2024企业数据安全风险管理指南.pdf

企业数据安全风险管理指南目录1数据安全政策和背景.91.1 数字经济发展现状.91.2 数据安全政策现状.1 32数据安全风险管理概述.2 62.1 数据生命周期处理活动概述.2 62.2 数据安全风险概述.2 82.3 数据安全风险影响分析.3 02.4 数据安全风险管理的必要性.3 33数据安全风险管理.3 43.1 数据安全风险管理框架.3 43.2 数据安全风险管理规划.3 63.3 数据处理活动管理.3 93.4 数据安全风险评估.4 43.5 数据安全风险处置.5 03.6 数据安全风险监督改进.5 13.7 数据安全风险沟通与评审.5 74企业数据安全风险管理典型实践.6 04.1 企业数字化建设背景.6 04.2 企业数据安全风险管理实践.6 2附录A：数据安全风险赋值表.6 7A.1数据重要程度赋值表.6 7A.2 脆弱性可利用性赋值表.6 7A.3 威胁动机赋值表.6 7A.4 威胁能力赋值表.6 8A.5 威胁发生频率赋值表.6 8附录B：数据安全风险管理工具模板.6 9B.1 数据清单.6 9B.2 数据处理活动场景清单.6 9B.3 已有安全措施清单.70B.4 脆弱性清单.70B.5 应用场景脆弱性严重程度.70B.6 数据脆弱性严重程度.70B.7 数据脆弱性可造成的损失.70B.8 数据安全威胁清单.71B.9 风险清单.71B.1 0 数据风险值计算结果清单.71B.1 I 风险处置建议清单.71附录C：数据安全风险分析资料清单.71C.1常见脆弱性示例.71C.2 数据安全威胁与脆弱性的利用关系示例.8 17C.3 数据安全风险等级划分参考表.94C.4 数据安全风险评估报告参考模板.9581 数据安全政策和背景1.1 数字经济发展现状1.1.1 数字经济的概念界定和分类范围进入数字经济时代，世界各国对数据的依赖快速上升，数据已成为国家基础性战略资源，对社会生活方式、经济运行机制、国家治理能力等产生重要影响。

数字经济，是指以数据资源作为关键生产要素、以现代信息区络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动十三五”期间，我国数字经济增长主要体现在网上购物、移动支付、教育、短视频等领域十四五”规划纲要中明确指出，进一步发展云计算、大数据、物联网、工业互联网、区块链、人工智能、V R 与 AR、数字社会建设等七大数字经济重点产业，意味着数字经济正在成为国家的重点发展对象根据国家统计局发布的 数字经济及其核心产业统计分类(2 0 2 1)，数字经济产业范围被确定为：1 数字产品制造业、2 数字产品服务业、3 数字技术应用业、4 数字要素驱动业、5 数字化效率提升业等5 个大类数字经济核心产业是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案，以及完全依赖于数字技术、数据要素的各类经济活动分 类 中 1 Y 大类为数字经济核心产业：主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等，是数字经济发展的基础；第 5 大类为产业数字化部分，指应用数字技术和数据资源为传统产业带来的产出增加和效率提升,是数字技术与实体经济的融合。

如 图 1 所示：9产jir n tn美（202i）图1数字经济及其核心产业统计分类图L1.2我国主要区域相关政策和发展目标目前，我国各省市已陆续出台数字经济相关规划、行动计划、指导意见等，涵盖数字经济、制造业与互联网融合、智慧城市、数字政府等领域，持续推匆数字经济战略政策落地实施2021年我国各省市共出台216个数字经济相关政策，其中，3 2个顶层设计政策、6个数据价值化政策、3 5个数字产业化政策、5 4个产业数字化政策、8 9个数字化治理政策我国数字经济发展具有区域聚集特征，京津冀、长三角、珠三角、川渝等区域成为我国数字经济发展的核心区域，这些区域的数字经济发展目标在相关政策文件中基本明确,如 表1所示：10表 1 各区域数字经济发展 目标表省(市)所属区域政策文件发展目标北京京津冀 北京市促进数字经济创新发展行动纲要(2 0 2 0-2 0 2 2年)打造成为全国数字经济发展的先导区和示范区；到 2 0 2 2 年，数字经济增加值占地区GDP比重达到5 5%天津 天津市促进数字经济发展行动方案(2 0 1 9-2 0 2 3 年)到 2 0 2 3 年，数字经济占GDP比重全国领先，力争把滨海新区打造成为国家数字经济示范区。

河北 河北省数字经济发展规划(2 0 2 0-2 0 2 5 年)到 2 0 2 2 年，基本形成以大数据产业、制造业数字化、服务业数字化、电子信息产业为支撑的数字经济发展格局；到 2 0 2 5 年，全省电子信息产业主营业务收入突破5 0 0 0亿元上海长三角 关于全面推进上海城市数字化转型的意见到 2 0 2 5 年，上海全面推进城市数字化转型取得显著成效，国际数字之都建设形成基本框架；到 2 0 3 5年，成为具有世界影响力的国际数字之都浙江 浙江省国家数字经济创新发展试验区建设工作方案到 2 0 2 2 年，浙江数字经济增加值要达到4万亿元以上，占全省国民经济生产总值比重超过5 5%,基本建成全国领先的数字政府先行区、数字经济体制机制创新先导区、数字社会发展样板区、数字产业化发展引领区和产业数字化转型标杆区11江苏 关于深入推进数字经济发展的意见以建设数字经济强省为总目标，全力打造具有世界影响力的数字技术创新、国际竞争力的数字产业发展、未来引领力的数字社会建设和全球吸引力的数字开放合作“4”大高地广东珠三角 广东省培育数字经济产业集群行动计划（2019-2025年）建成“国家数字经济发展先导区”，力 争 2022年数字经济规模达7 万亿元，占 GDP比重 接 近 55%。

深圳 深圳市数字经济产业创新发展实施方案（征求意见稿）到 2022年，全市数字经济产业增加值突破2400亿元年均增速15%左右；努力建成全国领先、全球一流的数字经济产业创新发展引领城市佛山 佛山市推动数字经济发展实施方案2035年全市数字经济总体规模达2万亿元，努力将佛山打造成全国数字经济发展标杆城市之一重庆川渝 重庆建设国家数字经济创新发展试验区工作方案力争到2022年，数字经济总量达到万亿级规模，占 G D P比重达到40%以上四川 国家数字经济创新发展试验 区（四川）建设工作方案力争到2022年，全省数字经济规模超过2 万亿元，占 GD P比重达到 40%o成都 成都市推进数字经济发展实施方案到 2022年，基本形成较为完善的数字经济生态体系，数字经济重点领域产业规模超过3000亿元1.1.3数字经济时代的数据安全治理12数据已经成为数字经济时代发展的核心生产要素，数据的安全保护和合法共享也被视为数字经济发展的重大挑战从产业发展规律来看，数据安全作为新兴产业，仍面临制度体系、技术和管理体系、产品体系、标准体系、人才体系、评价体系、生态体系等不完备的问题，对产业及企业发展形成诸多制约。

现阶段，国家、行业主管部门的法律法规不断出台，产业、行业的标准规范也在加紧编制、发布，以数据安全合规和数据安全治理为主题发布的白皮书层出不穷，为各行业落实数据安全法律法规要求和初步试行数据安全治理提供了有效的参考和依据但是，由于数据确权、敏感数据识别、数据流转保护等法律、技术难题的客观存在，从具体行业应用场景来讲，有效、可靠、方便、可负担的解决方案还是不够本白皮书以企业数据处理者视角切入，从企业的合规遵循需求、业务发展需求、风险防控需求出发，尝试给出数据生命周期的风险管理方法和运营方案，以保障企业数字化转型的顺利开展，促进数字经济的进一步发展1.2数据安全政策现状国家竞争焦点正从土地、人口、资本、资源的争夺转向对数据的争夺未来国家层面的竞争力将部分体现为一国拥有数据的规模、开发利用以及掌控的能力，“数据主权”将成为继边防、海防、空防之后另一个大国博弈的空间发达国家和领先的发展中国家都在快速布局和完善数据安全政策和法规，以避免在数字经济发展中落后、受困1.2.1 国内数据安全政策现状和趋势L2.1.1法律法规近年来，我 国 网络安全法 数据安全法 个人信息保护法等数据安全相关法律法规的相继颁布，为数据安全建设提供了制度支撑和法律保障。

2015年7月1日，我国公布并施行了 国家安全法，并提出“维护国家网络空间主权、安全和发展利益”，为 后 续 数据安全法等针对性法律的出台，奠定了基础132017年6月1日，网络安全法施行，提 出“采取技术措施和其他必要措施，维护网络数据的完整性、保密性和可用性”2020年1月1 口，密码法施行，为规范密码应用和管理 促进密码事业发展、保障网络与信息安全，提供有效法律支撑2021年，民法典 数据安全法 个人信息保护法相继施行，标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道，重要数据及个人信息保护成为时代需求从“五法一典”的发布进程来看，我国数据安全政策体系经历了从草创到完善的过程,数据安全领域的基础法规架构已初步构建完成，数据安全产业从此进入新的发展快车道，迎来发展的黄金期1.2.1.2 地方政策从地方维度看，广东省在数据安全立法方面，出台相关政策最多，高 达7项；浙江省紧随其后，出台相关政策5项；其次是贵州省、山东省、江苏省、山西省等地区此外，北京、上海、天津等数据要素市场化进程较深入的直辖市，均有出台相关政策而地方性政策的发布时间，主要集中在2019年、2020年 和2021年。

近几年作为我国工业经济向数字经济迈进的关键时期，地方致力于促进数据依法有序自由流动，保障数据安全，加快数据要素市场培育，推动数字经济更好融入新发展格局,并 以“数据”为中心，积极出台针对性政策条例目前比较有代表性的地方性数据安全政策有 深圳经济特区数据条例和 上海市数据条例等，这些地方性安全政策的不断出台，将为地方推动数字经济更好服务和融入新发展格局，奠定基础中国各省份、直辖市，乃至主要城市，在未来几年内，将会陆续出台更多地方性数据安全相关政策，以保障地方在数据要素市场化以及数字化转型过程中数据的安全1.2.1.3 行业政策从行业维度看，适用全行业的数据安全政策数量较多，为整体上落实数据安全措施提供多场景规范性指导作用14此外，从行业属性出发，政府领域因其行业特性，数据价值度高、敏感性强，针对数据安全的相关要求更高，成为出台数据安全政策数量最多的领域：互联网因为涉及大量用户个人信息，对数据安全也有较高要求，其次是金融、工业、医疗、教育、交通、电信等行业，其相关政策数量分别为7 4项、3 6项、2 5项、17项、15项、9项、8项、7项、6项数据安全政策分布图2数据安全行业政策分布从政策数量分布来看，数据安全政策的覆盖范围并不仅仅是政府、互联网等行业,而是全行业、全场景、全方位的。

但由于数据安全治理和企业的业务运营高度相关，数据流转应用的场景和问题又纷繁复杂，如何更好地既符合法规、政策要求，又满足企业业务发展，仍需要进一步细化的业务场景化的示范指南、标准规范来进一步支撑L2.L4发展趋势中央关于“十四五”规划和二三五年远景目标建议明确提出建设网络强国、数字中国，发展数字经济，建立数据安全保护基础制度和标准规范，保障国家数据安全一是数据安全产业政策环境进一步完善十四五”大数据产业发展规划对推动数据安全产业发展做出明确部署数据安全法出台后，网络数据安全管理条例（征求意见稿）工业和信息化领域数据安全管理办法（试行）等数据安全相关行政法规、部门规章也陆续公开征求意见，催生数据安全产品和服务市场需求不断攀升，15助推数据安全产业繁荣发展二是数据安全标准体系进一步健全安全发展，标准先行，标准化工作是保障数据安全的重要基础2020年，工业和信息化部印发 电信和互联网行业数据安全标准体系建设指南后，满足行业监管需要、符合行业发展需求的数据安全标准体系逐步健全完善。