数据安全风险评估报告.docx

数据安全风险评估报告评估单位：评估系统：时间：一、评估摘要为履行网络安全法、数据安全法、个人信息保护法关于数据安全管理的要求，确保企业数据安全管理工作合法合规，依据网络安全标准实践指南-网络数据安全风险评估实施指引通过访谈、检查、测试等方式，对本系统涉及的数据处理活动开展了安全风险评估工作。评估发现本系统涉及的数据处理活动，处理数据的目的、范围、方式均合法、正当、必要；综合分析数据安全事件发生的可能性等级以及对国家、经济、网络、社会、科技安全影响程度两个方面的因数，研判得出本系统涉及的数据处理活动安全风险等级为：低风险。二、评估概述2.1 评估背景近年来数据泄露事件频发，危害公民权益和生命财产安全，更对国家安全、社会经济和公共秩序造成严重影响。针对数据安全，国家“十四五”规划强调保障国家数据安全加强个人信息保护，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用。在法律法规方面国家已出台网络安全法、数据安全法、个人信息保护法等一系列法律法规。为履行网络安全法、数据安全法、个人信息保护法要求的社会责任，进一步加强数据安全管理工作，提高数据安全保护水平，确保企业数据安全管理工作合法合规，根据监管要求以及网络安全标准实践指南-网络数据安全风险评估实施指引，特组织开展了本次数据安全风险评估工作。2.2 评估目的本次评估旨在通过系统地识别、分析、评估数据安全风险，以发现数据安全隐患、防范数据泄露、滥用、丢失等安全事件的可能性，保护数据的机密性、完整性和可用性，保障数据的安全和稳定。同时，使数据安全管理更加科学化、规范化和有效化，提高企业对数据安全风险的认知和掌控，减少数据安全风险对企业造成的损失和影响。1）通过信息数据资产调查，得出数据资产状况，并建立数据资产库。2）通过数据安全风险评估，得到数据安全整体现状。3）根据数据安全规划，设计数据安全解决方窠，实施方案等，指导下一步安全建设工作。2.3评估方法开展数据安全风险评估时，综合采取下列手段进行评估：a）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；b）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；c）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；d）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。2.4评估团队本次数据安全风险评估团队主要由专业第三方数据安全公司、被测单位数据安全负责人、数据相关系统管理人员等组成。姓名单位/部门职务职责分工2.5评估时间评估准备阶段：向XXX有限公司收集系统相关信息，了解系统基本情况，收集系统相关管理制度资料文档，确认数据资产分布情况、数据处理活动范围、已有安全防护措施。评估实施阶段：评估人员对系统相关人员进行了现场调研，通过人员访谈、系统查看、评测验证等多种方式对系统的数据安全风险保障能力进行了核实验证。评估总结阶段：针对系统数据安全管理及保障措施，提出系统后续发展中管理及技术保障能力改进方向及重点，并与企业相关部门人员召开会议进行确认，对评估结果达成了一致意见。整改复查阶段：根据已检查到的数据安全风险，形成数据风险清单，与企业数据安全责任人核实复查整改情况，依据数据处理者决定的风险处置措施，结合风险识别和评估方法，预判措施有效性和残余风险，形成记录。2. 6评估依据本次为XX单位提供的数据安全风险评估，参考的安全相关标准如下： 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 信息安全技术个人信息安全规范GB/T35273-2020 网络安全等级保护基本要求GB/T22239-2019 网络安全标准实践指南-网络数据安全风险评估实施指引征求意见稿三、准备阶段3.1 数据处理者调研3.1.1 单位基本信息3.1.2 数据处理基本信息3.1.3 股权结构和实际控制人信息3. 2业务与信息系统调研3.2.1网络和信息系统基本情况3. 2.2业务基本信息3. 2.4第三方产品接入情况3.3数据资产调研3.3.1数据资产概况3.3.2数据分类分级情况3.3.3个人信息情况3.3.4重要数据情况3.3.5核心数据情况3.4数据处理活动调研3. 4.1数据收集情况4. 4.2数据存储情况5. 4.3数据传输情况6. 4.4数据使用和加工情况7. 4.5数据提供情况8. 4.6数据公开情况9. 4.7数据删除情况10. 4.8数据出境情况3.5安全防护措施调研四、风险评估4.1.1 安全管理制度4.1.2 安全组织机构4.1.3 分类分级管理4.1.4 人员安全管理4. 1.5合作外包管理1.1.1 1.6安全应急管理4.1.7 开发运维管理4.1.8 云数据安全11. 2数据处理活动风险4.2.1数据收集4.2.2数据存储4.2.3数据传输4.2.4数据使用和加工4.2.5数据提供4.2.6数据公开4.2.7数据删除4.3数据安全技术风险4.3.1网络安全防护4.3.2身份鉴别与访问控制4.3.3监测预警4.3.4数据脱敏4.3.6数据接口安全4.3.7数据备份恢复4.3.8安全审计4.4个人信息保护风险4.4.1个人信息处理基本原则4.4.2个人信息告知4.4.3个人信息同意4.4.4个人信息处理4.4.5敏感个人信息处理4.4.6个人信息主体权利4.4.7个人信息安全义务4.4.8个人信息投诉举报4.4.9个人信息保护五、综合分析数据安全风险分析，主要在数据安全风险识别的基础上，分析数据、数据处理活动、数据安全风险源、数据安全措施之间的关系，并从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源或问题可能带来的数据安全风险，形成初步的数据安全风险清单。5.1风险问题清单5.2风险整改建议评估人员结合实际情况，对发现的数据安全风险提出处置建议，酌情指导数据处理者整改。数据处理者按照组织的风险接受规则，制定相应的数据安全风险处置方案。常见数据安全风险处置措施包括不限于以下选项：根据数据处理者决定的风险处置措施，本次XX系统评估所有风险点均可接受，不存在不可接受风险点。/本次评估，存在不可接受风险点，风险情况如下：六、风险处置核查未发现安全风险。七、评估总结本次评估未发现安全风险，综上数据安全风险评估结果及整改复查情况，相关重要数据处理活动整体数据安全风险为中，数据处理活动安全风险基本可管可控。八、评估结果确认测评单位对本次评估结果与受评单位各相关人员进行了复核，所有评估内容符合实际情况。确认人姓名联系方式单位/部门签名