企业数据安全风险评估分析

一、数据安全风险评估内容

（一）对数据资产、应用场景、威胁、脆弱性、安全措施进行识别。（二）根据威胁与脆弱性利用管理，判断安全事件发生的可能性。（三）根据脆弱性影响验证程度及数据重要程度计算安全事件影响严重程度。（四）根据安全事件发生的可能性以及安全事件影响严重程度，计算风险值。（五）根据风险评价矩阵或准则判定风险是否可以接受。

二、数据安全风险评估方法

（一）问卷调查。通过编制并组织填写问卷形式，对企业数据安全保护状况等情况进行统计和调查，获取企业情况及评估任务等有关基本信息。

（二）文档查验。由企业提供与数据安全相关文档材料，评估小组查验相关文档材料是否已涵盖完整数据生命周期要求和控制项。（三）调研访谈。通过与企业相关人员进行交流、讨论的方式了解有关信息。（四）配置核查。根据企业提供技术材料，检查相关信息系统工具平台配置是否与材料保持一致，对文档审核内容进行核实。（五）技术检测。利用技术工具对信息系统、应用软件等进行实操测试，验证是否符合相关评估内容所述技术能力、功能等要求。（六）旁站验证。对数据采集界面、数据展示界面、数据存储界面、数据操作日志记录、数据处理流程、防护机制等进行查验，评估数据安全保障措施是否有效，并观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

三、数据安全风险评估流程

（一）评估工作准备。确定评估目标，对被评估企业的数据安全相关工作进行充分调研，了解数据治理情况、管理现状、关键业务场景等内容；明确评估范围是企业全部业务及业务相关信息系统或者某些独立的业务及系统；根据评估目标组建由技术检测人员、服务实施人员、服务监控人员项目经理组成的评估团队；最后，通过法律法规、有关部门规则、规范性文件以及企业数据安全相关要求确定评估依据。

（二）识别数据资产。基于评估范围对企业进行调查，识别业务逻辑、业务功能、业务流程步骤等内容；识别各业务功能相关信息系统；调查信息系统收集、存储、使用的业务数据类别，并对数据资产的类别、主管部门、承载介质、级别、等级、主要业务用途等属性进行确定[1]，产出数据资产清单。

（三）数据应用场景识别。通过业务调研、访谈等方式对识别的数据资产对象在相关应用场景的业务流程或使用流程、数据活动、相关参与主体等内容进行详细描述，产出数据应用场景识别目录。

（四）数据威胁识别。参考 GB/T 20984-2022 信息安全风险评估方法，分析并判断各业务环节可能面临的威胁。识别出具体的威胁后，分析威胁的来源、动机、能力和频率，产出数据威胁分析报告。

（五）数据脆弱性识别。通过基线配置核查、渗透测试、漏扫等技术识别数据载体的脆弱性 [2]，通过访谈表对相关人员进行问询识别数据安全技术能力与数据安全管理制度是否达到要求，并汇总三方面的识别结果，产出数据脆弱性分析表。

（六）数据安全风险分析。根据所有数据安全风险要素及其属性，通过风险计算过程得到风险值 [3]，并同时描述风险计算结果，产出风险评估报告。

企业可根据数据安全风险评估结果，结合被影响的数据资产重要程度 ， 针对每一条数据安全风险，选择适当的安全控制措施，对风险进行有效控制。

参考文献：

[1] 范兴科 . 数字社会视域下政府数据安全治理的三重逻辑 [J]. 社会工作与管理 ，2025，25（04）：79-88

[2] 黄勇 ， 矫子龙 ， 杨岁立 ， 艾龙 . 海关数据安全风险评估方法研究 [J]. 网络安全技术与应用 ，2023（03）：96-99

[3] 李安伦 ， 刘龙庚 ， 马士民．面向政务数据的安全风险评估方法研究 [J]. 网络安全和信息化 ，2022：9-1

作者简介：何昌杰，1995 年 11 月，汉/ 信息安全工程师， 研究方向：网络安全