中华人民共和国国家标准
数据安全技术 数据安全风险评估方法
Data security technologyRisk assessment method for data security
国家市场监督管理总局 国家标准化管理委员会 发布
目次
前言1范围2规范性引用文件3术语和定义4缩略语5.1述5.2数据安全风险评估要素关系 5.3数据安全风险评估原理5.4数据安全风险评估适用情形5.5数据安全风险评估实施流程5.6数据安全风险评估内容框架5.7数据安全风险评估手段6数据安全风险评估准备6.1确定评估目标6.2确定评估范围6.3组建评估团队6.5制定评估方案 6.4开展前期准备7信息调研 7.1数据处理者调研7.2业务和信息系统调研7.3数据资产调研 10 107.4数据处理活动调研 107.5安全防护措施调研8风险识别 118.1通则 118.2已开展测评情况分析8.3数据安全管理 128.5数据安全技术 8.4数据处理活动安全 12139风险分析与评价 8.6个人信息保护
9.2数据安全风险分析 前169.3数据安全风险评价9.4形成数据安全风险清单10评估总结10.1编制评估报告 1710.2风险处置建议 1810.3残余风险分析 18附录A(规范性)数据安全风险识别内容A.1数据安全管理 19A.2数据处理活动A.3数据安全技术 A.4个人信息保护 30附录B(资料性)典型数据安全风险类型附录C(资料性)数据安全风险分析参考C.1数据安全风险危害程度分析参考 41C.2数据安全风险发生可能性分析参考 43附录D(资料性)数据安全风险量化分析与评价方法 45D.1数据安全风险危害程度量化分析方法 45D.2数据安全风险发生可能性量化分析方法D.3数据安全风险量化评价方法附录E(资料性)数据安全风险评估报告模板 46参考文献.
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任.
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口.
本文件起草单位:中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心、中央网信办数据与技术保障中心、中国信息安全测评中心、国家信息中心、中国科学院信息工程研究所、公安部第三研究所、北京市政务信息安全保障中心、中国网络安全审查认证和市场监管大数据中心、中国科学技术大学、中国科学院软件研究所、阿里云 计算有限公司、北京快手科技有限公司、蚂蚊科技集团股份有限公司、华为技术有限公司.
本文件主要起草人:杨建军、姚相振、张宇光、胡影、陈琦、杨韬、林星辰、陈特、卢磊、林志强、姜松浩、上官晓丽、任英杰、朱雪峰、晏慧、李敏、赵冉、刘曦泽、李哗、陈静、徐峰、王晖、王得福、都婧、马英、张妍、苏艳芳、李媛、程瑜琦、左晓栋、张立武、宋璟、孙勇、王昕、白晓媛、邵萌、苏丹、李海东、张明天、高晨涛.
