政策图解-《数据安全技术数据安全风险评估方法》（GBT45577-2025）-炼石

2025-05-16ASPCMS社区 - fjmyhfvclm

《数据安全技术数据安全风险评估方法》（GB/T45577-2025）是为贯彻落实《数据安全法》关于数据安全风险评估要求而制定，由国家市场监督管理总局、国家标准化管理委员会联合发布，于2025年11月1日正式实施，适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

该标准明确了数据安全风险评估的基本概念、要素关系及分析原理。数据安全风险评估围绕数据和数据处理活动，聚焦影响数据保密性、完整性、可用性和数据处理合理性的风险，涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等要素，各要素相互关联，其中数据和数据处理活动是核心，安全措施用于抵御风险源。其评估原理包括风险识别、风险分析和风险评价，通过信息调研识别相关要素，从多方面识别风险，梳理风险源清单并分析评价，提出整改建议。

标准规定了数据安全风险评估的适用情形，重要数据处理者等需每年开展评估，在数据范围、处理活动等重大变更时也需重新评估，部分情形则宜结合实际开展。评估实施流程包括评估准备、信息调研、风险识别、风险分析与评价、评估总结五个阶段，每个阶段有具体工作及主要产出物。

评估内容框架围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护展开。数据安全管理涵盖制度体系、组织机构等多方面；数据处理活动安全涉及收集、存储、传输等各环节；数据安全技术包括网络安全防护、身份鉴别等；个人信息保护则涉及处理基本原则、告知同意、敏感信息处理等内容。

评估手段包括人员访谈、文档查验、安全核查和技术测试。人员访谈用于核查制度等落实情况，文档查验针对相关材料，安全核查关注系统和设备安全策略，技术测试借助工具检测防护措施有效性。

风险分析与评价方面，风险分析从数据保密性、完整性、可用性和处理合理性角度，考虑数据价值、风险源严重程度等因素分析危害程度，以及风险源发生频率、安全措施有效性等评估发生可能性。风险评价结合危害程度和发生可能性，将风险等级划分为重大、高、中、低、轻微安全风险。评估总结阶段需编制评估报告，提出处置建议并进行残余风险分析。

此外，标准还对数据安全管理、数据处理活动各环节、数据安全技术应用及个人信息保护等方面的重点评估内容作了详细规定，涵盖制度建设、操作规范、技术措施等，同时给出了典型数据安全风险类型、风险危害程度和发生可能性的等级参考，以及量化分析方法和评估报告模板等内容，为数据安全风险评估工作提供了全面、详细的指导。