在數字經濟高速發展的今天,數據已成為驅動社會進步的新型生產要素。然而,數據泄露、濫用、篡改等安全事件頻發,不僅威脅國家安全與公共利益,更直接侵害個人權益。為應對這一挑戰,《數據安全法》《個人信息保護法》和《網絡數據安全管理條例》等法規相繼出臺,為數據安全治理構筑了法律框架。在此背景下,2025年4月25日,國家市場監督管理總局與國家標準化管理委員會聯合發布《數據安全技術 數據安全風險評估方法》(GB/T 45577-2025)(以下簡稱“標準),系統化明確了數據安全風險評估的實施路徑,標志著我國數據安全管理再邁新階段。
標準明確了數據安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內容、分析評價方法等,適用于指導數據處理者、第三方評估機構開展數據安全風險評估,也可供有關主管監管部門實施數據安全檢查評估時參考。
為幫助數據處理者及監管部門、第三方評估機構更高效地落實標準要求,本文針對實際應用中可能存在的關鍵問題,結合標準核心條款進行深度解讀。以下從“評估場景”“要素關系”“實施流程”等維度,逐一解答風險評估落地的核心疑問。
標準明確規定了五類必須開展數據安全風險評估的情形,主要涉及重要數據、核心數據、大規模個人信息處理等高風險場景。除強制性要求以外,還列出三類“宜”(推薦性)開展風險評估的情形。數據處理者需要判斷是否屬于“必須評估”的范疇,落實數據安全風險評估。
數據安全風險評估涉及數據、數據處理活動、業務、信息系統、安全措施、風險源等基本要素,也說明數據安全風險評估需要圍繞數據、數據處理活動展開,以全面發現數據安全隱患。
數據安全風險評估工作劃分為五個階段,包括前期評估準備、評估信息調研、安全風險識別、風險分析與評價以及風險評估總結,每個階段都需要完成相關工作,以及輸出主要產出物,以支撐下一階段工作的開展。例如“信息調研”階段需要完成數據處理者調研、業務和信息系統調研、數據資產調研、數據處理活動調研、安全措施調研,輸出相關的調研報告,才能支撐“風險識別”階段對數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面進行數據安全風險識別,發現可能存在的數據安全風險源。
數據安全風險評估時,以信息調研為基礎支撐,圍繞數據安全管理、數據處理活動安全、數據安全技術、個人信息保護四大核心領域開展數據安全風險評估。在數據安全技術方面,以網絡安全防護為基礎,重點評估風險監測、數據脫敏、訪問控制、安全認證、數據接口安全等技術應用情況。
數據安全風險評估可綜合采用人員訪談、文檔查驗、安全核查、技術測試等手段。
數據安全風險分析,主要從影響數據保密性、完整性、可用性和數據處理合理性角度分析各項風險源可能引發的數據安全風險,及風險危害程度和發生的可能性方面展開。
數據安全風險危害程度分析主要考慮數據價值、風險源嚴重程度等因素,結合數據級別、規模、種類、處理目的、方式、范圍等情況,綜合分析數據安全風險一旦發生,對國家安全、公共利益、組織或者個人合法權益造成的危害程度,將風險危害程度從低到高劃分為低、中、較高、高、很高5個等級。
風險發生可能性分析主要依據風險源發生頻率、安全措施有效性和完備性、風險源關聯性等因素綜合評估,將數據安全風險發生可能性從低到高分為低、中、高3個等級,等級越高代表措施完備性、有效性越低,風險越可能發生。
數據安全風險評價需結合數據安全風險危害程度和風險發生可能性進行綜合分析,實現對數據安全風險全面、準確判斷,有定性和定量兩種評價方法,數據處理者可根據自身情況,選擇適宜的評價方法。
1)數據安全風險定性評估方法
數據處理者可根據自身情況,將僅影響組織權益、個人權益等的風險自行定為或調整為“重大”“高”等級別,及時進行風險處置。
2)數據安全風險定量評估方法
先按照百分制對數據安全風險危害程度、數據安全風險發生可能性進行量化,得分越高代表風險危害程度、風險發生可能性越高。
再根據量化結果計算風險分值,得分越高代表風險等級越高。
在數據安全風險評估報告中應該詳細包含信息調研情況、數據安全風險識別情況、風險分析與評價,并給出整改建議,指導數據處理者對相關風險進行整改。
在數字化浪潮席卷全球的當下,數據安全已成為國家安全與經濟發展的戰略基石。此標準的發布,不僅為行業提供了科學的風險評估框架,更標志著我國數據安全治理從“合規驅動”邁向“能力驅動”的新篇章。作為這一進程的重要參與者,昂楷科技擁有16年數據安全的技術積淀,從Database到API、從產品到服務,憑借自主研發的20余款數據安全產品及“四核四擴”數據安全服務體系,昂楷多行業、多場景的數據安全解決方案幫助客戶構建了從風險評估到長效防護的閉環能力。
未來,昂楷科技將持續依托新國標的技術指引,結合自身豐富的風險評估實踐經驗,協助客戶精準識別數據安全隱患,高效落實標準中的技術要求與流程規范,助力構建覆蓋數據全生命周期的安全防護體系。
