数据安全风险评估报告.pdfVIP

数据安全风险评估报告

评估单位：

评估系统：

时间：

一、评估摘要

为履行《网络安全法》、《数据安全法》、《个人信息保护法》关于数据安

全管理的要求，确保企业数据安全管理工作合法合规，依据《网络安全标准实践

指南-网络数据安全风险评估实施指引》通过访谈、检查、测试等方式，对本系

统涉及的数据处理活动开展了安全风险评估工作。

评估发现本系统涉及的数据处理活动，处理数据的目的、范围、方式均合法、

正当、必要；综合分析数据安全事件发生的可能性等级以及对国家、经济、网络、

社会、科技安全影响程度两个方面的因数，研判得出本系统涉及的数据处理活动

安全风险等级为：低风险。

二、评估概述

2.1评估背景

近年来数据泄露事件频发，危害公民权益和生命财产安全，更对国家安全、

社会经济和公共秩序造成严重影响。

针对数据安全，国家“十四五”规划强调保障国家数据安全加强个人信息保

护，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，

推动数据资源开发利用。在法律法规方面国家已出台《网络安全法》、《数据安

全法》、《个人信息保护法》等一系列法律法规。

为履行《网络安全法》、《数据安全法》、《个人信息保护法》要求的社会

责任，进一步加强数据安全管理工作，提高数据安全保护水平，确保企业数据安

全管理工作合法合规，根据监管要求以及《网络安全标准实践指南-网络数据安

全风险评估实施指引》，特组织开展了本次数据安全风险评估工作。

2.2评估目的

本次评估旨在通过系统地识别、分析、评估数据安全风险，以发现数据安全

隐患、防范数据泄露、滥用、丢失等安全事件的可能性，保护数据的机密性、完

整性和可用性，保障数据的安全和稳定。同时，使数据安全管理更加科学化、规

范化和有效化，提高企业对数据安全风险的认知和掌控，减少数据安全风险对企

业造成的损失和影响。

1)通过信息数据资产调查，得出数据资产状况，并建立数据资产库。

2)通过数据安全风险评估，得到数据安全整体现状。

3)根据数据安全规划，设计数据安全解决方案，实施方案等，指导下一步

安全建设工作。

2.3评估方法

开展数据安全风险评估时，综合采取下列手段进行评估：

a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、

安全责任落实情况；

b）文档查验：查验安全管理制度、风险评估报告、等保测评报

告等有关材料及制度落实情况的证明材料；

c）安全核查：核查网络环境、数据库和大数据平台等相关系统

和设备安全策略、配置、防护措施情况；

d）技术测试：应用技术工具、渗透测试等手段查看数据资产情

况、检测防护措施有效性。

2.4评估团队

本次数据安全风险评估团队主要由专业第三方数据安全公司、被测单位数据

安全负责人、数据相关系统管理人员等组成。

姓名单位/部门职务职责分工

2.5评估时间

评估准备阶段：向xxx有限公司收集系统相关信息，了解系统基本情况，收

集系统相关管理制度资料文档，确认数据资产分布情况、数据处理活动范围、已

有安全防护措施。

评估实施阶段：评估人员对系统相关人员进行了现场调研，通过人员访谈、

系统查看、评测验证等多种方式对系统的数据安全风险保障能力进行了核实验证。

评估总结阶段：针对系统数据安全管理及保障措施，提出系统后续发展中管

理及技术保障能力改进方向及重点，并与企业相关部门人员召开会议进行确认，

对评估结果达成了一致意见。

整改复查阶段：根据已检查到的数据安全风险，形成数据风险清单，与企业

数据安全责任人核实复查整改情况，依据数据处理者决定的风险处置措施，结合

风险识别和评估方法，预判措施有效性和残余风险，形成记录。

2.6评估依据

本次为XX单位提供的数据安全风险评估，参考的安全相关标准如下：

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《信息安全技术个人信息安全规范》GB/T35273-2020

《网络安全等级保护基本要求》GB/T22239-2019