《信息安全技术 数据安全风险评估方法》（征求意见稿）解读

8月21日，全国信息安全标准化技术委员会秘书处发布关于征求国家标准《信息安全技术 数据安全风险评估方法》（征求意见稿）意见的通知，面向社会广泛征求意见。

1、数据安全相关政策法规

此前，国家也发布了多部数据安全相关的法律法规，分别从概念到具体执行等多个层面进行丰富，如：

01

2017年6月《网络安全法》

提及“网络数据安全保护”。

02

2019年5月《数据安全管理办法》

全面规定了数据安全的收集、存储、传输、处理、使用等生命周期。

03

2021年8月《个人信息保护法》

增加了加工、提供、公开、删除等数据安全生命周期环节。

04

2021年11月《网络数据安全管理条例》

明确了对数据采取分类分级保护制度及对应的保护措施。

05

2022年1月《网络安全审查办法》

增加了对数据安全及数据处理活动的审查。

06

2022年7月《数据出境安全评估办法》

规范了数据运营者对敏感数据的出境处理方式。

从上述几部政策法规及标准，可以看出我国的数据安全防护管理逐步成熟。《信息安全技术 数据安全风险评估方法》的推出，让用户的数据安全相关风险提前发现、提前治理，降低发生后再进行治理的经济损失程度。

2、征求意见稿核心内容

征求意见稿主要包含评估要素间关系、风险分析原理、评估适用情形、评估实施流程、评估内容框架、评估方法、数据安全风险评估准备、数据和数据处理活动识别、数据安全风险识别、数据安全风险分析与评价、评估总结、数据安全风险评估报告模板等内容。

3、关键定义

适用对象

适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

数据

任何以电子或者其他方式对信息的记录；

数据安全

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据处理活动

数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

数据安全风险

数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。

数据安全风险评估

对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。

风险源

可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等，也称“风险隐患”。

《信息安全技术 数据安全风险评估方法》的出台将为用户提前做好数据安全风险防范提供了具体的、可落地的执行方法，了解上述的关键定义有利于用户更好地开展工作。

作为国内云原生安全领导厂商，安全狗也较早地洞悉到数据安全的重要性，并推出数据安全保障解决方案数垒（点此查看）以及数据安全风险评估服务（点此查看），能为广大行业用户提供覆盖数据安全全生命周期的防护。未来，安全狗将践行“守护数字世界 助力网络强国”的使命，为广大用户的数字经济转型发展、我国的网络安全体系建设以及数据安全健康发展贡献自身的力量。