©2023国际云安全联盟大中华区版权所有 1 ©2023云安全联盟大中华区版权所有 2@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看 及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a) 本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d) 该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理 使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 3 ©2023国际云安全联盟大中华区版权所有 4致谢 《企业数据安全风险管理指南》由CSA大中华区数据安全工作组内企业数 据安全风险管理项目组专家撰写，感谢以下专家的贡献： 项目组组长：艾龙 原创作者： 陈吴栋 董雁超 方伟 付宗玉 郭海骏 贺志生 黄瑞 雷钰婷 刘楚楚 鹿淑煜 潘万鹏 王皓然 王辉 王良河 谢琴 薛恺 杨天识 杨岁立 杨学治 俞华辰 袁荣婷 张涛 赵宇 周泽元 审核专家： 董雁超 乐元 刘楚楚 潘万鹏 谢江 谢琴 杨天识 吕鹂啸 郭鹏程 姚凯 研究协调员：卜宋博 贡献单位： 北京江南天安科技有限公司 北京启明星辰信息安全技术有限公司 北京天融信网络安全技术有限公司北京神州数码云计算有限公司 北森云计算有限公司 格尔软件股份有限公司 广州赛宝认证中心服务有限公司 广州熠数信息技术有限公司 贵州电网有限责任公司信息中心 杭州虎符网络有限公司 杭州美创科技股份有限公司 任子行网络技术股份有限公司 三六零数字安全科技集团有限公司三未信安科技股份有限公司 上海观安信息技术股份有限公司 上海众人智能科技有限公司 深信服科技股份有限公司 深圳国家金融科技测评中心有限公司 ©2023云安全联盟大中华区版权所有 5深圳市联软科技股份有限公司 深圳市智安网络有限公司 苏州云至深技术有限公司 腾讯云计算（北京）有限责任公司 浙江大华技术股份有限公司 中兴通讯股份有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c- csa.cn/research/）上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处 给与雅正!联系邮箱[email protected]；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有 6序言 数字经济已经成为当今社会快速发展的主流经济，越来越多的国家和企业加速谋划和布局数 字经济，抢占发展制高点。我国“十四五”规划中明确提出“加快数字化发展、建设数字中国” 的目标，《数字中国建设整体布局规划》发布，在此背景下，我国正处于数字化转型的关键时期， 数字技术成为核心引擎，数据成为新的生产要素。云计算、大数据、物联网、人工智能、区块链 等新技术正在不断地应用和创新，对数据的开发利用和风险管控已成为当今甚至将来很长一段时 间内的热点话题。数据从资源形态通过价值释放转变为资产，通过不断地应用和流通进阶为新的 生产要素。数据要素驱动产业数字化转型已经成为全球共识。随着数字技术与实体产业、实体经 济的不断融合，各类数字化技术对数据充分地开发和利用，数字空间正在不断的影响和改变着我 们生产和生活的方方面面。一方面是物理世界对数字空间的依存度增加了，另一方面是数字空间 对物理世界产生的影响、带来的安全风险也将会更大。所以在数字空间视角下，我们认为数据安 全的内涵与外延正在不断的扩展。 新事物的发展必然带来变化和不确定性，随着数字化转型的不断深化，数据在不同的主体、 不同的场景下以不同的形态在不断地流转与应用，随之带来的数据泄露、数据破坏、数据违法违 规使用等等各类数据安全事件也是层出不穷。传统的信息安全风险管理方法已不再适用当今高速 发展和不断变化的数字化业务，也无法实现数据全生命周期过程的风险管控。 我国《数据安全法》第二章第十八条中明确提及“国家支持有关部门、行业组织、企业、教 育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。” 综上，以合规遵循、业务发展、风险防控等多方面需求驱动，本文构建了以数据为中心的 风险管理框架，在充分分析各类数据处理活动场景所面临的数据安全风险的基础上，从数据安全 风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险监督 改进、数据安全风险沟通与评审等六大方面给出了切实可行的管理方法，以及通过20套附录工 具提供了详尽的实践思路，期望能够为各企业数据安全从业者提供参考和帮助。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有 7目录 致谢...........................................................................................................................................................4 序言...........................................................................................................................................................6 1数据安全政策和背景...........................................................................................................................9 1.1数字经济发展现状....................................................................................................................9 1.2数据安全政策现状..................................................................................................................13 2数据安全风险管理概述.....................................................................................................................26 2.1数据生命周期处理活动概述..................................................................................................26 2.2数据安全风险概述..................................................................................................................28 2.3数据安全风险影响分析..........................................................................................................30 2.4数据安全风险管理的必要性..................................................................................................33 3数据安全风险管理.............................................................................................................................34 3.1数据安全风险管理框架..........................................................................................................34 3.2数据安全风险管理规划..........................................................................................................36 3.3数据处理活动管理..................................................................................................................39 3.4数据安全风险评估..................................................................................................................44 3.5数据安全风险处置.........................................................