炼石 CipherGateway 图解信安标委 《网络数据安全风险评估实施指引》 炼石网络2023年06月 炼石 《网络数据安全风险评估实施指引》 制定自的和主要内容 CipherGateway 制定目的 首页 工作动态 行业观点 极准狂求意见 颗准宣询 出版物 关于我们 平台登景 为贯彻落实《数据安全法》关于数据安全风险评估的 通知公告 要求，秘书处在组织编制国家标准的同时，编制了 关于发布《网络安全标准实践指南一网络数据安全风险评估实施指引》的通知 《网络安全标准实践指南一一网络数据安全风险评估 2023-0629 实施指引》，用于指导开展网络数据安全风险评估工 信安秘字【2023】70号（ 各有关单位： 作。 为贯彻落实《数据安全法》关于数据安全风险评估的要求，秘书处在组织编制国家标准的同时，编制了《网络安全标 准实践指南一—网络数据安全风险评估实施指引》，用于指导开展网络数据安全风险评估工作。 本《实践指南》给出了网络数据安全风险评估的评估思路、工作流程和评估内容，依据本《实践指南》开展评估工作 主要内容 形成的优秀经验也可为国家标准制定提供参考。 全文请点击附件下载。 本《实践指南》给出了网络数据安全风险评估的评估 附件：2《网络安全标准实践指南一网络数据安全风险评估实施指引》pdf 思路、工作流程和评估内容。依据本《实践指南》开 全国信息安全标准化技术委员会秘书处 展评估工作形成的优秀经验也可为国家标准制定提供 2023年5月26日 参考。 炼石 指导网络数据安全风险评估工作，防范数据安全风险 CipherGateway 2023年5月29日，全国信息安全标准化技术委员会发布《网络安全标准实践指 TC260-PG-20231A 南一一网络数据安全风险评估实施指引》，旨在贯彻落实《数据安全法》关于数 据安全风险评估的要求，指导网络数据安全风险评估工作。 网络安全标准实践指南 ·给出网络数据安全风险评估思路、工作流程和评估内容； 一网络数据安全风险评估实施指引 ：可用于指导数据处理者、第三方机构开展数据安全评估，也可为有关主管监管部门组织开展检查评估提供参考。 (v1.0-202305) 中华人民共和国 中华人民共和国 中华人民共和国 网络安全法 数据安全法 含草案促明 个人信息保护法 全国信息安全标准化技术委员会秘书处 2023年5月 本文档可从以下网址获得： www.tc260.org.cn/ 全国信息安全标准化技术委员会 网络安全法 数据安全法 个人信息保护法 参照数据安全相关国家标准 《网络安全标准实践指南一一 网络数据安全风险评估实施指引》 炼石 CipherGateway 一、图解 《网络数据安全风险评估实施指引》 二、图解12项数据安全国家标准 炼石 炼石整理：网络数据安全风险评估实施指引总览 CipherGateway 网络数据安全风险评估实施指引 一、 范围 二、术语定义 三、 风险评估概述 四、评估准备 五、信息调研 5.2业务和信息系统 3.1评估思路 3.2评估内容 4.1明确评估目标 4.2确定评估范围 5.1数据处理者调研 调研 5.4数据处理活动 3.3评估流程 3.4评估手段 4.3组建评估团队 4.4开展前期准备 5.3数据资产调研 调研 4.5制定评估方案 5.5安全措施调研 六、风险识别 七、综合分析 八、评估总结 7.2风险分析与评价 6.1数据安全管理 6.2数据处理活动 7.1梳理问题清单 8.1评估报告 8.2风险处置 6.3数据安全技术 6.4个人信息保护 7.3提出整改建议 炼石 实践指南的适用范围 CipherGateway 1.范围 2.术语定义 指南内容 评估范围 适用主体 3.风险评估概述 4.评估准备 5.信息调研 指导 给出网络数据安全风险的： 提出从以下方面评估安全风险： 数据处理者、第三方机构 6.风险识别 开展风险评估 评估思路 ．数据安全管理 ·工作流程 ：数据处理活动 7.综合分析 有关主管监管部门 ·评估内容 ·数据安全技术 组织开展数据安全检查评估提供参考 8.评估总结 ．个人信息保护 9.附录 炼石 给出网络数据安全风险评估相关的13项重要定义 CipherGateway 1.范围 数据处理遵守法律、 由数据处理者的上级主管部 行政法规要求，尊重 门、业务主管部门或国家有 组织为实现某项发展规划而 社会公德和伦理道德， 关主管（监管）部门发起的， 2.术语定义 业务√ 开展的运营活动。[来源： 合理性> 符合网络安全和数据 依据有关政策法规与标准， \检查评估 GB/T20984-2022,3.1.4] 安全常识道理。 对评估对象的数据安全风险 进行的评估活动。 3.风险评估概述 4.评估准备 网络数据 数据处理者 数据处理活动 数据安全 数据安全风险 网络数据安全 1 风险评估 通过网络处理和产 在数据处理活动中 数据的收集、存储、 风险隐患 通过采取必要措施， 数据安全事件的发 5.信息调研 对网络数据和数据处理活 生的各种电子数据， 自主决定处理目的 使用、加工、传输、 确保数据处于有效 生可能性及其对国 可能导致危害数据 和处理方式的个人 提供、公开、删除 保护和合法利用的 家安全、公共利益 动安全进行风险识别、风 简称“数据”。 的保密性、完整性、 险分析和风险评价的整个 和组织。 等活动。 状态，以及具备保 或者组织、个人合 可用性和数据处理 过程。 障持续安全状态的 6.风险识别 法权益造成的影响。 合理性等事件的威 《数据安全法》 能力。 胁、脆弱性、问题、 本法所称数据，是 隐患等，也称“风 指任何以电子或者 数据处理者委托个 7.综合分析 其他方式对信息的 险源”。 人、组织按照约定 记录。 委托处理 注：风险隐患，既 的目的和方式开展 自评估 包括安全威胁利用 《网络数据安全 的数据处理活动。 脆弱性可能导致数 管理条例（征求 由数据处理者自身发起， 8.评估总结 据安全事件的风险 意见稿）》 组成机构内部评估小组或 两个以上的数据处 隐患，也包括数据 网络数据（简称数 委托第三方评估机构，依 理者共同决定数据 处理活动不合理操 据）是指任何以电 据有关政策法规与标准， 的处理目的和处理 共同处理 作可能造成违法违 9.附录 子方式对信息的记 对评估对象的数据安全风 录。 方式的数据处理活 规处理事件的风险 险进行评估的活动。 动。 隐患。