据处理活动安全进行风险识别、风险分析和风险 评价的整个过程。 2.6 委托处理 1 数据处理者委托个人、组织按照约定的目的和方式开展的数据处 理活动。 2.7 共同处理 两个以上的数据处理者共同决定数据的处理目的和处理方式的 数据处理活动。 注：两个以上含两个。 2.8 数据安全风险 数据安全事件的发生可能性及其对国家安全、公共利益或者组 织、个人合法权益造成的影响。 2.9 合理性 数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德， 符合网络安全和数据安全常识道理。 2.10 风险隐患 可能导致危害数据的保密性、完整性、可用性和数据处理合理性 等事件的威胁、脆弱性、问题、隐患等，也称“风险源”。 注：风险隐患，既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括 数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。 2.11 业务 组织为实现某项发展规划而开展的运营活动。 [来源：GB/T 20984-2022, 3.1.4] 2.12 自评估 由数据处理者自身发起，组成机构内部评估小组或委托第三方评 估机构，依据有关政策法规与标准，对评估对象的数据安全风险进行 2 评估的活动。 2.13 检查评估 由数据处理者的上级主管部门、业务主管部门或国家有关主管 （监管）部门发起的，依据有关政策法规与标准，对评估对象的数据 安全风险进行的评估活动。 3 风险评估概述 3.1 评估思路 网络数据安全风险评估坚持预防为主、主动发现、积极防范，对 数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数 据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护 措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用 能力。 网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可 能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。 首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数 据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理 活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理 问题清单，分析数据安全风险、视情评价风险，并给出整改建议。 3.2 评估内