GB/T 45577-2025 数据安全技术 数据安全风险评估方法

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T45577—2025

数据安全技术数据安全风险评估方法

Datasecuritytechnology—Riskassessmentmethodfordatasecurity

2025-04-25发布2025-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T45577—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

通则

5………………………3

概述

5.1…………………3

数据安全风险评估要素关系

5.2………………………3

数据安全风险评估原理

5.3……………4

数据安全风险评估适用情形

5.4………………………5

数据安全风险评估实施流程

5.5………………………5

数据安全风险评估内容框架

5.6………………………6

数据安全风险评估手段

5.7……………7

数据安全风险评估准备

6…………………7

确定评估目标

6.1………………………7

确定评估范围

6.2………………………8

组建评估团队

6.3………………………8

开展前期准备

6.4………………………8

制定评估方案

6.5………………………9

信息调研

7…………………9

数据处理者调研

7.1……………………9

业务和信息系统调研

7.2………………10

数据资产调研

7.3………………………10

数据处理活动调研

7.4…………………10

安全防护措施调研

7.5…………………11

风险识别

8…………………11

通则

8.1…………………11

已开展测评情况分析

8.2………………12

数据安全管理

8.3………………………12

数据处理活动安全

8.4…………………12

数据安全技术

8.5………………………13

个人信息保护

8.6………………………13

风险分析与评价

9…………………………14

Ⅰ

GB/T45577—2025

通则

9.1…………………14

数据安全风险分析

9.2…………………14

数据安全风险评价

9.3…………………16

形成数据安全风险清单

9.4……………17

评估总结

10………………17

编制评估报告

10.1……………………17

风险处置建议

10.2……………………18

残余风险分析

10.3……………………18

附录规范性数据安全风险识别内容

A()………………19

数据安全管理

A.1……………………19

数据处理活动

A.2……………………24

数据安全技术

A.3……………………30

个人信息保护

A.4……………………34

附录资料性典型数据安全风险类型

B()………………39

附录资料性数据安全风险分析参考

C()………………41

数据安全风险危害程度分析参考

C.1…………………41

数据安全风险发生可能性分析参考

C.2………………43

附录资料性数据安全风险量化分析与评价方法

D()…………………45

数据安全风险危害程度量化分析方法

D.1……………45

数据安全风险发生可能性量化分析方法

D.2…………45

数据安全风险量化评价方法

D.3………………………45

附录资料性数据安全风险评估报告模板

E()…………46

参考文献

……………………49

Ⅱ

GB/T45577—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院国家信息技术安全研究中心国家计算机网络应急

:、、

技术处理协调中心国家工业信息安全发展研究中心中央网信办数据与技术保障中心中国信息安全

、、、

测评中心国家信息中心中国科学院信息工程研究所公安部第三研究所北京市政务信息安全保障中

、、、、

心中国网络安全审查认证和市场监管大数据中心中国科学技术大学中国科学院软件研究所阿里云

、、、、

计算有限公司北京快手科技有限公司蚂蚁科技集团股份有限公司华为技术有限公司

、、、。

本文件主要起草人杨建军姚相振张宇光胡影陈琦杨韬林星辰陈特卢磊林志强姜松浩

:、、、、、、、、、、、

上官晓丽任英杰朱雪峰晏慧李敏赵冉刘曦泽李晔陈静徐峰王晖王得福都婧马英张妍

、、、、、、、、、、、、、、、

苏艳芳李媛程瑜琦左晓栋张立武宋璟孙勇王昕白晓媛邵萌苏丹李海东张明天高晨涛

、、、、、、、、、、、、、。

Ⅲ

GB/T45577—2025

数据安全技术数据安全风险评估方法

1范围

本文件描述了数据安全风险评估的基本概念要素关系分析原理给出了数据安全风险评估的实

、、,

施流程评估内容分析评价方法等

、、。

本文件适用于指导数据处理者第三方评估机构开展数据安全风险评估也可供有关主管监管部门

、,

实施数据安全检查评估时参考

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

数据安全技术数据分类分级规则

GB/T43697—2024

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

数据data

任何以电子或者其他方式对信息的记录

。

32

.

数据安全datasecurity

通过采取必要措施确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的

,,

能力

。

33

.

数据处理活动dataprocessingactivities

数据收集存储使用加工传输提供公开删除等活动

、、、、、、、。

34

.

合理性rationality

数据处理活动遵守法律行政法规要求符合网络安全和数据安全常识道理不得损害国家安全公

、,,、

共利益和个人组织的合法权益

、。

35

.

数据安全风险源datasecurityrisksource

可能导致危害数据的保密性完整性可用性和数据处理合理性等事件的威胁脆弱性问题隐

、、、、、

患等

。

注在本文件中简称风险源既包括安全威胁利用脆弱性可能导致数据安全事件的风险源也包括数据处理活动

:“”,,

1