DB3212/T 1117-2022 政务数据安全风险评估规范

ICS35.020

70

CCSLDB3212

泰州市地方标准

DB3212/T1117—2022

政务数据安全风险评估规范

GovernmentDataSecurityRiskAssessmentSpecification

2022-12-28发布2022-12-28实施

泰州市市场监督管理局发布

DB3212/T1117—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件由泰州市大数据管理局提出。

本文件由泰州市大数据管理局归口。

本文件起草单位：泰州市大数据管理局、泰州市标准化院。

本文件主要起草人：陈书剑、王小冬、孙慧、刘小芳、赵文涛、梁鑫晨、许鑫、施驰乐、吴薇、陈

蓝生、张婧娴、李海鹏、郭健、王友成。

I

DB3212/T1117—2022

政务数据安全风险评估规范

1范围

本文件提供了政务数据安全风险评估的评估原则、风险评估框架及流程、风险评估实施等要求。

本文件适用于政务数据安全的风险评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20984信息安全技术信息安全风险评估方法

GB/T25069信息安全技术术语

GB/T37973信息安全技术大数据安全管理指南

DB32/T3421基础地理信息安全系统安全风险评估规范

3术语和定义

下列术语和定义适用于本文件。

3.1

政务数据governmentdata

各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。

注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数

据。

3.2

数据安全datasecurity

指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能

力。

3.3

风险评估riskassessment

风险识别、风险分析和风险评价的整个过程。

3.4

数据安全风险评估datasecurityriskassessment

是指从风险管理角度，运用科学的方法与手段，根据数据分类分级情况，系统分析数据所面临的安

全威胁，以及可能遭受的危害程度，有针对性地提出抵御数据安全威胁的防护对策和措施。

3.5

安全威胁securityThreat

可能对系统或组织的数据处理活动造成危害的因素，其形式可以是对数据直接或间接的攻击，在数

据机密性、完整性和可用性等方面造成损害，也可能是偶发的或蓄意的事件。

3.6

安全脆弱性securityvulnerability

通过利用数据安全威胁，导致数据在处理活动中的安全属性被破坏的薄弱环节。

4风险评估原则

政务数据安全风险评估的基本原则包括：

1

DB3212/T1117—2022

a)安全保障性原则。不应因风险评估造成基础地理信息数据的泄露、篡改和删除，保障数据的安

全性；

b)人员可控性原则。所有参与评估人员应签署保密协议，以保证项目信息的安全；

c)信息可控性原则。评估方应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单

位和个人；

d)过程可控性原则。按照项目管理要求，成立风险评估项目实施团队，并实行项目组长负责制，

达到项目过程的可控；

e)工具可控性原则。评估人员所使用的评估工具应事先告知用户，并在评估实施前获得被评估方

的许可。

5风险评估框架及流程

5.1风险要素关系

风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并

基于以上要素开展风险评估。

图1风险评估基本要素之间关系

5.2风险分析原理

风险分析原理如下：

a)根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁

的能力和频率；

b)根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易

程度；

c)确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度；

d)根据威胁的能力和频率,结合脆弱性被利用难易程度，确定安全事件发生的可能性；

e)根据资产在发展规划中所处的地位和资产的属性，确定资产价值；

f)根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失；

g)根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值；

h)依据风险评价准则,确定风险等级，用于风险决策。

5.3风险评估流程

风险评估的实施流程如图2所示。风险评估流程应包括如下内容。

2

DB3212/T1117—2022

图2风险评估实施流程图

a)评估准备，此阶段应包括：

1)确定风险评估的目标；

2)确定风险评估的对象、范围和边界；

3)组建评估团队；

4)开展前期调研；

5)确定评估依据；

6)建立风险评价准则；

7)制定评估方案。

b)评估实施，此阶段应包括：

1)政务数据分类；

2）政务数据分级；

3）政务数据安全威胁识别；

4）政务数据脆弱性识别；

5）政务数据安全措施确认。

c)风险分析与评价，此阶段应包括：

1)风险分析计算；

2)风险评估；

3)风险接受程度；

4)风险处置措施。

d)编制报告。此阶段应包括处理的重要数据的种类、数量，开展数据处理活动情况，面临数据安

全风险及其对应措施等。

6风险评估实施

3

DB3212/T1117—2022

6.1评估准备

组织实施风险评估是一种战略性的考虑，其结果将受到组织规划、业务、业务流程、安全需求、系

统规模和结构等方面的影响。因此，在风险评估实施前应准备以下工作。

a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上，

确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容，附录B给出了风

险评估的工作形式描述。

b)确定风险评估的对象、范围和边界。

c)组建评估团队、明确评估工具。附录C给出了风险评估的工具。

d)开展前期调研。

e)确定评估依据。

f)建立风险评价准则：组织应在考虑国家法律法规要求及行业背景和特点的基础上，建立风险评

价准则，以实现对风险的控制与管理。

风险评价准则应满足以下要求：

1）符合组织的安全策略或安全需求；

2）满足利益相关方的期望；

3）符合组织业务价值。

建立风险评价准则的目的包括但不限于：

1）对风险评估的结果进行等级化处理；

2）能实现对不同风险的直观比较；

3）能确定组织后期的风险控制策略。

g）制定评估方案。

h）评估方案需得到主管单位的支持和批准。

6.2评估实施

6.2.1数据分类

6.2.1.1根据组织的政务数据安全需求以及相关法律法规的规定，按照组织政务数据安全管理的目标

和原则，组织定期梳理重要政务数据处理活动有关情况，形成重要政务数据目录。

6.2.1.2根据政务数据在经济社会发展中的重要程度，以及遭到篡改、破坏、泄露或者非法获取、非

法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对政务数据实行分类保护。

6.2.1.3可参照各地区、各部门以及相关行业、领域按照分保分灰保护制度确定的重要政务数据具体

目录。

6.2.2数据识别

6.2.2.1识别内容

系统资产识别包括资产分类和业务承载性识别两个方面。表1给出了系统资产识别的主要内容描

述。系统资产分类包括信息系统、数据资源和通信网络，业务承载性包括承载类别和关联程度。

4

DB3212/T1117—2022

表1系统资产识别表

识别内容示例

信息系统：信息系统是指由计算机硬件、计算机软件、网络和通信设备等组成的，并按照一定的应用

目标和规则进行信息处理或过程控制的系统。典型的信息系统如门户网站、业务系统、云计算平台、

工业控制系统等

数据资源：数据是指任何以电子或者非电子形式对信息的记录。数据资源是指具有或预期具有价值的

分类数据集。在进行数据资源风险评估时，应将数据活动及其关联的数据平台进行整体评估。数据活动包

括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等

通信网络：通信网络是指以数据通信为目的，按照特定的规则和策略，将数据处理结点、网络设备设

施互连起来的一种网络。将通信网络作为独立评估对象时，一般是指电信网、广播电视传输网和行业

或单位的专用通信网等以承载通信为目的的网络

承载类别：系统资产承载业务信息采集、传输、存储、处理、交换、销毁过程中的一个或多个环节关

业务承载性联程度：业务关联程度（如果资产遭受损害，将会对承载业务环节运行造成的影响，并综合考虑可替

代性）、资产关联程度（如果资产遭受损害，将会对其他资产造成的影响，并综合考虑可替代性）

6.2.2.2价值赋值

系统资产价值应依据资产的保密性、完整性和可用性赋值，结合业务承载性、业务重要性，进行综

合计算，并设定相应的评级方法进行价值等级划分，等级越高表示资产越重要。表2中给出了系统资产

价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。

表2系统资产价值等级表

等级标识系统资产价值等级描述

5很高综合评价等级为很高，安全属性破坏后对组织造成非常严重的损失

4高综合评价等级为高，安全属性破坏后对组织造成比较严重的损失

3中等综合评价等级为中，安全属性破坏后对组织造成中等程度的损失

2低综合评价等级为低，安全属性破坏后对组织造成较低的损失

1很低综合评价等级为很低，安全属性破坏后对组织造成很小的损失，甚至忽略不计

6.2.2.3组件和单元资产识别

系统组件和单元资产应分类识别，系统组件和单元资产分类包括系统组件、系统单元、人力资源和

其他资产。表3给出了系统组件和单元资产识别的主要内容描述。

5

DB3212/T1117—2022

表3系统组件和单元资产识别表

分类示例

计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘

阵列、磁带、光盘、软盘、移动硬盘等

智能终端设备:感知节点设备（物联网感知终端）、移动终端等

系统单元

网络设备:路由器、网关、交换机等

传输线路:光纤、双绞线等

安全设备:防火墙、入侵检测/防护系统、防病毒网关、VPN等

应用系统:用于提供某种业务服务的应用软件集合

应用软件:办公软件、各类工具软件、移动应用软件等

系统软件:操作系统、数据库管理系统、中间件、开发系统、语句包等

系统组件

支撑平台：支撑系统运行的基础设施平台，如云计算平台、大数据平台等

服务接口：系统对外提供服务以及系统之间的信息共享边界，如云计算PassS层服务向其他信息系统

提供的服务接口等

运维人员：对基础设施、平台、支撑系统、信息系统或数据进行运维的网络管理员、系统管理员等业

务操作人员：对业务系统进行操作的业务人员或管理员等

人力资源

安全管理人员：安全管理员、安全管理领导小组等

外包服务人员：外包运维人员、外包安全服务或其他外包服务人员等

保存在信息媒介上的各种数据资料:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用

户手册、各类纸质的文档等

其他资产办公设备:打印机、复印机、扫描仪、传真机等

保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等

服务:为了支撑业务、信息系统运行、信息系统安全,釆购的服务等知识产权:版权、专利等

6.2.2.4组件和单元资产赋值

系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算，并设定相应的评

级方法进行价值等级划分,等级越高表示资产越重要。表4中给出了系组件和单元资产价值等级划分的

描述。资产保密性、完整性、可用性赋值方法见附录D。

表4系统组件和单元资产价值等级表

等级标识系统组件和单元资产价值等级描述

5很高综合评价等级为很高，安全属性破坏后对业务和系统资产造成非常严重的影响

4高综合评价等级为高,安全属性破坏后对业务和系统资产造成比较严重的影响

3中等综合评价等级为中,安全属性破坏后对业务和系统资产造成中等程度的影响

2低综合评价等级为低，安全属性破坏后对业务和系统资产造成较低的影响

1很低综合评价等级为很低，安全属性破坏后对业务和系统资产造成很小的影响,甚至忽略不计

6

DB3212/T1117—2022

6.2.3政务数据分级

6.2.3.1政务数据分级

按照表5政务数据分级判定标准可分为L1、L2、L3、L4四级，并根据就高性原则进行定级，报部

门主要负责人审批同意。

表5政务数据分级判定标准

判定等级判定标识判定标准

涉及国家安全、国民经济、民生大事、军事机密等方面的数据；数据被破坏后，会对

L4涉密数据

社会秩序和公共利益造成严重损害，或对国家安全造成损害。

涉及个人或组织人身财产安全、公共利益、社会秩序等方面的数据；数据被破坏后，

L3敏感数据对公民、法人和其他组织的合法权益造成严重损害，或对社会秩序和公共利益造成损

害，但不损害国家安全。

涉及个人或组织的基本信息、基本活动信息，可小范围内公开或有条件开放共享的数

L2受限数据据；数据被破坏后，对公民、法人和其他组织的合法权益造成一般损害，但不损害国

家安全、社会秩序和公共利益。

依法公开披露的数据；数据被破坏后，对社会秩序、公共利益以及对公民、法人和其

L1公开数据

它组织的合法权益均无影响。

6.2.4安全威胁识别

6.2.4.1威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。

6.2.4.2在对威胁进行分类前，应识别威胁的来源。威胁来源包括环境、意外和人为三类，附录D给

出了威胁识别的参考方法。表6给出了一种威胁来源的分类方法。

6.2.4.3根据威胁来源的不同，威胁可划分为信息损害和未授权行为等威胁种类。表6给出了一种威

胁种类划分的参考。

表6一种数据安全威胁分类方法

数据生命周期

数据威胁分类数据威胁描述

阶段

数据入库时，恶意代码随数据注入到数据库或信息系统，危害数据机

恶意代码注入

密性、完整性、可用性。

数据无效写入数据入库时，数据不符合规范或无效。

数据入库时，攻击者接入釆集系统污染待写入的原始数据，破坏数据

数据污染

完整性。

数据采集数据分类分级或标记错误数据分类分级判断错误或打标记错误，导致数据受保护级别降低。

不在目前的管理目录或者数据接口管理目录中，造成采集过期数据源

数据源

或非法数据源。

不能否满足数据共享的要求，数据产生部门汇集数据与大数据管理平

频度

台采集数据频度不一致。

数据范围需求小于最初的数据共享范围，共享内容不合规。

攻击者伪装成外部通信代理、通信对端、通信链路网关，通过伪造虚

数据窃取

假请求或重定向窃取数据。

有权限的员工、第三方运维与服务人员接入，或攻击者越权接入内部

数据传输

数据监听通信链路与网关、通信代理监听数据。

攻击者接入外部通信链路与网关、通信代理、通信对端监听数据。

数据篡改攻击者伪装成通信代理或通信对端篡改数据。

由于信息系统自身故障、物理环境变化或自然灾害导致的数据破坏，

数据破坏

影响数据完整性和可用性。

篡改网络配置信息、系统配置信息、安全配置信息、用户身份信息或

数据篡改

业务数据信息等，破坏数据完整性和可用性。

数据存储数据分类分级或标记