GB/T 45577-2025 数据安全技术 数据安全风险评估方法

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T45577—2025

数据安全技术数据安全风险评估方法

Datasecuritytechnology—Riskassessmentmethodfordatasecurity

2025-04-25发布2025-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T45577—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

通则

5………………………3

概述

5.1…………………3

数据安全风险评估要素关系

5.2………………………3

数据安全风险评估原理

5.3……………4

数据安全风险评估适用情形

5.4………………………5

数据安全风险评估实施流程

5.5………………………5

数据安全风险评估内容框架

5.6………………………6

数据安全风险评估手段

5.7……………7

数据安全风险评估准备

6…………………7

确定评估目标

6.1………………………7

确定评估范围

6.2………………………8

组建评估团队

6.3………………………8

开展前期准备

6.4………………………8

制定评估方案

6.5………………………9

信息调研

7…………………9

数据处理者调研

7.1……………………9

业务和信息系统调研

7.2………………10

数据资产调研

7.3………………………10

数据处理活动调研

7.4…………………10

安全防护措施调研

7.5…………………11

风险识别

8…………………11

通则

8.1…………………11

已开展测评情况分析

8.2………………12

数据安全管理

8.3………………………12

数据处理活动安全

8.4…………………12

数据安全技术

8.5………………………13

个人信息保护

8.6………………………13

风险分析与评价

9…………………………14

Ⅰ

GB/T45577—2025

通则

9.1…………………14

数据安全风险分析

9.2…………………14

数据安全风险评价

9.3…………………16

形成数据安全风险清单

9.4……………17

评估总结

10………………17

编制评估报告

10.1……………………17

风险处置建议

10.2……………………18

残余风险分析

10.3……………………18

附录规范性数据安全风险识别内容

A()………………19

数据安全管理

A.1……………………19

数据处理活动

A.2……………………24

数据安全技术

A.3……………………30

个人信息保护

A.4……………………34

附录资料性典型数据安全风险类型

B()………………39

附录资料性数据安全风险分析参考

C()………………41

数据安全风险危害程度分析参考

C.1…………………41

数据安全风险发生可能性分析参考

C.2………………43

附录资料性数据安全风险量化分析与评价方法

D()…………………45

数据安全风险危害程度量化分析方法

D.1……………45

数据安全风险发生可能性量化分析方法

D.2…………45

数据安全风险量化评价方法

D.3………………………45

附录资料性数据安全风险评估报告模板

E()…………46

参考文献

……………………49

Ⅱ

GB/T45577—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院国家信息技术安全研究中心国家计算机网络应急

:、、

技术处理协调中心国家工业信息安全发展研究中心中央网信办数据与技术保障中心中国信息安全

、、、

测评中心国家信息中心中国科学院信息工程研究所公安部第三研究所北京市政务信息安全保障中

、、、、

心中国网络安全审查认证和市场监管大数据中心中国科学技术大学中国科学院软件研究所阿里云

、、、、

计算有限公司北京快手科技有限公司蚂蚁科技集团股份有限公司华为技术有限公司

、、、。

本文件主要起草人杨建军姚相振张宇光胡影陈琦杨韬林星辰陈特卢磊林志强姜松浩

:、、、、、、、、、、、

上官晓丽任英杰朱雪峰晏慧李敏赵冉刘曦泽李晔陈静徐峰王晖王得福都婧马英张妍

、、、、、、、、、、、、、、、

苏艳芳李媛程瑜琦左晓栋张立武宋璟孙勇王昕白晓媛邵萌苏丹李海东张明天高晨涛

、、、、、、、、、、、、、。

Ⅲ

GB/T45577—2025

数据安全技术数据安全风险评估方法

1范围

本文件描述了数据安全风险评估的基本概念要素关系分析原理给出了数据安全风险评估的实

、、,

施流程评估内容分析评价方法等

、、。

本文件适用于指导数据处理者第三方评估机构开展数据安全风险评估也可供有关主管监管部门

、,

实施数据安全检查评估时参考

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

数据安全技术数据分类分级规则

GB/T43697—2024

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

数据data

任何以电子或者其他方式对信息的记录

。

32

.

数据安全datasecurity

通过采取必要措施确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的

,,

能力

。

33

.

数据处理活动dataprocessingactivities

数据收集存储使用加工传输提供公开删除等活动

、、、、、、、。

34

.

合理性rationality

数据处理活动遵守法律行政法规要求符合网络安全和数据安全常识道理不得损害国家安全公

、,,、

共利益和个人组织的合法权益

、。

35

.

数据安全风险源datasecurityrisksource

可能导致危害数据的保密性完整性可用性和数据处理合理性等事件的威胁脆弱性问题隐

、、、、、

患等

。

注在本文件中简称风险源既包括安全威胁利用脆弱性可能导致数据安全事件的风险源也包括数据处理活动

:“”,,

1

GB/T45577—2025

不合理操作可能造成违法违规处理事件的风险源

。

36

.

数据安全风险datasecurityrisk

数据安全事件的发生可能性及其对国家安全公共利益或者组织个人合法权益造成的损害

、、。

37

.

数据安全风险评估datasecurityriskassessment

对数据和数据处理活动安全进行风险识别风险分析和风险评价的整个过程

、。

38

.

业务business

组织为实现某项发展规划而开展的运营活动

。

注该活动具有明确的目标并延续一段时间

:,。

来源

[:GB/T20984—2022,3.1.4]

39

.

自评估self-assessment

由评估对象所有者自身发起组成机构内部的评估小组依据国家有关法规与标准对评估对象安

,,,

全管理进行评估的活动

。

来源

[:GB/T20984—2022,3.1.8]

310

.

第三方评估thirdpartyassessment

由数据处理者委托符合相关安全要求的第三方评估机构依据有关政策法规与标准对评估对象的

,,

数据安全风险进行的评估活动

。

311

.

检查评估inspectionandassessment

由数据处理者的上级主管部门业务主管部门或国家有关主管监管部门发起的依据有关政策法

、(),

规与标准对评估对象的数据安全风险进行的评估活动

,。

来源有修改

[:GB/T20984—2022,3.1.9,]

312

.

移动互联网应用程序mobileinternetapplicationApp

;

运行在移动智能终端上的应用程序

。

注包括移动智能终端预置下载安装的应用程序和小程序

:、。

来源

[:GB/T41391—2022,3.1]

缩略语

4

下列缩略语适用于本文件

。

国内生产总值

GDP:(GrossDomesticProduct)

软件开发工具包

SDK:(SoftwareDevelopmentKit)

虚拟专用网络

VPN:(VirtualPrivateNetwork)

2

GB/T45577—2025

5通则

51概述

.

数据安全风险评估主要围绕数据和数据处理活动聚焦可能影响数据的保密性完整性可用性和

,,、、

数据处理活动合理性的安全风险掌握数据安全总体状况发现数据安全隐患提出数据安全管理和技

,,,

术防护措施建议提升数据安全防攻击防破坏防窃取防泄露防滥用能力首先通过信息调研识别

,、、、、。

数据处理者业务和信息系统数据数据处理活动安全措施等相关要素然后从数据安全管理数据处

、、、、,、

理活动数据安全技术个人信息保护等方面识别风险最后梳理风险源清单分析数据安全风险视情

、、,,、

评价数据安全风险并给出整改建议数据安全风险评估的方式主要包括自评估委托第三方评估和

,。,、

检查评估

。

52数据安全风险评估要素关系

.

数据安全风险评估涉及数据数据处理活动业务信息系统安全措施风险源等基本要素要素间

、、、、、,

关系见图

1。

标引序号说明

:

风险要素

1———;

评估对象

2———;

要素关系

3———;

风险

4———。

图1数据安全风险要素关系

开展数据安全风险评估应充分考虑要素间关系各要素关系说明如下

。。

数据和数据处理活动是核心要素是数据安全风险评估的对象数据在流转过程中涉及一个或

a),,

多个数据处理活动数据处理活动可能涉及不同数据

,。

数据处理者运营业务业务利用数据和数据处理活动实现

b),。

信息系统是业务的支撑也是数据的载体信息系统涉及一个或多个数据处理活动

c),,。

风险源在数据或数据处理活动中客观存在由风险源产生的数据安全风险对数据和数据处理

d),,

活动有潜在危害

。

3

GB/T45577—2025

安全措施用于保护数据和数据处理活动抵御数据安全风险源抑制数据安全风险发生

e),,。

53数据安全风险评估原理

.

数据安全风险评估主要围绕数据处理者的数据和数据处理活动对可能影响数据保密性完整性

,,、、

可用性和数据处理合理性的安全风险进行分析和评价数据安全风险评估原理见图

。2。

标引序号说明

:

必选分析过程

1———;

必需关系

2———;

风险分析要素

3———;

可选关系

4———;

可选分析结果

5———。

图2数据安全风险评估原理图

数据安全风险评估主要内容如下

。

风险识别基于信息调研情况从数据安全管理数据处理活动安全数据安全技术个人信息

a):,、、、

保护等方面进行数据安全风险识别识别评估对象现有安全措施完备性并对其有效性进行验

,

证形成数据安全风险识别工作记录也称为评估底稿

,(“”)。

风险分析基于风险识别情况通过对数据安全风险归类分析见梳理数据安全风险源

b):,(9.2.1),

清单并开展数据安全风险危害程度见数据安全风险发生可能性见分析

,(9.2.2)、(9.2.3)。

结合数据安全识别工作记录分析梳理风险源清单进行数据安全风险归类分析归类分

1),,。

析时可基于一项风险源也可综合多项风险源分析可能引发的数据安全风险

,,。

结合数据价值和风险源严重程度分析数据安全风险危害程度分析风险可能对国家社

2),。、

会公共利益组织或个人合法权益造成的危害

、