为贯彻落实《数据安全法》关于数据安全风险评估的要求,国家市场监督管理总局、国家标准化管理委员会于2025年4月25日正式发布《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025),将于2025年11月1日起正式实施。该标准适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
评估概述
数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理活动合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险,最后梳理风险源清单,分析数据安全风险、视情评价数据安全风险,并给出整改建议。数据安全风险评估的方式,主要包括自评估、委托第三方评估和检查评估。
适用情形
应开展的情形
1、重要数据处理者、核心数据处理者、处理1000万人以上个人信息的数据处理者,每年度对其网络数据处理活动开展数据安全风险评估。
处理重要数据的大型网络平台服务提供者除依据本文件开展数据安全风险评估外,还应当充分说明关键业务和供应链网络数据安全等情况。
2、重要数据的处理者提供、委托处理、共同处理重要数据前;
3、当数据范围、数据处理活动、环境、相关方等发生重大变更,被评估对象的政策环境、外部威胁环境、业务目标,安全目标等发生重大变化,超出数据安全风险评估时效等情形。
4、法律、行政法规、部门规章,强制性国家标准等文件有要求的情形。
宜开展的情形
1、重要数据处理者合并、分立、解散、被宣告破产、进行数据转移等情形。
2、大型网络平台运营者、赴境外上市的数据处理者、党政机关,按照有关规定定期开展数据安全风险评估。
3、事前评估:
◆承载重要数据处理活动的信息系统发生架构调整、下线等重大变更;
◆重要系统上线前;
◆新技术应用可能带来数据安全风险的;
◆其他可能直接危害国家安全、公共利益或者大量个人、组织合法权益的数据处理活动。
评估内容
数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图1所示。
图1. 数据安全风险评估内容框架图
评估流程
数据安全风险评估流程,,主要包括评估准备、信息调研、风险识别、风险分析与评价、评估总结五个阶段,评估实施流程如图2所示。
图2. 数据安全风险评估实施流程
评估手段
1、人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。
2、文档查验:查验安全管理制度、合同协议、应急演练报告、事件处置报告及数据安全风险评估报告、网络安全等级保护测评报告等有关材料及制度落实情况的证明材料。
3、安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。
4、技术测试:应用技术工具,渗透测试等手段査看数据资产情况,检测防护措施有效性。
评估团队
数据处理者开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任。数据处理者可委托第三方专业技术机构实施,第三方专业技术机构在评估中获取的信息只能用于评估目的,未经授权不应泄露,出售或者非法向他人提供。
《数据安全法》《网络安全法》《个人信息保护法》等重要法律法规明确了数据安全的基本原则、责任主体以及相关义务,强调了开展数据安全风险评估的重要性与必要性。
《数据安全技术 数据安全风险评估方法》(GB/T45577-2025)明确了数据安全风险评估的基本概念、要素关系、分析原理等,规范了评估的实施流程、内容框架和分析评价方法等,使数据安全风险评估工作更加科学化、标准化、系统化,有助于提高评估结果的准确性和可靠性。
本文件是贯彻落实上位法中关于数据安全风险评估要求的具体举措,为数据处理者、第三方评估机构及监管部门提供了统一的风险评估框架和操作指南,使其在开展数据安全风险评估工作时有法可依、有标可循,进一步推动了数据安全法律法规的落地实施,助力企业合理利用数据资产、提升数据竞争力,推动数字化转型在安全合规的轨道上高效前行。
来源:全国标准信息公共服务平台
往期阅读
📍发表于:中国 北京
