ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T 455772025 数据安全技术 数据安全风险评估方法 Data security technologyRisk assessment method for data security 2025-04-25 发布 2025-11-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 SAC GB/T 45577—2025 目 次 前言 II 范围 1 规范性引用文件 2 术语和定义 3 缩略语 4 通则 5 5.1 概述 5.2 数据安全风险评估要素关系 5.3 数据安全风险评估原理 5.4 数据安全风险评估适用情形 5.5 数据安全风险评估实施流程 5.6 数据安全风险评估内容框架 5.7 数据安全风险评估手段 6数据安全风险评估准备 6.1 确定评估目标 6.2 确定评估范围 6.3 组建评估团队 6.4 开展前期准备 6.5 制定评估方案 信息调研 7 7.1 数据处理者调研 7.2 业务和信息系统调研 10 7.3 数据资产调研· 10 7.4 数据处理活动调研· 7.5 安全防护措施调研· 8风险识别 8.1 通则 8.2 已开展测评情况分析 12 8.3 数据安全管理 12 8.4 数据处理活动安全 12 8.5 数据安全技术 13 8.6 个人信息保护. 13 风险分析与评价· 9 14 GB/T 45577—2025 9.1 通则· 9.2 数据安全风险分析 14 9.3数据安全风险评价 16 9.4 形成数据安全风险清单 17 10评估总结 10.1 编制评估报告 17 10.2 风险处置建议 18 10.3 残余风险分析 18 附录Λ（规范性） 数据安全风险识别内容 A.1数据安全管理 19 A.2 数据处理活动 24 数据安全技术 Λ.3 30 A.4个人信息保护 34 附录B(资料性) 典型数据安全风险类型 附录C（资料性） 数据安全风险分析参考…· 4 1 C.1 数据安全风险危害程度分析参考· 41 C.2数据安全风险发生可能性分析参考 附录D（资料性）数据安全风险量化分析与评价方法 D.1数据安全风险危害程度量化分析方法 45 D.2数据安全风险发生可能性量化分析方法 45 D.3数据安全风险量化评价方法： 45 附录E (资料性) 数据安全风险评估报告模板 参考文献 49 1 GB/T 455772025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260)提山并归口。 本文件起草单位：中国电子技术标准化研究院、国家信息技术安全研究中心、国家计算机网络应急 技术处理协调中心、国家工业信息安全发展研究中心、中央网信办数据与技术保障中心、中国信息安全 测评中心、国家信息中心、中国科学院信息工程研究所、公安部第三研究所、北京市政务信息安全保障中 心、国网络安全审查认证和市场监管大数据心、国科学技术大学、国科学院软件研究所、阿里云 计算有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司 本文件主要起草人：杨建军、姚相振、张宇光、胡影、陈琦、杨韬、林星辰、陈特、卢磊、林志强、姜松浩、 上官晓丽、任英杰、朱雪峰、晏慧、李敏、赵冉、刘曦泽、李晔、陈静、徐峰、工晖、工得福、都婧、马英、张妍、 苏艳芳、李媛、程瑜琦、左晓栋、张立武、宋璟、孙勇、王昕、白晓媛、邵萌、苏丹、李海东、张明天、高晨涛 GB/T 45577—2025 数据安全技术# 数据安全风险评估方法 1范围 本文件描述了数据安全风险评估的基本概念、要素关系、分析原理，给山了数据安全风险评估的实 施流程、评估内容、分析评价方法等。 本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门 实施数据安全检查评估时参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069—20221 信息安全技术术语 GB/T43697一2024数据安全技术数据分类分级规则 DVS 3术语和定义 GB/T25069一2022界定的以及下列术语和定义适川于本文件。 3.1 数据data 任何以电子或者其他方式对信息的记录。 3.2 数据安全data security 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的 能力。 3.3 数据处理活动data processing activities 数据收集、存储、使用、加工、传输、提供、公开、删除等活动。 3.4 合理性rationality 数据处理活动遵守法律、行政法规要求，符合网络安全和数据安全常识道理，不得损害国家安全、公 共利益和个人、组织的合法权益。 3.5 数据安全风险源data security risk source 可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐 患等。 注：在本文件中简称风险源”，既包括安全威胁利用脆弱性可能导致数据安全事件的风险源，也包括数据处理活动 1