数据安全风险评估

1 数据安全风险评估

1.1 概述

  （一）满足法律法规合规要求

随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规落地，数据安全风险评估已成为法定责任，即《中华人民共和国数据安全法》第二十一条、第三十条明确规定各地区、各部门应当按照数据分类分级保护制度制定“重要数据保护目录”、重要数据处理者需定期开展数据安全风险评估。“三法一条例”形成了从法律到行政法规再到部门规章的完整法规体系，实现了数据安全治理从原则性要求到可操作性规范的全覆盖，为企业合规提供了明确的法律依据和操作指引。

  （二）识别数据安全隐患

通过系统化的评估方法，全面识别数据安全管理、技术防护、数据处理活动、个人信息保护中的风险点和薄弱环节，做到“早发现、早预警、早处置”。

  （三）提升数据价值

通过建立完善的数据安全保护体系，增强数据的可信度和可用性，为数据共享、数据交易、数据出境等数据价值释放场景提供安全保障。

1.2 数据安全风险评估流程

1.3 强制开展年度数据安全风险评估的情形

   （一）重要数据处理者

《数据安全法》第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

（二）网络数据处理者处理1000万人以上个人信息

《网络数据安全管理条例》第二十八条　网络数据处理者处理1000万人以上个人信息的，应定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置网络数据安全风险和事件。

（三）数据出境

向境外提供数据的组织，需要按照国家相关法规、国家标准要求进行数据出境安全评估。

1.4 评估内容框架

2 数据分类分级

2.1 数据分类分级概述

  （一）满足法律法规要求

数据分类分级是落实《数据安全法》《个人信息保护法》等法律要求，明确重要数据、个人信息保护义务，是数据处理者合规运营、避免处罚的法定基础。

  （二）识别重要数据

数据分类分级有效识别数据价值，对数据按重要程度划分等级，可快速定位高风险数据与薄弱环节，为风险评估、威胁分析、脆弱性识别提供依据，并建立《重要数据保护目录》

  （三）有效规范数据生命周期管理

能够明确数据在采集、存储、传输、使用、共享、销毁等环节的不同重要程度数据的管控要求，防止越权使用、违规流转与泄露。

2.2 数据分类分级流程图