在数字经济高速发展的今天,数据已成为驱动社会进步的新型生产要素。然而,数据泄露、滥用、篡改等安全事件频发,不仅威胁国家安全与公共利益,更直接侵害个人权益。为应对这一挑战,《数据安全法》《个人信息保护法》和《网络数据安全管理条例》等法规相继出台,为数据安全治理构筑了法律框架。在此背景下,2025年4月25日,国家市场监督管理总局与国家标准化管理委员会联合发布《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)(以下简称“标准),系统化明确了数据安全风险评估的实施路径,标志着我国数据安全管理再迈新阶段。
标准明确了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析评价方法等,适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
为帮助数据处理者及监管部门、第三方评估机构更高效地落实标准要求,本文针对实际应用中可能存在的关键问题,结合标准核心条款进行深度解读。以下从“评估场景”“要素关系”“实施流程”等维度,逐一解答风险评估落地的核心疑问。
标准明确规定了五类必须开展数据安全风险评估的情形,主要涉及重要数据、核心数据、大规模个人信息处理等高风险场景。除强制性要求以外,还列出三类“宜”(推荐性)开展风险评估的情形。数据处理者需要判断是否属于“必须评估”的范畴,落实数据安全风险评估。
数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素,也说明数据安全风险评估需要围绕数据、数据处理活动展开,以全面发现数据安全隐患。
数据安全风险评估工作划分为五个阶段,包括前期评估准备、评估信息调研、安全风险识别、风险分析与评价以及风险评估总结,每个阶段都需要完成相关工作,以及输出主要产出物,以支撑下一阶段工作的开展。例如“信息调研”阶段需要完成数据处理者调研、业务和信息系统调研、数据资产调研、数据处理活动调研、安全措施调研,输出相关的调研报告,才能支撑“风险识别”阶段对数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行数据安全风险识别,发现可能存在的数据安全风险源。
数据安全风险评估时,以信息调研为基础支撑,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护四大核心领域开展数据安全风险评估。在数据安全技术方面,以网络安全防护为基础,重点评估风险监测、数据脱敏、访问控制、安全认证、数据接口安全等技术应用情况。
数据安全风险评估可综合采用人员访谈、文档查验、安全核查、技术测试等手段。
数据安全风险分析,主要从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源可能引发的数据安全风险,及风险危害程度和发生的可能性方面展开。
数据安全风险危害程度分析主要考虑数据价值、风险源严重程度等因素,结合数据级别、规模、种类、处理目的、方式、范围等情况,综合分析数据安全风险一旦发生,对国家安全、公共利益、组织或者个人合法权益造成的危害程度,将风险危害程度从低到高划分为低、中、较高、高、很高5个等级。
风险发生可能性分析主要依据风险源发生频率、安全措施有效性和完备性、风险源关联性等因素综合评估,将数据安全风险发生可能性从低到高分为低、中、高3个等级,等级越高代表措施完备性、有效性越低,风险越可能发生。
数据安全风险评价需结合数据安全风险危害程度和风险发生可能性进行综合分析,实现对数据安全风险全面、准确判断,有定性和定量两种评价方法,数据处理者可根据自身情况,选择适宜的评价方法。
1)数据安全风险定性评估方法
数据处理者可根据自身情况,将仅影响组织权益、个人权益等的风险自行定为或调整为“重大”“高”等级别,及时进行风险处置。
2)数据安全风险定量评估方法
先按照百分制对数据安全风险危害程度、数据安全风险发生可能性进行量化,得分越高代表风险危害程度、风险发生可能性越高。
再根据量化结果计算风险分值,得分越高代表风险等级越高。
在数据安全风险评估报告中应该详细包含信息调研情况、数据安全风险识别情况、风险分析与评价,并给出整改建议,指导数据处理者对相关风险进行整改。
在数字化浪潮席卷全球的当下,数据安全已成为国家安全与经济发展的战略基石。此标准的发布,不仅为行业提供了科学的风险评估框架,更标志着我国数据安全治理从“合规驱动”迈向“能力驱动”的新篇章。作为这一进程的重要参与者,昂楷科技拥有16年数据安全的技术积淀,从Database到API、从产品到服务,凭借自主研发的20余款数据安全产品及“四核四扩”数据安全服务体系,昂楷多行业、多场景的数据安全解决方案帮助客户构建了从风险评估到长效防护的闭环能力。
未来,昂楷科技将持续依托新国标的技术指引,结合自身丰富的风险评估实践经验,协助客户精准识别数据安全隐患,高效落实标准中的技术要求与流程规范,助力构建覆盖数据全生命周期的安全防护体系。