DB50/T 10012-2025 川渝政务数据风险评估指南

ICS35.030

CCSL80

DB

川渝区域地方标准

DB51/T10012—2025

DB50/T10012—2025

川渝政务数据风险评估指南

2025-01-23发布2025-02-23实施

四川省市场监督管理局

重庆市市场监督管理局发布

DB51/T10012—2025，DB50/T10012—2025

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4政务数据风险评估概述...............................................................2

5政务数据风险评估流程...............................................................4

6政务数据风险评估实施...............................................................4

附录A（资料性）政务数据风险评估工作实施参考表格.....................................9

附录B（资料性）典型政务数据风险类别................................................11

附录C（资料性）政务数据风险评估报告模板............................................13

参考文献.............................................................................15

I

DB51/T10012—2025，DB50/T10012—2025

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件在四川省数据安全协调工作机制、重庆市数据安全工作协调机制统筹指导下，由四川省发展

和改革委员会、重庆市大数据应用管理局提出、归口、解释并组织实施。

本文件起草单位：四川省发展和改革委员会（四川省数据局）、四川省大数据中心、重庆市大数据

应用管理局、四川省人民政府办公厅、四川省市场监督管理局、四川省互联网信息办公室、重庆市互联

网信息办公室、四川省标准化研究院、国家计算机网络与信息安全管理中心四川分中心、中电科网络安

全科技股份有限公司、四川汤谷数智科技有限公司。

本文件主要起草人：周学立、冯亮、李明、路嘉琪、缪建忠、牟昕、肖杨梅、熊博、魏杰、赵衍、

周立、管庆旭、雷山锋、曹霞、余靖浊、魏灵、曾旭东、贺英杰、李建辉、何园元、董国风、任轲正、

温蓓、陈超凡、朱秋桦、李蒙、李坪芮、古利勇、黄智勇、高屹嵩、李贝贝、宋波、牛颢、张兆雷、望

娅露等。

II

DB51/T10012—2025，DB50/T10012—2025

引言

政务数据风险评估是政务数据安全保障体系的重要环节，主要针对政务数据和政务数据处理活动进

行风险评估，帮助政务数据主体掌握政务数据安全总体状况，发现政务数据安全隐患，提出政务数据安

全管理和技术防护措施建议。在四川省数据安全协调工作机制、重庆市数据安全工作协调机制统筹指导

下，结合川渝地区实际，提出政务数据风险评估流程，给出政务数据安全风险评估的实施要点和方法，

为指导政务数据风险评估工作的开展，进一步提升保障能力，制定本标准。核心数据的界定和保护要求

按照国家相关文件执行。

III

DB51/T10012—2025，DB50/T10012—2025

川渝政务数据风险评估指南

1范围

本文件提供了政务数据风险评估的指导，以及评估流程、评估实施等方面的建议。

本文件适用于四川省、重庆市各级政务部门开展政务数据风险的评估，不适用于核心数据及涉及国

家秘密的政务数据资源。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069-2022信息安全技术术语

DB51/T3056-2023政务数据数据分类分级指南

DB51/T3058-2023政务数据数据脱敏规范

3术语和定义

GB/T25069-2022、DB51/T3056-2023、DB51/T3058-2023界定的以及下列术语和定义适用于本文

件。

3.1

政务数据governmentaffairsdata

国家机关和法律、法规授权的具有管理公共事务职能的组织（政务部门）为履行法定职责收集、产

生的数据。

3.2

政务数据处理活动governmentaffairsdataprocessingactivities

政务数据收集、存储、使用、加工、传输、提供、公开、出境、删除等活动。

3.3

政务数据处理主体governmentaffairsdataprocessor

在政务数据处理活动中自主决定处理目的和处理方式的各级政务部门、软件和信息技术服务企业等

各类主体。

3.4

政务数据安全governmentaffairsdatasecurity

通过采取措施，确保政务数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.5

政务数据风险governmentaffairsdatasecurityrisk

由于开展政务数据处理活动不合理、缺少有效的数据安全措施、引发数据安全问题的技术发展等，

导致数据安全事件的发生的可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。

3.6

政务数据风险评估governmentaffairsdatariskassessment

1

DB51/T10012—2025，DB50/T10012—2025

对政务数据和政务数据处理活动的安全风险和违法违规问题进行检测评估的过程。

3.7

安全措施securitymeasure

保护政务数据和政务数据处理活动、抵御数据安全风险事件而实施的各种安全管理和技术实践、规

程和机制。

3.8

业务business

组织为实现某项发展战略而开展的运营活动，该活动具有明确的目标，并延续一段时间。

3.9

风险源risksource

可能导致危害政务数据和政务数据处理的保密性、完整性、可用性和合理性等安全事故的原因、条

件、情形或行为。

注：风险源，既包括安全威胁利用脆弱性可能导致政务数据安全事件的风险源（简称为“政务数据风险源”），也

包括政务数据处理活动不合理操作可能造成违法违规处理事件的风险源（简称为“违法违规处理风险源”）。

3.10

自评估selfriskassessment

自评估是指四川省、重庆市各级政务部门根据政务数据风险评估适用情形自行对政务数据资产和政

务数据应用场景的评估。

3.11

检查评估examinationandassessment

检查评估是指四川省、重庆市各级政务部门的上级监管单位发起的政务数据风险评估工作。

4政务数据风险评估概述

4.1评估思路

4.1.1政务数据风险评估坚持预防为主、主动发现、积极防范的原则，对政务数据和数据处理活动中

可能影响政务数据保密性、完整性、可用性和政务数据处理活动合理性的安全风险进行分析和评价。政

务数据风险评估的评估思路如图1所示。

图1政务数据风险评估思路示意图

4.1.2政务数据风险评估，首先通过信息调研，政务数据处理主体、业务和信息系统、政务数据资产、

政务数据处理活动、安全防护措施以及已开展的评估工作等相关要素；然后从政务数据安全管理、政务

2

DB51/T10012—2025，DB50/T10012—2025

数据处理活动、政务数据安全措施、个人信息保护、历史评估结果分析等方面进行风险评估，从国家安

全、公共利益、行业组织或个人合法权益等方面进行综合分析；最后梳理风险问题清单，形成风险评估

报告。

4.2评估要素

4.2.1政务数据风险评估涉及政务数据、政务数据处理活动、安全措施等基本要素，各要素之间的关

系如图2所示，其中信息系统、政务数据处理活动与政务数据之间的关系可能是单向或双向，由具体业

务场景决定。

图2政务数据风险评估要素关系

4.2.2开展政务数据风险评估宜充分考虑要素间关系。各关键要素关系说明如下：

a)政务数据是核心要素，数据具有一定的价值，数据价值越大，承受的数据安全风险越高；

b)政务数据和政务数据处理活动是政务数据风险评估的评估对象；

c)数据处理主体运营业务，业务依赖政务数据和政务处理活动实现；

d)业务需要依托信息系统的支撑，可能涉及一个或多个信息系统；

e)信息系统包含多个政务数据处理活动，信息系统是政务数据的运行载体；

f)政务数据在流转过程中涉及一个或多个政务数据处理活动；

g)安全措施用于保护政务数据安全，能降低数据安全风险源发生的可能性；

h)政务数据和政务数据处理活动可能存在风险源，风险源可能引发数据安全风险，数据安全风

险将对政务数据和政务数据处理活动有潜在影响。

4.3评估适用情形

4.3.1党政机关、事业单位、国有企业等涉及重要数据、关键信息基础设施运营、100万人以上个人

信息、大型互联网平台运营的政务数据处理主体，宜每年至少开展一次政务数据风险评估。

4.3.2政务数据处理主体开展高风险政务数据处理活动前，宜开展政务数据风险评估。

4.3.3风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全目标

等发生变化时，宜重新开展风险评估。

4.4评估内容框架

政务数据风险评估内容，包括涉及政务数据处理主体、业务和信息系统的基本情况调研，处理的政

务数据、开展的政务数据处理活动情况识别，政务数据处理活动、政务数据安全管理、政务数据安全措

3

DB51/T10012—2025，DB50/T10012—2025

施、个人信息处理、重要数据等方面的评估内容，评估内容框架如图3所示。评估内容可通过现场访谈、

资料查询、授权征集等调研方式来获取，详细内容参见6.3.4、6.3.4、6.3.5、6.3.6、6.3.7。

图3政务数据风险评估内容框架图

4.5评估形式

从实施主体来区分，政务数据风险评估可分为自评估和检查评估，自评估宜指定内部专门负责评估、

审计的岗位/角色开展或委托第三方开展，检查评估由有直接领导关系或监督管理责任的部门进行评估

或委托第三方开展。

4.6评估手段

开展数据风险评估时，宜综合采取人员访谈、文档查验、安全核查和技术检测等手段进行评估。

5政务数据风险评估流程

政务数据风险评估流程，主要包括评估准备、政务数据和政务数据处理活动识别、风险识别、风险

分析与评价、评估总结五个阶段，如图4所示。

图4政务数据风险评估流程图

6政务数据风险评估实施

6.1评估准备

6.1.1确定评估目标及范围

4

DB51/T10012—2025，DB50/T10012—2025

6.1.1.1确定政务数据风险评估的目标，根据评估目标确定政务数据风险评估的对象、范围和边界，

确定评估涉及的政务数据资产、政务数据处理活动、业务、信息系统、人员和内外部组织等。

6.1.1.2