根据GB/T 45577-2025标准,数据安全风险评估的实施流程分为五个阶段:
评估准备 → 信息调研 → 风险识别 → 风险分析与评价 → 评估总结
第一阶段:评估准备
评估准备是数据安全风险评估的初始阶段,主要工作包括:
明确评估目标:确定本次评估要解决什么问题——是为了满足合规要求,还是为了识别特定业务场景的风险?目标不同,评估的深度和侧重点也会不同。
确定评估范围:明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。对于大型组织,可采用“全面摸排+重点聚焦”的策略——先全面摸清数据安全的整体情况,再选择核心业务或重点信息系统作为重点评估对象。
组建评估团队:评估团队应由被评估组织和评估机构共同组成。评估方需要配备项目组长、评估成员和质量控制员;被评估方应建立由数据安全负责人、运维人员、开发人员、业务人员等组成的专项团队。
制定评估方案:包括评估概述、范围、人员、依据、方法及工具、活动管理等核心内容。
第二阶段:信息调研
信息调研阶段的核心是“摸清家底”——全面识别数据处理者的基本情况。调研内容包括:
-
数据处理者基本情况:单位名称、性质、行业领域、业务范围、业务规模等;
-
业务和信息系统:网络规模、拓扑结构、等级保护备案情况、第三方产品和服务等;
-
数据资产:结构化数据和非结构化数据,摸清数据分类分级、个人信息、重要数据、核心数据、一般数据的情况;
-
数据处理活动清单:覆盖收集、存储、使用、加工、传输、提供、公开、删除等全生命周期,必要时绘制数据流图;
-
已有安全措施:等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计等情况。
第三阶段:风险识别
风险识别是评估的核心环节,从以下四个维度系统性排查风险源:
1. 数据安全管理维度
2. 数据处理活动维度
聚焦数据全生命周期的每一个环节:
3. 数据安全技术维度
4. 个人信息保护维度
标准附录B提供了《风险识别清单》,包含32项通用风险点+15项行业特殊风险点,企业可直接复用,快速定位风险。
第四阶段:风险分析与评价
在风险识别的基础上,需要对已发现的风险进行系统分析和量化评价:
风险归类分析:将识别出的风险隐患进行分类整理,形成风险源清单。可以基于一项风险源,也可以综合多项风险源分析可能引发的数据安全风险。
风险危害程度分析:结合数据价值和风险源严重程度,分析风险一旦发生可能对国家、社会公共利益、组织或个人合法权益造成的危害。危害程度分为5级:轻微/低/中/高/重大。
风险发生可能性分析:结合风险源发生频率、安全措施有效性和完备性,分析风险发生的可能性。可能性分为3级:低/中/高。
风险等级评价:综合危害程度和可能性,逐项评价风险级别。可采用定量公式:风险分值 = √(危害程度赋值 × 发生可能性赋值)。例如,某关基单位通过定量分析,将“核心数据泄露”风险分值测算为8.5(满分10),列为优先整改项。
第五阶段:评估总结
评估总结阶段的主要工作包括:
编制评估报告:根据标准附录E提供的模板,编制数据安全风险评估报告,准确、清晰地描述评估活动的主要内容,提出可操作的整改措施建议。
制定整改计划:被评估方应制定整改计划,限期完成整改。高风险项需在30日内整改。无法及时完成整改的,应采取临时安全措施,防止数据安全事件发生。
残余风险分析:整改完成后,可酌情开展复评,重点分析风险处置后的残余风险,以及采取额外控制措施可能导致的次生风险。
颐卓咨询管理集团-广州总部
总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
联系方式:13622221264(张小姐)或13433933194(廖经理)
邮 箱:eyzo@chinakec.com
公司官网:www.chinakec.com
集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等