數(shù)據(jù)安全風(fēng)險評估實務(wù)：問題剖析與解決思路

本報告版權(quán)屬于數(shù)據(jù)安全推進計劃，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點的，應(yīng)注明“來源：數(shù)據(jù)安全推進計劃”。違反上述聲明者，數(shù)據(jù)安全推進計劃將追究其相關(guān)法律責任。報告愿景及目標全球數(shù)字經(jīng)濟持續(xù)發(fā)展，我國數(shù)字化轉(zhuǎn)型加速推進，數(shù)據(jù)要素市場化進度加快。然而，數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，這嚴重危害了國家、社會公眾安全，數(shù)據(jù)安全風(fēng)險防范的重要性日益凸顯。隨著網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域的法律法規(guī)相繼頒布，強調(diào)數(shù)據(jù)處理者應(yīng)依法依規(guī)開展數(shù)據(jù)處理活動，建立健全數(shù)據(jù)安全管理制度，加強數(shù)據(jù)安全風(fēng)險監(jiān)測與防范，定期開展數(shù)據(jù)安全風(fēng)險評估，數(shù)據(jù)安全風(fēng)險的評估與治理已成為業(yè)內(nèi)各方最為關(guān)切的話題。然而，盡管大量的法規(guī)、標準提供了豐富的理論指引，數(shù)據(jù)安全風(fēng)險評估工作實務(wù)中仍然存在諸多問題。這些問題分布在整個評估過程的各個階段，成因錯綜復(fù)雜，嚴重影響了組織的數(shù)據(jù)安全風(fēng)險評估工作落地，長期來看不利于組織數(shù)據(jù)安全風(fēng)險治理能力的持續(xù)提升。在此背景下，數(shù)據(jù)安全推進計劃（DSI）聯(lián)合中國通信標準化協(xié)會大數(shù)據(jù)技術(shù)標準推進委員會（CCSATC601），攜手業(yè)內(nèi)眾多專家撰寫了本報告。本報告旨在解決數(shù)據(jù)安全風(fēng)險評估實務(wù)中的諸多問題，介紹了當前我國數(shù)據(jù)安全風(fēng)險評估的監(jiān)管要求、標準編制現(xiàn)狀以及評估實施方法，提煉了數(shù)據(jù)安全風(fēng)險評估工作的具體實施流程，并以評估實施流程為主線，系統(tǒng)性梳理了組織在評估準備、評估實施、評估總結(jié)三大階段面臨的具體實務(wù)問題，并提出問題解決思路，為數(shù)據(jù)處理者、評估機構(gòu)的數(shù)據(jù)安全風(fēng)險評估實務(wù)提供參考，為相關(guān)數(shù)據(jù)處理者、服務(wù)機構(gòu)紓難解惑，增強產(chǎn)業(yè)界信心。由于編制時間倉促、水平有限，報告難免存在疏漏，歡迎大家批評指正。聯(lián)系方式：gongshiran@編制單位中國信息通信研究院云計算與大數(shù)據(jù)研究所、中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司、中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院、中國移動通信集團江蘇有限公司、中國人壽保險（集團）公司、中國平安人壽保險股份有限公司、華泰證券股份有限公司、天翼電子商務(wù)有限公司、西部證券股份有限公司、中國航天科工集團航天情報與信息研究所、國家電網(wǎng)有限公司、重慶長安汽車股份有限公司、賽力斯集團股份有限公司、北京銀行股份有限公司、北京五八信息技術(shù)有限公司、杭州美創(chuàng)科技股份有限公司、奇安信科技集團股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、聯(lián)通數(shù)字科技有限公司、杭州比智科技有限公司、全知科技（杭州）有限責任公司、騰訊科技（深圳）有限公司、北京億賽通科技發(fā)展有限責任公司、北京塔斯數(shù)據(jù)技術(shù)有限公司、天道金科股份有限公司、杭州藪貓科技有限公司、深圳市聯(lián)軟科技股份有限公司、北京數(shù)字認證股份有限公司、杭州數(shù)夢工場科技有限公司、安徽辰圖大數(shù)據(jù)科技有限公司、北京數(shù)安行科技有限公司、北京煉石網(wǎng)絡(luò)技術(shù)有限公司、南京聚銘網(wǎng)絡(luò)科技有限公司、杭州安恒信息技術(shù)股份有限公司、阿里云計算有限公司、廈門服云信息科技有限公司、深圳市華傲數(shù)據(jù)技術(shù)有限公司、杭州極盾數(shù)字科技有限公司。編制工作組龔詩然、張亞蘭、李雪妮、李天陽、張越、郝志婧、劉雪花編制專家龔詩然、張亞蘭、溫暖、王勇、李冰、王志宇、周瑩、李文琦、劉飛龍、錢江洪、陳豪、曹咪、陶冶、吳璟、姬長鵬、劉洋、張嘯雷、馬寧、張揚、柯淑馨、江旺、張炎、周思佳、謝云鵬、洪雪蓮、許琛超、邢驍、姜娜、全曉東、李超、張立鵬、張強強、劉斌、蘇輝、葉樺、朱朔漫、楚赟、蘇文亭、梁偉、王瑋、艾龍、謝雄、馬明、趙寧、周莉、王笑晨、郭麗穎、胡嘉偉、甘長華、翟培康、關(guān)中華、項宇欣、劉玉紅、趙倩、唐開達、陳虎、高柱、徐道晨、李娜（阿里云）、楊智壟、何旭珩、查浩奇。一、數(shù)據(jù)安全風(fēng)險評估工作背景(一)數(shù)據(jù)安全風(fēng)險形勢日益嚴峻011.數(shù)據(jù)泄露：持續(xù)呈現(xiàn)高發(fā)態(tài)勢012.數(shù)據(jù)破壞：勒索攻擊危害顯著02(二)組織風(fēng)險防范面臨監(jiān)管考驗02(三)新技術(shù)應(yīng)用暗藏新型風(fēng)險03二、數(shù)據(jù)安全風(fēng)險評估工作現(xiàn)狀(一)風(fēng)險評估已成業(yè)界焦點05(二)評估標準編制進程加快07三、實務(wù)問題剖析與解決思路1.如何確定評估觸發(fā)條件2.如何制定評估工作目標153.如何規(guī)劃評估實施范圍161.如何獲取有效評估信息2.如何應(yīng)用風(fēng)險評估工具193.如何開展風(fēng)險評估分析201.如何充分應(yīng)用評估結(jié)果四、數(shù)據(jù)安全風(fēng)險評估工作建議(一)建立數(shù)據(jù)安全風(fēng)險評估機制25(二)構(gòu)建數(shù)據(jù)安全風(fēng)險治理框架25(三)完善數(shù)據(jù)安全風(fēng)險治理體系25附錄:中國信通院云大所實務(wù)索引27圖3數(shù)據(jù)風(fēng)險治理基本框架26表目錄表1數(shù)據(jù)安全風(fēng)險評估標準發(fā)展、演進一覽08表2數(shù)據(jù)安全風(fēng)險評估實施流程與產(chǎn)出物12表3數(shù)據(jù)安全風(fēng)險評估適用情形13一.數(shù)據(jù)安全風(fēng)險評估工作背景全球數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，嚴重危害了國家、社會公眾安全。針對各國政府機構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等違法活動明顯增多，數(shù)據(jù)安全事件涉及的數(shù)據(jù)以及用戶體量也在持續(xù)加大。如何有效防范數(shù)據(jù)安全風(fēng)險與事件，是全球數(shù)字經(jīng)濟發(fā)展下的重點問題。本章節(jié)將總結(jié)國際、國內(nèi)數(shù)據(jù)安全風(fēng)險形勢，分析廣大組織面臨的各類數(shù)據(jù)安全風(fēng)險以及日趨嚴格的監(jiān)管合規(guī)要求，闡述了組織加強數(shù)據(jù)安全風(fēng)險防范的必要性。全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。統(tǒng)計數(shù)據(jù)顯示，僅2021年全球范圍內(nèi)公開披露的數(shù)據(jù)泄露事件已超過四千起，涉及超過200億條數(shù)據(jù)。進入2023年，數(shù)據(jù)泄露的趨勢似乎并未得到緩解：2023年4月，威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報告》顯示，僅2023年第一季度就已發(fā)生近千余起數(shù)據(jù)泄露事件，這些事件涉及上千家組織、近四十個行業(yè)。例如，Twitter在2023年1月遭遇了數(shù)據(jù)泄露事件，包括用戶電子郵件地址、姓名等2億條個人信息被泄露。2023年2月，全美最大的綜合醫(yī)療服務(wù)網(wǎng)絡(luò)HeritageP個醫(yī)療機構(gòu)大量敏感信息泄露。2023年2月，Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機器人鏈接，該機器人泄露了大量來自我國各快遞、電商平臺的個人信息，包含了用戶的真實姓名、電話與住址等，數(shù)據(jù)量高達45億條。組織數(shù)據(jù)安全保障壓力倍增。2020年，某電商的客戶數(shù)據(jù)泄露導(dǎo)致不法分子冒充客服對全國二十多個城市的受害者進行了電話詐騙，受害者的被騙金額為幾千到十幾萬元不等。2023年8月，公安部公布了打擊侵犯公民個人信息犯罪的十大典型案例，其中黑灰產(chǎn)組織竊取、利用組織掌握的用戶個人信息實施犯罪的案例高居榜首。隨著個人信息成為黑灰產(chǎn)組織逐利的“重災(zāi)數(shù)據(jù)泄露事件為組織帶來的損失也在逐年走高。組織數(shù)字化轉(zhuǎn)型加快，對數(shù)據(jù)依賴程度隨之加深，數(shù)據(jù)一旦泄露給組織帶來的損失也更加嚴重。根據(jù)IBM《2023年數(shù)據(jù)泄露成本報告》顯示，組織數(shù)據(jù)泄露事件平均成本達到445萬美元，較2022年的435萬美元增長2.3%，而較2020年的386萬美元則足足增長了15.3%，現(xiàn)已創(chuàng)下歷史新高。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE有針對性的數(shù)據(jù)勒索與破壞事件愈演愈烈。隨著全球各行業(yè)領(lǐng)域的組織數(shù)字化轉(zhuǎn)型程度加深，其系統(tǒng)及承載的數(shù)據(jù)重要程度也隨之提升，其中的關(guān)鍵數(shù)據(jù)更是組織業(yè)務(wù)運行命脈，一旦這些關(guān)鍵數(shù)據(jù)遭到破壞，將面臨業(yè)務(wù)中斷、信息系統(tǒng)或網(wǎng)絡(luò)服務(wù)癱瘓，嚴重的后果可能是長期業(yè)務(wù)受損，客戶信息、商業(yè)機密等重要數(shù)據(jù)泄露，給組織帶來重大的經(jīng)濟損失和聲譽損失。而近年來，針對政府機構(gòu)、知名組織的數(shù)據(jù)勒索、破壞事件也持續(xù)增加：2022年，哥斯達黎加政府遭遇Conti勒索軟件團伙攻擊，國家財政部數(shù)個TB的數(shù)據(jù)以及800多臺服務(wù)器受到此次攻擊影響，國內(nèi)數(shù)字稅務(wù)服務(wù)、海關(guān)控制IT系統(tǒng)以及醫(yī)療保健系統(tǒng)在多輪攻擊下接連癱瘓、被迫下線，導(dǎo)致國內(nèi)醫(yī)療保健系統(tǒng)陷入混亂。同年，法國巴黎的一家醫(yī)院CenterHospitalierSudFrancilien（以下簡稱CHSF）遭遇網(wǎng)絡(luò)攻擊并被勒索1000萬美元作為解密密鑰的贖金。此次攻擊直接導(dǎo)致了CHSF多個業(yè)務(wù)軟件、醫(yī)學(xué)影像存儲系統(tǒng)無法訪問，大量醫(yī)療數(shù)據(jù)被加密迫使醫(yī)院推遲多臺手術(shù)計劃，大量患者被臨時轉(zhuǎn)診至其他機構(gòu)，這嚴重威脅了當?shù)氐募?、重病患者生命安全。來自“?nèi)鬼”的數(shù)據(jù)竊取也令組織防不勝防。2023年6月6日，Verizon發(fā)布了《2023年度數(shù)據(jù)泄露調(diào)查報告》（2023DataBreachInvestigationsReport，簡稱DBIR），分析了從2017年以來的16312起安全事件和5199起數(shù)據(jù)泄露事件，指出74%的泄露事件由人為因素造成的，約五分之一的數(shù)據(jù)泄露事件來自于組織的內(nèi)部。組織收集、存儲了大量用戶的個人信息數(shù)據(jù)，一旦組織內(nèi)部出現(xiàn)了特權(quán)賬號濫用、數(shù)據(jù)權(quán)限分配不清、人員利用越權(quán)訪問漏洞等問題，將直接導(dǎo)致?lián)碛袃?nèi)部人員對其獲取的數(shù)據(jù)進行不正當?shù)氖褂没蛘吒`取。2023年5月，特斯拉兩名員工違規(guī)挪用、泄露了包括員工個人信息、客戶銀行信息、生產(chǎn)信息在內(nèi)的100GB數(shù)據(jù)，影響超過7.5萬人。無獨有偶，2023年7月，日本通信運營商NTTDOCOMO的承包商員工盜取了包括用戶個人信息在內(nèi)的596萬條商業(yè)信息，這些案件均有力證明了組織“內(nèi)鬼”竊取數(shù)據(jù)的危害。面對日益嚴峻的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險，各國政府倡導(dǎo)國際、國內(nèi)或地區(qū)內(nèi)的公私部門開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險防范合作。例如，2023年《聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約》結(jié)合新型網(wǎng)絡(luò)犯罪情況，要求締約國將黑客攻擊、非法數(shù)據(jù)獲取等犯罪行為納入本國刑法執(zhí)法范圍，倡導(dǎo)加強網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險的跨國協(xié)作與應(yīng)對。再例如，歐盟《數(shù)據(jù)治理法案》（2022）提出歐盟境內(nèi)的公共和私營組織在共享數(shù)據(jù)時，應(yīng)遵守的安全與可靠性要求，要求及時報告數(shù)據(jù)泄露事件，防范全球數(shù)據(jù)流通帶來的數(shù)據(jù)共享風(fēng)險。美國《網(wǎng)絡(luò)安全信息分享法案（CISA）》（2015）也曾鼓勵國內(nèi)的私營組織與政府進行網(wǎng)絡(luò)威脅情報共享，增強其網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險防御能力。數(shù)據(jù)安全與隱私保護法規(guī)的發(fā)展對廣大數(shù)據(jù)處理者的風(fēng)險防范能力提出了新要求。除了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險的跨國協(xié)作與應(yīng)對，各國的法律法規(guī)也明確規(guī)定了國內(nèi)數(shù)據(jù)處理者的數(shù)據(jù)安全義務(wù)、責任，要求其開展數(shù)據(jù)保護影響評估等活動，加強對用戶個人信息的保護。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE中國方面。2021年，中國《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）相繼頒布、實施。作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》指出數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應(yīng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。其中，重要數(shù)據(jù)處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告?！秱€人信息保護法》則進一步強調(diào)了個人信息處理者的責任與義務(wù)，提出個人信息處理者應(yīng)對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。在處理敏感個人信息等情形下，個人信息處理者還應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄。歐盟方面。2018年，歐盟《通用數(shù)據(jù)保護條例》（GeneralDataProtectionReg-ulation，以下簡稱“GDPR”）正式生效。GDPR基于其域外效力及嚴厲的行政處罰措施，提出了個人同意、隱私權(quán)影響評估等多項數(shù)據(jù)處理合規(guī)要求，并警示其適用范圍內(nèi)的數(shù)據(jù)處理主體嚴格履行合規(guī)義務(wù)。針對可能會為自然人權(quán)利與自由帶來高度風(fēng)險的數(shù)據(jù)處理方式，GDPR提出數(shù)據(jù)處理主體應(yīng)事先進行影響評估，加強對個人敏感信息的保護，限制對個人信息的非授權(quán)使用。交評估報告。此外，美國的《弗吉尼亞州消費者保護法》與《科羅拉多州隱私法》也要求，針對可能對消費者帶來重大風(fēng)險的行為，信息處理者應(yīng)開展數(shù)據(jù)保護影響評估（DataProtection），新加坡、俄羅斯、印度、巴西、韓國等多個國家也通過立法明確了數(shù)據(jù)處理者的數(shù)據(jù)保護、風(fēng)險防范以及數(shù)據(jù)保護影響評估活動等方面的要求，加強了數(shù)據(jù)處理者的監(jiān)督和處罰，極大地推動了以上國家、地區(qū)的數(shù)據(jù)處理者提升數(shù)據(jù)安全風(fēng)險防范能力，切實保護數(shù)據(jù)安全。新技術(shù)應(yīng)用衍生新型安全風(fēng)險。5G、人工智能、云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)分析等新興技術(shù)應(yīng)用極大地推動了各行業(yè)領(lǐng)域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、便利的服務(wù)，但同時也帶來了大量的安全漏洞、風(fēng)險。以云計算為例。云計算通過互聯(lián)網(wǎng)為組織提供了更加靈活、可擴展的計算和存儲服務(wù)，實現(xiàn)了資源池化、按需擴縮容的能力，但云平臺的復(fù)雜性以及多租戶環(huán)境也存在數(shù)據(jù)隔離失效的問題，存在內(nèi)部人員越權(quán)訪問的可能，增加了組織數(shù)據(jù)泄露的風(fēng)險。再例如，5G技術(shù)的典型應(yīng)用場景eMBB（增強移動帶寬），由于在增強現(xiàn)實（AR）、虛擬現(xiàn)實（VR）、高清視頻直播、頻等對帶寬有 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE03極高要求的業(yè)務(wù)場景下衍生的海量數(shù)據(jù)往往涉及個人隱私數(shù)據(jù)，而傳統(tǒng)的安全基礎(chǔ)設(shè)施難以適應(yīng)超大流量的5G網(wǎng)絡(luò)防護以及海量用戶隱私數(shù)據(jù)保護的安全需求。新興技術(shù)的監(jiān)管措施與規(guī)范的不完善也可能導(dǎo)致數(shù)據(jù)安全風(fēng)險。部分處于萌芽期的新興技術(shù)可能因其配套的監(jiān)管措施與技術(shù)規(guī)范尚未完善，在實際應(yīng)用過程中為組織、個人帶來尚未被公眾充分認識的數(shù)據(jù)安全風(fēng)險，導(dǎo)致安全事件一旦發(fā)生，出現(xiàn)責任主體判定難、治理成本高等問題。以生成式AI為例。其在文本、圖片或視頻生成等領(lǐng)域中得到了廣泛的應(yīng)用，但如果在學(xué)習(xí)訓(xùn)練階段缺乏監(jiān)管，該技術(shù)可能會因其對個人信息進行深度加工、價值挖掘，導(dǎo)致個人信息被違規(guī)利用或個人信息主體的權(quán)益遭到侵害，帶來個人信息泄露的安全風(fēng)險。針對這一問題，2023年7月我國國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）發(fā)布了《生成式人工智能服務(wù)管理暫行辦法》，明確了數(shù)據(jù)訓(xùn)練的要求，強調(diào)涉及個人信息的訓(xùn)練數(shù)據(jù)處理活動須遵守法律和監(jiān)管要求——這一定程度上推動了生成式AI技術(shù)的安全、合規(guī)應(yīng)用，但對于如何防范其可能引發(fā)的數(shù)據(jù)安全風(fēng)險問題，仍需產(chǎn)業(yè)界的持續(xù)探索。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE04二.數(shù)據(jù)安全風(fēng)險評估工作現(xiàn)狀隨著我國數(shù)字經(jīng)濟的快速發(fā)展、傳統(tǒng)業(yè)務(wù)的數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)價值化加速推進，結(jié)合全球數(shù)據(jù)安全風(fēng)險的整體形勢，數(shù)據(jù)安全風(fēng)險的識別、評估與應(yīng)對已成為我國廣大組織面臨的最緊迫、最根本的問題，受到了國家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視。本章節(jié)將總結(jié)國內(nèi)數(shù)據(jù)安全風(fēng)險評估工作落地情況，介紹數(shù)據(jù)安全風(fēng)險評估的相關(guān)標準與實施方法，為相關(guān)數(shù)據(jù)處理者、服務(wù)機構(gòu)初步建立數(shù)據(jù)安全風(fēng)險評估實施的整體認知。國家層面，推進數(shù)據(jù)安全風(fēng)險評估工作勢在必行。國家法規(guī)鼓勵開展數(shù)據(jù)安全風(fēng)險評估，《數(shù)據(jù)安全法》提出了國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應(yīng)當加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當立即采取補救措施，強調(diào)了對風(fēng)險信息的監(jiān)測與評估是把控數(shù)據(jù)安全風(fēng)險的首要途徑。多部門提出數(shù)據(jù)安全風(fēng)險評估工作要求。為了規(guī)范數(shù)據(jù)處理活動，防范重大數(shù)據(jù)安全風(fēng)險，中華人民共和國國務(wù)院（以下簡稱“國務(wù)院”）、國家網(wǎng)信辦、工業(yè)和信息化部（以下簡稱“工信部”）、中國人民銀行、國家醫(yī)療保障局等監(jiān)管部門、行業(yè)主管部門相繼發(fā)布了數(shù)據(jù)安全保護工作要求，提出數(shù)據(jù)處理者應(yīng)建立健全數(shù)據(jù)安全風(fēng)險評估機制，開展風(fēng)險評估工作，及時消除風(fēng)險隱患。包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》等多項文件也進一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者、重要數(shù)據(jù)處理者以及特定情形下的個人信息處理者等重點主體應(yīng)按照有關(guān)規(guī)定，定期開展風(fēng)險評估，報送評估報告的具體工作要求。關(guān)鍵信息基礎(chǔ)設(shè)施運營者每年開展風(fēng)險評估。國務(wù)院令第745號《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況。重要數(shù)據(jù)處理者定期開展數(shù)據(jù)安全評估?！稊?shù)據(jù)安全法》在第三十條明確了重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。2022年，國家網(wǎng)信辦發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》，要求組織的數(shù)據(jù)安全管理機構(gòu)定期開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險評估、應(yīng)急演練等活動。涉及處理重要數(shù)據(jù)或者赴境外上市的，數(shù)據(jù)處理者應(yīng)每年開展一次數(shù)據(jù)安全評估。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE05主管部門應(yīng)定期組織開展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險評估，對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務(wù)情況進行監(jiān)督檢查，指導(dǎo)督促數(shù)據(jù)處理者及時對存在的風(fēng)險隱患進行整改。工信部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》也提出，工信領(lǐng)域的重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險評估，及時整改風(fēng)險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風(fēng)險評估報告。個人信息處理者應(yīng)結(jié)合具體情形開展安全評估或者個人信息保護影響評估?！秱€人信息保護法》明確了個人信息處理者在特定的情形下需要通過國家網(wǎng)信部門組織的安全評估或者開展個人信息保護影響評估的要求：例如，第四十條提出了關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，在確需將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息向境外提供的情形下，應(yīng)通過國家網(wǎng)信部門組織的安全評估。而第五十五條則明確了在處理敏感個人信息、利用個人信息進行自動化決策等五種具體情形下，個人信息處理者應(yīng)事前進行個人信息保護影響評估，并對處理情況進行記錄，并進一步規(guī)定了個人信息保護影響評估的內(nèi)容、報告和處理記錄留存等具體要求。如涉及向境外提供境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的數(shù)據(jù)處理者開展數(shù)據(jù)出境風(fēng)險自評估。此類數(shù)據(jù)處理者需要按照國家網(wǎng)信辦《數(shù)據(jù)出境安全評估辦法》，開展數(shù)據(jù)出境風(fēng)險自評估開展數(shù)據(jù)出境風(fēng)險自評估，并向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。數(shù)據(jù)處理者需要在風(fēng)險自評估環(huán)節(jié)，重點評估其出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度、數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險以及數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露等風(fēng)險等方面內(nèi)容。地方層面，多地積極響應(yīng)數(shù)據(jù)安全風(fēng)險評估工作。北京、貴州、天津、海南、山西、吉林、安徽、山東、深圳、上海等省市地區(qū)紛紛頒布相關(guān)數(shù)據(jù)條例、管理辦法等文件，積極落實國家法律法規(guī)要求，推動當?shù)財?shù)據(jù)處理者開展風(fēng)險評估工作。2019年天津市互聯(lián)網(wǎng)信息辦公室印發(fā)的《天津市數(shù)據(jù)安全管理辦法（暫行）》在第七條提出數(shù)據(jù)運營者應(yīng)當開展數(shù)據(jù)安全風(fēng)險評估的要求，并在第十七條強調(diào)數(shù)據(jù)運營者如向境外提供個人信息和重要數(shù)據(jù)，應(yīng)按照相關(guān)法律法規(guī)的規(guī)定開展安全評估。2021年11月，上海市第十五屆人民代表大會通過了《上海市數(shù)據(jù)條例》。其中，第八十一條提出重要數(shù)據(jù)處理者應(yīng)按照規(guī)定，定期對其數(shù)據(jù)處理活動開展風(fēng)險評估，并依法向有關(guān)主管部門報送風(fēng)險評估報告的要求。其他的省市地區(qū)（例如：遼寧、安徽、山東、蘇州、深圳、廈門等）也均在其數(shù)據(jù)條例等文件中強調(diào)了開展數(shù)據(jù)處理活動的組織定期進行數(shù)據(jù)安全風(fēng)險評估，提高風(fēng)險識別與處置能力，嚴格落實個人信息合法使用、數(shù)據(jù)安全使用承諾和重要數(shù)據(jù)出境安全管理等相關(guān)要求。由此可見，數(shù)據(jù)安全風(fēng)險評估在國家建立健全數(shù)據(jù)安全治理體系中起到了關(guān)鍵作用：數(shù)據(jù)安全風(fēng)險評估推動了各行業(yè)、領(lǐng)域的廣大數(shù)據(jù)處理者合法、正當?shù)亻_展數(shù)據(jù)處理活動，在提高數(shù)據(jù)處理者的數(shù)據(jù)安全保障能力，防范重大數(shù)據(jù)安全風(fēng)險等方面具有重要的意義。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE06為更好地響應(yīng)廣大數(shù)據(jù)處理者的需求、落實數(shù)據(jù)安全風(fēng)險評估的法定要求，國家、地方數(shù)據(jù)安全監(jiān)管機構(gòu)以及相關(guān)行業(yè)組織也相繼發(fā)布了具體的數(shù)據(jù)安全風(fēng)險評估實施指引、標準以及實踐指南等文件，積極推動數(shù)據(jù)安全風(fēng)險評估標準與指南的研究與制定工國家標準編制進程持續(xù)加速。2022年3月，全國信息安全標準化技術(shù)委員會（以下簡稱“全國信安標委”）啟動了國家標準《信息安全技術(shù)數(shù)據(jù)安全風(fēng)險評估方法》（以下簡稱《數(shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》）的編制工作，并于2023年8月面向社會公眾公開征求意見?！稊?shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》基于國家標準GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險評估方法》（以下簡稱《信息安全風(fēng)險評估方法》）的框架、流程與實施方法，考慮了數(shù)據(jù)和數(shù)據(jù)處理活動的特點，借鑒了GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》、JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等國家、行業(yè)標準，最終從管理、數(shù)據(jù)處理活動、技術(shù)等維度入手，結(jié)合核心數(shù)據(jù)、重要數(shù)據(jù)、個人信息、一般數(shù)據(jù)的安全特點與保護要求，提出了數(shù)據(jù)安全風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實施流程、評估內(nèi)容、分析與評價方法等方面的內(nèi)容。此外，2023年5月，全國信安標委還編制、發(fā)布了《TC260-PG-20231A網(wǎng)絡(luò)數(shù)據(jù)安全實踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》（以下簡稱《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》），為廣大組織與專業(yè)服務(wù)機構(gòu)提供了風(fēng)險評估的實施流程、實施方法、評估內(nèi)容等具體指導(dǎo)。多個行業(yè)的數(shù)據(jù)安全風(fēng)險評估標準持續(xù)完善。數(shù)據(jù)安全風(fēng)險與行業(yè)領(lǐng)域數(shù)據(jù)的應(yīng)用場景息息相關(guān)。為了更好地指導(dǎo)業(yè)內(nèi)的廣大數(shù)據(jù)處理者有效識別、評估數(shù)據(jù)安全風(fēng)險，因地制宜地加強自身的風(fēng)險防范能力，一些行業(yè)主管部門也在持續(xù)推進行業(yè)數(shù)據(jù)安全風(fēng)險評估方法的編制工作。以電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)為例。2020年，工信部發(fā)布了YD/T3801-2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》標準。該標準同樣參考了《信息安全風(fēng)險評估方法》，將數(shù)據(jù)作為核心保護對象，面向電信網(wǎng)和互聯(lián)網(wǎng)的典型數(shù)據(jù)應(yīng)用場景，提煉了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險的基本要素及要素間的關(guān)系，提供了電信網(wǎng)和互聯(lián)網(wǎng)組織實施數(shù)據(jù)安全風(fēng)險評估的具體流程、操作方法與風(fēng)險分析思路。此外，YD/T3956-2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》、YD/T4241-2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估技術(shù)實施指南》等行業(yè)標準也提供了對電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)單元以及業(yè)務(wù)系統(tǒng)進行安全評估的方法，為業(yè)內(nèi)組織開展數(shù)據(jù)安全風(fēng)險評估、現(xiàn)有安全措施評估等工作提供了參考依據(jù)。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE再例如金融行業(yè)。近年，中國人民銀行陸續(xù)發(fā)布了JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全評估規(guī)范（征求意見稿）》等標準，充分結(jié)合金融業(yè)機構(gòu)的組織特點、數(shù)據(jù)及其處理活動的特征，提供了金融業(yè)機構(gòu)開展數(shù)據(jù)安全風(fēng)險評估相關(guān)工作的實施流程、重點評估事項，在有效指導(dǎo)金融業(yè)機構(gòu)及時識別數(shù)據(jù)安全風(fēng)險，防范數(shù)據(jù)安全事件的同時，也推動金融業(yè)機構(gòu)充分落實金融業(yè)數(shù)據(jù)安全管理要求，提升數(shù)據(jù)安全保護工作水平，為各機構(gòu)實施數(shù)據(jù)安全風(fēng)險評估相關(guān)的工作提供了重要的參考。上述風(fēng)險評估標準的發(fā)展與演進見表1?！缎畔踩夹g(shù)信息安全風(fēng)險評估方法》布?明確了風(fēng)險評估實施方法說明：提出了信息安全風(fēng)險評估的基本概念、風(fēng)險要素關(guān)系、風(fēng)險分析原理、風(fēng)險評估實施流程和方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形?構(gòu)建了風(fēng)險評估整體框架說明：從風(fēng)險要素關(guān)系、風(fēng)險分析原理、風(fēng)險評估流程三?制定了風(fēng)險評估實施流程說明：實施流程包括評估準備、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價四個階段。溝通與協(xié)商、文檔記錄作為必要的手《電信網(wǎng)和互風(fēng)險評估實施方法》?明確了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施要點說明：基于《信息安全風(fēng)險評估方法》，總結(jié)了電信網(wǎng)和互聯(lián)網(wǎng)的數(shù)據(jù)威脅、脆弱性、已有安全措施等要素識別內(nèi)?提出了對電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用場景的識別要求說明：提出風(fēng)險評估依賴數(shù)據(jù)所涉及的各應(yīng)用場景，認為針對已識別的待評估數(shù)據(jù)資產(chǎn)，需要對數(shù)據(jù)應(yīng)用場景中的業(yè)務(wù)流程或使用流程、數(shù)據(jù)活動、參與主體進行識別，進?細化了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施流程說明：將風(fēng)險評估實施作為一個單獨階段，與風(fēng)險處置、殘余風(fēng)險評估共同構(gòu)成整個實施流程三個階段，在評估實施階段明確了評估準備、數(shù)據(jù)資產(chǎn)識別、數(shù)據(jù)應(yīng)用場景識別、數(shù)據(jù)威脅識別、脆弱性識別、已有安全措施識別、風(fēng)險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定了電信網(wǎng)和互 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE08《政務(wù)數(shù)據(jù)安全風(fēng)險評估規(guī)范》?明確了政務(wù)數(shù)據(jù)安全風(fēng)險評估實施要點說明：基于《信息安全風(fēng)險評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》，參考GB/T37973-2019數(shù)據(jù)分級要求，分析政務(wù)數(shù)據(jù)在全生命周期內(nèi)面臨的安全威脅、安全脆弱性、安全措施等要素識別內(nèi)容、風(fēng)險要素?提出了政務(wù)系統(tǒng)資產(chǎn)的識別要求說明：基于《信息安全風(fēng)險評估方法》的風(fēng)險要素與評估實施流程，提出了在評估實施階段根據(jù)政務(wù)數(shù)據(jù)安全管理的目標與原則，進行政務(wù)數(shù)據(jù)分類與分級，并將系統(tǒng)資產(chǎn)價值與安全威脅、安全脆弱性等其他風(fēng)險要素一并進行識?細化了政務(wù)數(shù)據(jù)安全風(fēng)險評估實施流程說明：基于評估準備、評估實施、風(fēng)險分析與評價、編制報告四個階段，分別明確了評估準備、數(shù)據(jù)資產(chǎn)識別、數(shù)據(jù)應(yīng)用場景識別、數(shù)據(jù)威脅識別、脆弱性識別、已有安全措施識別、風(fēng)險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)?擴展了風(fēng)險評估的目標說明：結(jié)合當前國家法律法規(guī)的最新要求，在《信息安全風(fēng)險評估方法》對組織的業(yè)務(wù)以及系統(tǒng)、平臺等資產(chǎn)的安全風(fēng)險進行評估、分析這一目標的基礎(chǔ)上，提出數(shù)據(jù)安全風(fēng)險評估的目標還包括落實法律法規(guī)義務(wù)，保護關(guān)鍵信息?提供了更加清晰的檢查項作為風(fēng)險評估實施要點說明：提供了數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個人信息保護相關(guān)的檢查項，與《信息安全風(fēng)險評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》以及GB/T39335-2020《信息安全技術(shù)個人信息安全影響評估指南》等側(cè)重于方法論構(gòu)建的評估標準文件形成互補、?提供了自評估與檢查評估兩套實施流程說明：明確了在自評估與檢查評估兩種情況下的評估目標確立、評估方案策劃、風(fēng)險分析評價等具體環(huán)節(jié)的實施差 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE09《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》.進一步擴展了風(fēng)險要素的范圍：結(jié)合數(shù)據(jù)以及數(shù)據(jù)處理活動的特點，提出了數(shù)據(jù)安全風(fēng)險評估涉及的風(fēng)險要素包括數(shù)據(jù)處理者、業(yè)務(wù)、信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動、全風(fēng)險。此外，結(jié)合《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》既包括安全威脅利用脆弱性可能導(dǎo)致數(shù)據(jù)安全事件的風(fēng)險隱患，也包括數(shù)據(jù)處理活動不合理操作可能造成違法違規(guī).突出了信息調(diào)研的重要性：與《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》保持了一致，將信息調(diào)研作為一個單獨的階段，旨在全面識別風(fēng)險要素，為后續(xù)風(fēng)險源識別、風(fēng)險問業(yè)內(nèi)相繼發(fā)布了多項信息安全風(fēng)險、數(shù)據(jù)安全風(fēng)險的評估標準，這些標準相互補充、持續(xù)完善，已成為廣大數(shù)據(jù)處理者開展風(fēng)險評估的重要參考資料。評估思路方面，各標準均強調(diào)了全面識別風(fēng)險基本要素的重要性。大量的數(shù)據(jù)流轉(zhuǎn)使數(shù)據(jù)與其訪問主體、傳輸鏈路、承載環(huán)境、安全策略等因素共同構(gòu)成了“牽一發(fā)而動全身”的數(shù)據(jù)安全風(fēng)險。這一點在國際、國內(nèi)的多項標準中均有體現(xiàn)：美國國家標準技術(shù)研究院（NIST）《隱私工程和風(fēng)險管理》（NIST8062）曾提出“問題操作”這一概念，并指出被識別的問題操作可用于評估風(fēng)險發(fā)生的可能性、風(fēng)險產(chǎn)生的影響。國內(nèi)的《信息安全風(fēng)險評估方法》則提出信息安全風(fēng)險評估需要識別包括資產(chǎn)、威脅、脆弱性、安全措施在內(nèi)的“基本要素”，通過建立、分析基本要素之間的關(guān)系（即：資產(chǎn)存在脆弱性，威脅通過利用脆弱性導(dǎo)致風(fēng)險，而安全措施的實施是通過降低脆弱性被利用難易程度，以防范威脅、保護資產(chǎn)）進行風(fēng)險分析。2020年的《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)以及數(shù)據(jù)處理活動的特征，進一步提出了該行業(yè)的數(shù)據(jù)安全風(fēng)險評估需要識別包括數(shù)據(jù)資產(chǎn)、應(yīng)用場景、數(shù)據(jù)威脅、數(shù)據(jù)脆弱性、安全措施在內(nèi)的基本要素及其屬性，同樣通過建立基本要素之間的關(guān)系，分析各應(yīng)用場景下的數(shù)據(jù)安全事件發(fā)生的可能性與影響，最終得出數(shù)據(jù)資產(chǎn)在多個應(yīng)用場景下面臨的總體風(fēng)險值。相較于《信息安全風(fēng)險評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》，2023年《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》和《數(shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》則基于前述的基本要素，提出了數(shù)據(jù)安全風(fēng)險的“風(fēng)險源”這一概念（即：風(fēng)險源是可能導(dǎo) 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE致危害數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性等事件的威脅、脆弱性、問題、隱患等，也稱“風(fēng)險隱患”），并同樣指出了數(shù)據(jù)安全風(fēng)險評估需要通過信息調(diào)研，識別數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、安全措施等相關(guān)基本要素，從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個人信息保護等方面識別風(fēng)險隱患，最終形成風(fēng)險源清單，分析、評價數(shù)據(jù)安全風(fēng)險并給出整改建議。評估對象風(fēng)險要素要素關(guān)系風(fēng)險評估對象風(fēng)險要素要素關(guān)系風(fēng)險信息系統(tǒng)支撐包含依賴數(shù)據(jù)處理者信息系統(tǒng)支撐包含依賴數(shù)據(jù)處理者運營業(yè)務(wù)業(yè)務(wù)承載承載保護數(shù)據(jù)處理活動處理數(shù)據(jù)保護存在潛在影響安全措施風(fēng)險源導(dǎo)致風(fēng)險安全措施降低來源：國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見評估流程方面，“準備-實施-總結(jié)”已成為共識。數(shù)據(jù)安全風(fēng)險評估工作主要圍繞數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動，對可能影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性的安全風(fēng)險進行分析和評價。通過對比、總結(jié)國內(nèi)《數(shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估實施方法》等風(fēng)險評估標準，可以發(fā)現(xiàn)，風(fēng)險評估工作目前已形成一套覆蓋“準備-實施-總結(jié)”三大階段的流程，具體分為評估準備、信息調(diào)研、風(fēng)險識別、綜合分析、評估總結(jié)五個環(huán)節(jié)。各環(huán)節(jié)的工作任務(wù)以及產(chǎn)出物也基本明確，具體流程與產(chǎn)出物見表2。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE11?確定評估目標?確定評估范圍?組建評估團隊?制定工作計劃?確定評估依據(jù)與內(nèi)容?制定評估方案?評估調(diào)研表?評估方案?數(shù)據(jù)處理者基本情況?業(yè)務(wù)清單?信息系統(tǒng)清單?數(shù)據(jù)資產(chǎn)清單?數(shù)據(jù)處理活動清單?數(shù)據(jù)處理者調(diào)研?業(yè)務(wù)和信息系統(tǒng)調(diào)研?數(shù)據(jù)資產(chǎn)調(diào)研?數(shù)據(jù)處理活動調(diào)研?安全措施調(diào)研?數(shù)據(jù)流圖?安全措施情況?數(shù)據(jù)安全管理風(fēng)險識別?數(shù)據(jù)處理活動風(fēng)險識別?數(shù)據(jù)安全技術(shù)風(fēng)險識別?個人信息處理風(fēng)險識別?人員訪談記錄文檔?文檔查驗記錄文檔?安全核查記錄文檔?技術(shù)測試報告?梳理問題清單?風(fēng)險分析與評價?提出整改建議?數(shù)據(jù)安全風(fēng)險源清單?數(shù)據(jù)安全風(fēng)險清單?數(shù)據(jù)安全風(fēng)險整改建議?報告風(fēng)險評估結(jié)果?處置數(shù)據(jù)安全風(fēng)險?數(shù)據(jù)安全風(fēng)險評估報告來源：國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE三.實務(wù)問題剖析與解決思路盡管大量法律法規(guī)、部門規(guī)章以及標準提供了豐富的理論指引，組織在數(shù)據(jù)安全風(fēng)險評估工作實務(wù)中仍然面臨重重阻礙。這些阻礙分布在整個評估過程的各個階段，成因錯綜復(fù)雜。因此，本章節(jié)將通過系統(tǒng)梳理數(shù)據(jù)安全風(fēng)險評估的各階段面臨的典型問題，深入分析問題成因，充分參考業(yè)內(nèi)優(yōu)質(zhì)經(jīng)驗，形成問題解決思路，為相關(guān)數(shù)據(jù)處理者、服務(wù)機構(gòu)紓難解惑?！毒W(wǎng)絡(luò)安全法》提出網(wǎng)絡(luò)運營者應(yīng)開展網(wǎng)絡(luò)安全認證、檢測、風(fēng)險評估等活動，并通過網(wǎng)絡(luò)安全等級保護、信息安全風(fēng)險評估等一系列標準對組織的網(wǎng)絡(luò)、信息安全風(fēng)險評估工作進行落地指導(dǎo)。相較于網(wǎng)絡(luò)、信息安全風(fēng)險評估，數(shù)據(jù)安全風(fēng)險評估的工作要求、標準依據(jù)或正在征求意見，或尚未正式發(fā)布——這導(dǎo)致許多數(shù)據(jù)處理者的數(shù)據(jù)安全風(fēng)險評估工作仍處于起步階段，面臨著評估觸發(fā)條件不明確的“0號困境”。部分組織將同地區(qū)、同行業(yè)的組織遭遇數(shù)據(jù)安全事件或受到監(jiān)管部門處罰作為自身開展風(fēng)險評估的觸發(fā)條件：通過將這些公開的事件或處罰信息內(nèi)化形成風(fēng)險信息檢查表單，對業(yè)務(wù)部門逐個開展數(shù)據(jù)安全風(fēng)險排查專項工作。然而，此類專項排查工作投入高、收效低：不同的組織對數(shù)據(jù)安全風(fēng)險的承受能力與管理需求存在較大的差異，公開的信息披露有限且存在一定的滯后性，導(dǎo)致組織難以有規(guī)劃地開展數(shù)據(jù)安全風(fēng)險評估工作，評估內(nèi)容參考性較低，對組織的風(fēng)險啟示性不足。解決思路：梳理適用情形針對這一問題，組織或評估機構(gòu)可以參考國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》的“5.4評估適用情形”。評估適用情形列出了數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險評估的一些具體適用情形，具體見表3。的個人信息處理者、大型互聯(lián)網(wǎng)平臺運營者、赴境外上市的數(shù)據(jù)處理者、黨政機關(guān)、網(wǎng)絡(luò)安全等級保護三級及以上運營者，應(yīng)每年開展一次數(shù)據(jù)安全風(fēng) 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVEb）數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理或向境外提供前，應(yīng)開展c）數(shù)據(jù)處理者開展高風(fēng)險數(shù)據(jù)處理活動前，宜開展數(shù)據(jù)安全風(fēng)險評估，高f）當被評估對象的政策環(huán)境、外部威脅環(huán)境、業(yè)務(wù)目標、安全目標等發(fā)生來源：國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見這些情形一是引述了國家法律法規(guī)中有關(guān)開展風(fēng)險評估的要求與場景（例如：數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理之前），在明確數(shù)據(jù)安全風(fēng)險評估活動開展的必要性的同時，也提供了評估活動開展的法規(guī)依據(jù)；二是總結(jié)了組織常見的高風(fēng)險數(shù)據(jù)處理活動（例如：基于不同業(yè)務(wù)目的的數(shù)據(jù)匯聚融合），為組織或評估機構(gòu)提供了更為明確、直接的工作指引與建議；三是回應(yīng)了如何持續(xù)開展評估的關(guān)切，已開展過風(fēng)險評估的數(shù)據(jù)和數(shù)據(jù)處理活動一旦發(fā)生重大變更或變化，組織或評估機構(gòu)應(yīng)重新實施風(fēng)險評估，將風(fēng)險評估融入組織的數(shù)據(jù)安全運營機制。實務(wù)操作上，組織或評估機構(gòu)可通過持續(xù)梳理數(shù)據(jù)安全風(fēng)險評估的適用情形，從評估要求的來源、內(nèi)容等角度入手，分析、判斷自身適宜開展評估活動的觸發(fā)條件、實施時機以及具體評估項的必要性，推動數(shù)據(jù)安全風(fēng)險評估工作的常態(tài)化開展。示例見表4。規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE進行個人身份認證的，應(yīng)當對必要性、安全性進行風(fēng)險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征動據(jù)處理者每年完成至少一次數(shù)據(jù)安全風(fēng)險評估，并形成評估報告。數(shù)據(jù)安全風(fēng)險評估結(jié)果有效期為一年，自評據(jù)動前，宜開展數(shù)據(jù)安全風(fēng)險評估，高重要數(shù)據(jù)和個人信息處理者合并、分立、解散、被宣告破產(chǎn)進行數(shù)據(jù)動e)對于已經(jīng)評估過數(shù)據(jù)安全風(fēng)險評圍、數(shù)據(jù)處理活動、環(huán)境、相關(guān)方等發(fā)生重大變更時，需重新開展數(shù)據(jù)安全風(fēng)險評估。/數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險評估工作的主要目標可以被分為三層：一是落實監(jiān)管要求，滿足國家法律法規(guī)關(guān)于開展風(fēng)險評估的要求；二是摸底數(shù)據(jù)現(xiàn)狀，摸清自身數(shù)據(jù)和數(shù)據(jù)處理活動基本情況；三是提升安全能力，檢查重要的數(shù)據(jù)處理活動中是否存在管理、技術(shù)風(fēng)險隱患，推動完善數(shù)據(jù)安全保護措施。三層目標共同促進數(shù)據(jù)處理者履行法定義務(wù)、建立健全數(shù)據(jù)安全制度、排查解決漏洞隱患，使數(shù)據(jù)處于有效保護和合法利用、持續(xù)安全的狀態(tài)。然而，大量組織未能正確、全面地認識數(shù)據(jù)安全風(fēng)險評估的價值與目標：多數(shù)組織將第一層目標作為開展風(fēng)險評估或其他風(fēng)險治理工作的唯一目標——這導(dǎo)致一旦缺少了國家法規(guī)或監(jiān)管部門的強制性要求，這些組織開展數(shù)據(jù)安全風(fēng)險評估工作的意愿與動力也會隨之喪失。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE此外，由于大量組織前期未能全面掌握業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動的特點以及潛在的漏洞隱患，其制定的數(shù)據(jù)安全風(fēng)險管理策略無法反映組織的風(fēng)險管理需求與準則，這也導(dǎo)致組織即使開展了數(shù)據(jù)安全風(fēng)險評估工作，也無法基于評估結(jié)果準確地衡量風(fēng)險問題整改措施的投入產(chǎn)出比、實施優(yōu)先級，甚至產(chǎn)生內(nèi)部多方對風(fēng)險評估結(jié)果難以達成共識、風(fēng)險問題整改推進困難等問題，長遠來看，不利于組織數(shù)據(jù)安全風(fēng)險的防范與治理。解決思路：建立風(fēng)險準則針對這一問題，組織可以參考數(shù)據(jù)安全推進計劃發(fā)布的《數(shù)據(jù)安全治理實踐指南3.0》（以下簡稱《實踐指南3.0》），開展數(shù)據(jù)安全風(fēng)險評估及治理專項，通過系統(tǒng)化的數(shù)據(jù)安全風(fēng)險治理，建立組織的數(shù)據(jù)安全風(fēng)險準則。數(shù)據(jù)安全風(fēng)險治理是以風(fēng)險為中心的方法論，提煉了組織管理數(shù)據(jù)安全風(fēng)險時需要重點關(guān)注的五大環(huán)節(jié)，即：風(fēng)險準則建立、風(fēng)險要素識別、風(fēng)險評估分析、風(fēng)險處置解決、風(fēng)險治理改進。其中，風(fēng)險準則建立是指通過分析組織數(shù)據(jù)安全風(fēng)險需求，識別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動，形成風(fēng)險治理準則，幫助組織將注意力與資源集中在那些超出自身承受能力的數(shù)據(jù)安全風(fēng)險，在明確了風(fēng)險治理重點對象的同時，也為風(fēng)險評估、整改等具體活動提供了判斷與執(zhí)行標準。實務(wù)操作上，組織一是通過分析風(fēng)險需求，具體任務(wù)包括收集、整理自身適用的數(shù)據(jù)安全、隱私保護法律法規(guī)，識別組織的關(guān)鍵業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動，明確數(shù)據(jù)安全風(fēng)險治理的范圍與重點對象；二是創(chuàng)建數(shù)據(jù)安全風(fēng)險治理愿景、使命，這一步需要與組織高層人員進行溝通、協(xié)商，在獲得其批準與支持之后，形成基本的風(fēng)險準則，明確組織的風(fēng)險管理偏好；三是制定數(shù)據(jù)安全風(fēng)險治理政策，這一步需要與內(nèi)部相關(guān)方（例如：人力資源、法務(wù)、安全、營銷、IT團隊）進行商議，在充分了解相關(guān)方的業(yè)務(wù)與合規(guī)需求之后，制定風(fēng)險管理政策，為后續(xù)風(fēng)險評估以及其他風(fēng)險治理相關(guān)的工作提供實施方針、標準。此外，針對組織或內(nèi)部相關(guān)方無法正確理解風(fēng)險評估的價值與目標這一問題，組織還可以通過工作動員會、研討會、培訓(xùn)講座等方式，宣貫組織的風(fēng)險治理政策，解讀評估標準，討論評估方案，加強業(yè)務(wù)部門對數(shù)據(jù)安全風(fēng)險評估及其目標、價值的認知與理解，提升內(nèi)部相關(guān)方對風(fēng)險評估工作的參與程度，持續(xù)強化各方在數(shù)據(jù)安全風(fēng)險評估以及治理工作的協(xié)同能力。組織數(shù)據(jù)安全風(fēng)險的邊界持續(xù)擴展：傳統(tǒng)的安全防護通常采用邊界防護策略保障靜態(tài)數(shù)據(jù)的安全。然而，一方面，組織的業(yè)務(wù)活動必然伴隨著數(shù)據(jù)的流動，而數(shù)據(jù)廣泛存在于數(shù)據(jù)中心、云端、終端等位置，數(shù)據(jù)資源暴露面的擴大意味著其面臨的威脅也成倍增加；另一方面，組織數(shù)據(jù)在多個業(yè)務(wù)、數(shù)據(jù)處理活動中與大量設(shè)備、人員產(chǎn)生交互，異 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE常的行為隱匿于海量的數(shù)據(jù)訪問行為中，不僅變得更加隱蔽、難以識別，也無形中擴大了數(shù)據(jù)安全風(fēng)險可波及的范圍。因此，組織如何在日益復(fù)雜的業(yè)務(wù)及數(shù)據(jù)處理活動中，規(guī)劃數(shù)據(jù)安全風(fēng)險評估的范圍，在既定的評估時間、范圍內(nèi)識別出組織最為關(guān)注的數(shù)據(jù)安全風(fēng)險，是廣大數(shù)據(jù)處理者、評估機構(gòu)在籌備評估工作過程中需要重點思考的問題。解決思路：識別重點對象為了避免風(fēng)險邊界過大導(dǎo)致的評估“失焦”問題，提高數(shù)據(jù)安全風(fēng)險評估的投入產(chǎn)出比，組織可以參考《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》，在規(guī)劃評估范圍時，首先明確評估工作中的重點評估對象。實務(wù)操作上，組織可以參考數(shù)據(jù)分類分級的成果，將個人信息、重要數(shù)據(jù)、核心數(shù)據(jù)以及這些數(shù)據(jù)的處理活動作為重點評估對象，并抽樣選取一般數(shù)據(jù)及其數(shù)據(jù)處理活動，一并納入本次風(fēng)險評估的范圍，在確保識別出重點評估對象面臨的風(fēng)險的同時，也保障了評估的全面性，具體示例見表5。由于一般數(shù)據(jù)涵蓋范圍較廣，數(shù)據(jù)處理者可結(jié)合組織自身安全需求，對一般數(shù)據(jù)進行細化分級，本報告將一般數(shù)據(jù)從低到高分為1級、2級、3級。關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益是一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可是-般數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對個人、組織合法權(quán)益造成危害，但不會危害國家安全、公共利益如：財務(wù)信息等內(nèi)部機密否如果組織尚未開展數(shù)據(jù)分類分級工作，則可以參考信息系統(tǒng)等級保護的相關(guān)要求，根據(jù)業(yè)務(wù)、信息系統(tǒng)的重要程度，選取核心業(yè)務(wù)系統(tǒng)或內(nèi)部的重要信息系統(tǒng)（例如：大數(shù)據(jù)平臺、人力資源系統(tǒng)、供應(yīng)鏈系統(tǒng)）的數(shù)據(jù)和數(shù)據(jù)處理活動作為重點評估對象，重點評估其承載的數(shù)據(jù)和數(shù)據(jù)處理活動面臨的風(fēng)險。這一解決思路目前已應(yīng)用于許多組織的數(shù)據(jù)安全風(fēng)險評估 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE評估的范圍邊界，梳理該系統(tǒng)涉及的數(shù)據(jù)、數(shù)據(jù)處理活動并繪制數(shù)據(jù)流向圖，識別數(shù)據(jù)流轉(zhuǎn)過程中的操作人員、操作行為以及操作結(jié)果等信息，從而分析潛在的數(shù)據(jù)安全風(fēng)險問題。信息調(diào)研是數(shù)據(jù)安全風(fēng)險評估工作中最為重要的環(huán)節(jié)，組織的評估執(zhí)行人員通過文檔審閱、配置核查、人員訪談等不同的方式，收集組織的數(shù)據(jù)和數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、技術(shù)等方面的信息。數(shù)據(jù)安全風(fēng)險評估涉及到組織的業(yè)務(wù)及其數(shù)據(jù)應(yīng)用場景，需要評估執(zhí)行人員實地調(diào)研業(yè)務(wù)和數(shù)據(jù)情況，多輪訪談組織業(yè)務(wù)人員，掌握數(shù)據(jù)處理活動的背景——這意味著評估執(zhí)行人員不僅需要熟練掌握數(shù)據(jù)安全風(fēng)險評估要點，還要通過專業(yè)的協(xié)作迅速了解組織的業(yè)務(wù)、數(shù)據(jù)和數(shù)據(jù)處理活動的關(guān)鍵信息，從而更好地識別出潛在的威脅、脆弱性以及已有安全措施的不完善之處。然而，許多組織在開展數(shù)據(jù)安全風(fēng)險評估的過程中發(fā)現(xiàn)，由于組織前期開展的網(wǎng)絡(luò)、信息安全評估通常由安全部門發(fā)起、主導(dǎo)，執(zhí)行人員同樣來自安全部門，主要負責網(wǎng)絡(luò)結(jié)構(gòu)、信息資產(chǎn)、威脅檢測工具安全情況的調(diào)研、核查，對業(yè)務(wù)、數(shù)據(jù)處理活動的了解不夠深入。因此，人員執(zhí)行數(shù)據(jù)安全風(fēng)險評估的信息調(diào)研時，產(chǎn)生了新的問題：一方面，評估執(zhí)行人員對業(yè)務(wù)、數(shù)據(jù)情況理解欠佳，對于業(yè)務(wù)、數(shù)據(jù)及其處理活動的風(fēng)險識別不全面，且不同人員可能對于同一風(fēng)險問題的判斷存在較大的差異；另一方面，受訪人員未能充分理解風(fēng)險評估的依據(jù)與要點，在訪談或調(diào)研過程中反饋大量的無關(guān)信息，直接導(dǎo)致了返工或者評估進度延期等解決思路：完善協(xié)作機制針對這一問題，組織可以通過完善組織協(xié)作機制，從團隊、工具、協(xié)商三方面入手，規(guī)避上述在信息調(diào)研過程中的問題。實務(wù)操作上，針對評估執(zhí)行人員可能存在的業(yè)務(wù)掌握度低、自由裁量等問題，一方面，組織可以在組建評估團隊時，選取業(yè)務(wù)人員加入評估執(zhí)行團隊，由業(yè)務(wù)人員負責整理本次風(fēng)險評估涉及的業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)信息，并適時向團隊其他成員介紹這一部分信息，在執(zhí)行團隊內(nèi)部實現(xiàn)優(yōu)勢互補；另一方面，完善評估信息調(diào)研表等工具，在逐步固化、標準化數(shù)據(jù)安全風(fēng)險評估依據(jù)中的評估項、查驗方式以及訪談問題等內(nèi)容的同時，完善對于不同角色的受訪人員或者證明材料的信息判斷標準，確保評估執(zhí)行人員之間具備相對統(tǒng)一的評估尺度。同時，針對受訪人員可能無效響應(yīng)的問題，組織可以在實施訪談工作前，邀請計劃受訪的人員參與本次風(fēng)險評估的研討會，由評估執(zhí)行人員對風(fēng)險評估方案、依據(jù)以及要點進行解讀，雙方對評估內(nèi)容進行充分協(xié)商，輸出、分發(fā)評估研討會問答合集，以免在風(fēng)險評估的實施過程中出現(xiàn)人員理解 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE組織調(diào)研當前的數(shù)據(jù)資產(chǎn)情況、發(fā)現(xiàn)潛在威脅與脆弱性、檢查安全防護措施狀態(tài)都離不開評估工具。數(shù)據(jù)安全風(fēng)險評估中，評估工具能夠提供更為客觀的信息，在降低人力成本的同時，也極大地提高了評估結(jié)果的可信度。整個評估實施的過程中，評估執(zhí)行人員需要調(diào)研覆蓋組織數(shù)據(jù)安全管理、技術(shù)以及大量數(shù)據(jù)處理活動的各類信息，故需要通過應(yīng)用組織內(nèi)部已部署的安全產(chǎn)品或者使用其他技術(shù)檢測工具，收集、整合以上多方甚至多維度的信息，從而回答風(fēng)險評估工作的核心問題，即：組織的何種數(shù)據(jù)、分布何處、如何流轉(zhuǎn)、誰在使用、如何防護。然而，大量組織反饋，當前數(shù)據(jù)安全產(chǎn)品種類多且功能各異，在缺乏工具應(yīng)用指導(dǎo)的背景下，組織開展數(shù)據(jù)安全風(fēng)險評估時傾向于沿用傳統(tǒng)的信息安全風(fēng)險評估工具，因此僅能識別網(wǎng)絡(luò)、信息安全方面的風(fēng)險問題，很難識別出隱藏在具體業(yè)務(wù)場景和數(shù)據(jù)處理活動中的安全風(fēng)險問題，嚴重影響了數(shù)據(jù)安全風(fēng)險問題檢出的全面性。因此，在當前數(shù)據(jù)安全產(chǎn)品工具發(fā)展迅速、種類多樣，而風(fēng)險評估實施的必備工具尚未明確的背景下，如何選取合適的評估檢測工具同樣是組織實施數(shù)據(jù)安全風(fēng)險評估面臨的重要問題。解決思路：認識工具功能針對這一問題，組織可以結(jié)合前期規(guī)劃的評估范圍、重點評估對象等信息和風(fēng)險評估實施各個環(huán)節(jié)的目標，明確工具在各個階段內(nèi)應(yīng)發(fā)揮的功能，從而選取適宜的數(shù)據(jù)安全產(chǎn)品工具。實務(wù)操作上，組織首先可以參考數(shù)據(jù)安全推進計劃2023年發(fā)布的《數(shù)據(jù)安全產(chǎn)品與服務(wù)觀察報告》以及其他業(yè)內(nèi)研究報告，初步掌握主流的數(shù)據(jù)安全產(chǎn)品工具及其功能。在數(shù)據(jù)安全風(fēng)險評估的實踐中，可應(yīng)用的評估工具主要分為三類：一是掃描類工具，主要負責提供針對數(shù)據(jù)、風(fēng)險源（例如：脆弱性）等風(fēng)險要素的掃描服務(wù)，為數(shù)據(jù)安全風(fēng)險評估提供要素識別的功能，具體包括資產(chǎn)掃描類、數(shù)據(jù)識別類、漏洞檢測類工具等。目前市面上許多數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)管理以及部分數(shù)據(jù)安全防護類工具（例如：API數(shù)據(jù)防泄露）都具備這一部分的功能；二是流量分析類工具，主要負責提供對數(shù)據(jù)處理活動的識別與監(jiān)測能力，用于關(guān)聯(lián)應(yīng)用、數(shù)據(jù)庫、人員的敏感數(shù)據(jù)操作，分析潛在的風(fēng)險行為，具體包括應(yīng)用層流量分析、全流量分析等數(shù)據(jù)風(fēng)險監(jiān)測類工具；三是自動化評估類工具，主要負責自動化評估流程管理、評估對象的信息填報、證明文件的上傳和查閱、評估結(jié)果的生成及報告的輸出等，具體包括合規(guī)檢測工具、在線評估系統(tǒng)等。隨著產(chǎn)品工具的平臺化、一體化趨勢日益明顯，上述的三類工具在數(shù)據(jù)安全風(fēng)險評估中提供的能力也已在一些平臺型產(chǎn)品中得以集合。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE風(fēng)險分析是組織基于前期的信息調(diào)研、風(fēng)險識別的情況，對風(fēng)險的影響程度、發(fā)生的可能性進行賦值、分析，最終通過風(fēng)險矩陣輸出風(fēng)險值的過程。風(fēng)險矩陣如圖2所示。13451345123234度5風(fēng)險分析的方法主要為定性分析、定量分析、綜合分析（定性與定量相結(jié)合）。定性分析不要求各個風(fēng)險要素被嚴格地量化，在風(fēng)險要素的評價上主要依靠評估執(zhí)行人員的個人經(jīng)驗、專業(yè)知識等，因此對于評估執(zhí)行人員的專業(yè)能力要求較高。定量分析（包括半定量分析）則是對風(fēng)險要素進行賦值，依據(jù)數(shù)值建立數(shù)學(xué)模型，量化風(fēng)險分析的過程與結(jié)果，確保輸出清晰的風(fēng)險分析結(jié)論，但其存在將復(fù)雜問題過度簡化或模糊化的缺陷，同樣易造成風(fēng)險分析結(jié)論的偏差。目前業(yè)內(nèi)的數(shù)據(jù)安全風(fēng)險分析方法以定性分析為主，例如《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》和《數(shù)據(jù)安全風(fēng)險評估方法（征求意見稿）》提出，針對風(fēng)險發(fā)生的影響程度可以結(jié)合數(shù)據(jù)價值、安全問題嚴重程度等因素進行分析，從不同的影響對象、危害程度高低分別提供了定性的描述，以便評估執(zhí)行人員參考、對照分析，具體見表6。然而，在實務(wù)操作上依然存在分析過程嚴重依賴執(zhí)行人員經(jīng)驗、分析結(jié)論主觀性過高等問題。 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE影響對象危害程度參考說明經(jīng)濟運行高1.直接影響宏觀經(jīng)濟運行狀況和發(fā)展趨勢，如社會總供給和總需求、國民經(jīng)濟總值和增長速度、國民經(jīng)濟主要比例關(guān)系、物價總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長速度、進出口貿(mào)易總規(guī)2.直接影響一個或多個地級市、行業(yè)內(nèi)多個企業(yè)或大規(guī)模用戶，對行業(yè)發(fā)展態(tài)勢、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響，或者直接影響行業(yè)公共利益高1.直接危害公共健康和安全，如嚴重影響疫情防控、傳染病的預(yù)防監(jiān)控2.可能導(dǎo)致重大突發(fā)公共衛(wèi)生事件(Ⅱ級），造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等3.導(dǎo)致一個或多個地市大部分地區(qū)的社會公共資源供應(yīng)較長期中斷，較大范圍社會成員（如100萬人以上）無法使用公共設(shè)施、獲取公開數(shù)據(jù)組織權(quán)益中可能導(dǎo)致組織遭到監(jiān)管部門嚴重處罰（包括取消經(jīng)營資格、長期暫停相關(guān)業(yè)務(wù)等），或者影響重要/關(guān)鍵業(yè)務(wù)無法正常開展的情況，造成重個人權(quán)益中個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。如遭受無法承擔的債務(wù)、失去工作能力、導(dǎo)致長期的心理或生理來源：國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見解決思路：建立分析模型針對這一問題，組織可以建立數(shù)據(jù)安全風(fēng)險分析模型，通過明確判斷尺度、豐富評價維度、提升賦值精度三方面的措施，提高分析過程和結(jié)果的客觀性。一是制定風(fēng)險分析過程的判斷尺度。組織采用定性分析方法進行風(fēng)險分析時，人員的主觀判斷將直接影響風(fēng)險分析的結(jié)論。因此，明確評估執(zhí)行人員的判斷尺度，提供判斷某項風(fēng)險是否屬于重大風(fēng)險的“紅線”、“基線”——這在一定程度上能夠防止風(fēng)險分析結(jié)論與實際情況偏差過大。以汽車行業(yè)的實踐為例，汽車自身及其業(yè)務(wù)屬性決定了其在風(fēng)險分析的過程中聚焦可能直接影響行車安全、財產(chǎn)安全等方面的風(fēng)險要素，因此在開展數(shù)據(jù)安全風(fēng)險評估的過程中，組織將“是否為極端威脅行車、財產(chǎn)安全等方面的風(fēng)險”與“是否為大多數(shù)人群所適用的風(fēng)險”作為人員分析風(fēng)險時的重要尺度。二是完善風(fēng)險分析過程的評價維度。組織開展風(fēng)險分析時，通常使用風(fēng)險矩陣圖對風(fēng)險發(fā)生的可能性和影響程度進行評價。然而，風(fēng)險本身具有不確定性，組織評價風(fēng)險發(fā)生的可能性時缺乏成熟的參考依據(jù)，賦值易流于形式，對風(fēng)險分析結(jié)論缺乏參考價值。因此，組織可以豐富風(fēng)險評價的維度，提升風(fēng)險分析結(jié)論的實用性。例如，目前組織面臨的數(shù)據(jù)安全風(fēng)險不僅包括了數(shù)據(jù)保密性、完整性、可用性遭到危害，還包括了數(shù) 數(shù)據(jù)安全風(fēng)險評估實務(wù):問題剖析與解決思路DATASECURITYINITIATIVE據(jù)被違法、違規(guī)處理帶來的合規(guī)風(fēng)險，基于這一問題，組織可以在風(fēng)險矩陣中補充“可罰性”這一維度，即：從組織的合規(guī)管理角度出發(fā)，評價組織數(shù)據(jù)一旦被泄露、破壞、濫用可能引發(fā)的監(jiān)管處罰、違約追責等問題的嚴重程度。三是提升風(fēng)險分析過程的賦值精度。組織采用定量分析方法開展風(fēng)險分析時，最大的難點問題在于風(fēng)險發(fā)生的可能性和危害程度的定級、賦值和計算。針對風(fēng)險發(fā)生的危害程度，組織可以從數(shù)據(jù)的重要程度、數(shù)據(jù)資產(chǎn)價值、脆弱性嚴重程度等具體風(fēng)險要素進行相對精準的賦值：《江蘇省數(shù)據(jù)安全風(fēng)險評估規(guī)范》從數(shù)據(jù)遭到泄露或損害時，可能對國家安全、經(jīng)濟運行、社會穩(wěn)定、公共利益、個人權(quán)益造成的影響程度入手，提出了組織可以參考的一般、重要與核心數(shù)據(jù)賦值。具體賦值方法如表7。未來，組織在風(fēng)險分析的過程中，也可以參考數(shù)據(jù)的流通價值，進一步提升數(shù)據(jù)這一風(fēng)險要素的賦值精度。數(shù)據(jù)級別數(shù)據(jù)級別賦值數(shù)據(jù)重要程度定義核心數(shù)據(jù)5重要數(shù)據(jù)高4一般數(shù)據(jù)中3低2該級別數(shù)據(jù)的安全屬性被破壞后，會對組織權(quán)益?zhèn)€人權(quán)益造1該級別數(shù)據(jù)的安全屬性被破壞后，會對組織權(quán)益?zhèn)€人權(quán)益造來源：國家標準《數(shù)據(jù)安全風(fēng)險評估方法（征求意見針對風(fēng)險發(fā)生的可能性，實務(wù)操作上存在一定的困難：風(fēng)險源（例如：威脅和脆弱性）的發(fā)生頻率、安全措施有效性和完備性等因素難以預(yù)測、量化。組織可以“以系統(tǒng)為單位”，默認同一信息系統(tǒng)、數(shù)據(jù)庫中的威脅與脆弱性賦值保持一致，避免風(fēng)險分析過程引入錯誤的關(guān)聯(lián)關(guān)系，提升定量分析的可落地性、可操作性。如果組織在近期開展過網(wǎng)絡(luò)安全等級