一、什么是数据安全风险评估

对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。

数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险，掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术 防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、 数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理风险源清单，分析数据安全风险、视情评价风险，并给出整改建议。

二、数据安全风险要素关系

数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素，要素间关系如图1所示。数据和数据处理活动是数据安全风险评估的评估对象。

三、数据安全风险评估的主要内容

Ø  信息调研：对可能影响数据安全风险的要素的情况调研，包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全防护措施。掌握数据处理者、业务和信息系统基本情况，梳理涉及的数据资产和数据处理活动，了解采取的数据安全防护措施情况，掌握被评估对象或同行业相关数据安全事件历史发生情况。

Ø  风险识别：基于信息调研情况，从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别，识别评估对象现有安全措施完备性并对其有效性进行验证，识别可能存在的风险源。

Ø  风险分析与评价：通过分析风险类型、风险危害程度和可能性，评价风险等级。

1) 数据安全风险分析，包括数据安全风险归类、风险危害程度分析、风险 发生可能性分析。

2)风险归类分析，结合风险源可能引发的风险类型，对风险源进行归类。

3)风险危害程度分析，从数据价值、数据重要性、风险源危害程度等方面，综合评价风险可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度。

4) 风险发生可能性，从风险源发生频率、安全措施有效性和完备性、风险源关联性等方面， 综合评价风险发生的可能性。

5) 风险评价过程，一般根据风险危害程度和风险发生可能性评价数据安全风险，得到数据安 全风险级别，梳理形成数据安全风险清单。

四、六种适用情形

情形一：重要数据处理者、关键信息基础设施运营者、处理 100 万人以上个人信息的个人信息处理者、大型互联网平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护三级及以上运营者，应每年开展一次数据安全风险评估。

情形二：数据处理者在重要数据共享、交易、委托处理或向境外提供前，应开展数据安全风险评估。

情形三：数据处理者开展高风险数据处理活动前，宜开展数据安全风险评估，高风险数据处理活动包括 但不限于：

1) 重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。

2) 承载重要数据处理活动的信息系统发生架构调整、下线等重大变更。

3) 数据处理者利用生物特征进行个人身份认证。

4) 基于不同业务目的的数据汇聚融合。

5) 委托处理、向他人提供未成年人、老年人数据。

6) 新技术应用可能带来数据安全风险的。

7) 法律法规或有关部门规定要评估的情形。

8) 其他可能直接危害国家安全、公共利益或者大量个人、组织合法权益的数据处理活动。

情形四：对于已经评估过数据安全风险评估的数据处理活动，当数据范围、数据处理活动、环境、相关方等发生重大变更时，需重新开展数据安全风险评估。

情形五：重要系统上线前，可根据实际需要开展数据安全风险评估。

情形六：当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生重大变化时，应重新开展风险评估。