版 权 声 明本报告版权属于数据安全推进计划,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”。违反上述声明者,数据安全推进计划将追究其相关法律责任。报 告 愿 景 及 目 标全球数字经济持续发展,我国数字化转型加速推进,数据要素市场化进度加快。然而,数据泄露、数据破坏、数据滥用等安全事件频繁发生,这严重危害了国家、社会公众安全,数据安全风险防范的重要性日益凸显。随着网络安全、数据安全领域的法律法规相继颁布,强调数据处理者应依法依规开展数据处理活动,建立健全数据安全管理制度,加强数据安全风险监测与防范,定期开展数据安全风险评估,数据安全风险的评估与治理已成为业内各方最为关切的话题。然而,尽管大量的法规、标准提供了丰富的理论指引,数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段,成因错综复杂,严重影响了组织的数据安全风险评估工作落地,长期来看不利于组织数据安全风险治理能力的持续提升。在此背景下,数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA TC601),携手业内众多专家撰写了本报告。本报告旨在解决数据安全风险评估实务中的诸多问题,介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法,提炼了数据安全风险评估工作的具体实施流程,并以评估实施流程为主线,系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的具体实务问题,并提出问题解决思路,为数据处理者、评估机构的数据安全风险评估实务提供参考,为相关数据处理者、服务机构纾难解惑,增强产业界信心。由于编制时间仓促、水平有限,报告难免存在疏漏,欢迎大家批评指正。联系方式:gongshiran@caict.ac.cn编 制 单 位中国信息通信研究院云计算与大数据研究所、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国联合网络通信有限公司研究院、中国移动通信集团江苏有限公司、中国人寿保险(集团)公司、中国平安人寿保险股份有限公司、华泰证券股份有限公司、天翼电子商务有限公司、西部证券股份有限公司、中国航天科工集团航天情报与信息研究所、国家电网有限公司、重庆长安汽车股份有限公司、赛力斯集团股份有限公司、北京银行股份有限公司、北京五八信息技术有限公司、杭州美创科技股份有限公司、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、联通数字科技有限公司、杭州比智科技有限公司、全知科技(杭州)有限责任公司、腾讯科技(深圳)有限公司、北京亿赛通科技发展有限责任公司、北京塔斯数据技术有限公司、天道金科股份有限公司、杭州薮猫科技有限公司、深圳市联软科技股份有限公司、北京数字认证股份有限公司、杭州数梦工场科技有限公司、安徽辰图大数据科技有限公司、北京数安行科技有限公司、北京炼石网络技术有限公司、南京聚铭网络科技有限公司、杭州安恒信息技术股份有限公司、阿里云计算有限公司、厦门服云信息科技有限公司、深圳市华傲数据技术有限公司、杭州极盾数字科技有限公司。编 制 工 作 组龚诗然、张亚兰、李雪妮、李天阳、张越、郝志婧、刘雪花编 制 专 家龚诗然、张亚兰、温暖、王勇、李冰、王志宇、周莹、李文琦、刘飞龙、钱江洪、陈豪、曹咪、陶冶、吴璟、姬长鹏、刘洋、张啸雷、马宁、张扬、柯淑馨、江旺、张炎、周思佳、 谢云鹏、洪雪莲、许琛超、邢骁、姜娜、全晓东、李超、张立鹏、张强强、刘斌、苏辉、 李鹏、王会宴、杨力、王思涵、朱梦瑶、李娜(北京银行)、王基安、刘蕾、柳遵梁、应以峰、叶桦、朱朔漫、楚赟、苏文亭、梁伟、王玮、艾龙、谢雄、马明、赵宁、周莉、王笑晨、 任兴、崔玲龙、何徐麒、曾云、崔壤丹、李滨、姬生利、乐元、张林成、刘灿、张艺伟、梁步庭、李楷、胡国华、卓柳俊、王振东、张红露、王同新、张赣、毛靖文、傅娅兰、陈洪运、宫小茜、郭丽颖、胡嘉伟、甘长华、翟培康、关中华、项宇欣、刘玉红、赵倩、唐开达、陈虎、高柱、徐道晨、李娜(阿里云)、杨智垄、何旭...