随着数字经济的蓬勃发展，数据作为新型生产要素的地位愈发突出，与此同时，数据安全风险也日益严峻。近年来，全球范围内频繁发生的数据泄露、数据破坏、数据滥用等事件不仅对企业和个人造成了严重的损失，还威胁到了国家安全和社会稳定。在此背景下，数据安全风险评估成为了组织防范风险、合规经营的关键手段。

一、数据安全风险评估的重要性1.1、数据安全风险形势日益严峻

数据泄露、数据破坏、数据窃取等安全事件频繁发生，成为当前数据安全领域的重要问题。例如，数据泄露事件持续呈现高发态势，数据破坏特别是勒索软件攻击危害显著，而来自“内鬼”的数据窃取也令组织防不胜防。根据Verizon发布的《2023年度数据泄露调查报告》显示，74%的泄露事件由人为因素引起，五分之一的数据泄露事件来源于组织内部。例如，特斯拉两名员工违规挪用了包括员工个人信息、客户银行信息在内的100GB数据，影响超过75,000人，以及日本通信运营商NTT DOCOMO的承包商员工盗取了596万条商业信息。

1.2、组织风险防范面临监管考验

在全球范围内，各国政府都加大了对网络数据安全风险的监管力度。例如，2023年的《联合国打击网络犯罪公约》要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法范围，而欧盟的《数据治理法案》（2022）则要求在数据共享时遵守安全与可靠性要求。在国内，中国先后颁布了《数据安全法》和《个人信息保护法》，要求数据处理者建立健全全流程数据安全管理制度，采取相应技术措施保障数据安全，重要数据处理者还需定期开展风险评估并向有关部门报告。

1.3、新技术应用暗藏新型风险

新技术如5G、人工智能、云计算、移动互联网、大数据分析等的应用虽然推动了行业发展与创新，但也带来了大量的安全漏洞和风险。以云计算为例，云平台的复杂性和多租户环境存在数据隔离失效的问题，增加了数据泄露的风险。5G技术的应用，特别是在增强现实（AR）、虚拟现实（VR）、高清视频直播等对带宽有极高要求的业务场景下，衍生出海量数据，而这些数据往往涉及个人隐私，传统安全基础设施难以适应5G网络防护的需求。另外，新兴技术如生成式AI的发展也带来了新的挑战，若在学习训练阶段缺乏监管，可能会导致个人信息被违规利用或个人信息主体权益受到侵害。针对这一问题，国家网信办发布了《生成式人工智能服务管理暂行办法》，以推动生成式AI技术的安全、合规应用。

二、数据安全风险评估的现状2.1、风险评估已成业界焦点

数据安全风险评估已经成为业界关注的焦点。随着数字化转型的加速和数据价值的凸显，组织对于数据安全风险的认识逐渐深入。数据安全风险评估不仅能够帮助组织识别和分析潜在的安全威胁，还能够为组织提供风险管理和决策支持。因此，越来越多的组织开始重视并实施数据安全风险评估。

2.2、 评估标准编制进程加快

为了指导组织更有效地开展数据安全风险评估，国家和行业组织正在加快数据安全风险评估标准的编制工作。例如，国家标准《信息安全技术 数据安全风险评估方法》正在征求意见中，该标准将为组织提供一套系统的数据安全风险评估框架和方法。此外，行业特定的数据安全风险评估标准也在陆续出台，以适应不同行业的特定需求。

2.3、评估实施方法逐渐成熟

随着实践的深入，数据安全风险评估的实施方法也在不断成熟。组织已经从最初的探索阶段，逐步发展到能够更加科学、系统地进行风险评估。评估实施方法通常包括以下几个步骤：

评估准备：确定评估目标、范围和计划，组建评估团队。信息调研：收集和分析组织的数据资产、数据处理活动、安全措施等信息。风险识别：识别数据安全风险，包括威胁、脆弱性和风险源。综合分析：对识别的风险进行分析，评估其可能性和影响程度。评估总结：编制风险评估报告，提出风险处置建议。2.4、实践中的挑战

尽管数据安全风险评估的实施方法正在成熟，但在实际操作中仍面临一些挑战：

评估触发条件不明确：组织往往不清楚在什么情况下应该触发数据安全风险评估。评估目标不全面：一些组织可能只关注合规性，而忽视了风险评估的其他价值，如提升数据安全管理能力。评估范围过大：组织在评估时可能难以界定评估的范围，导致评估工作难以聚焦。

三、数据安全风险评估问题与解决思路

尽管大量法律法规、部门规章以及标准提供了丰富的理论指引，组织在数据安全风险评估工作实务中仍然面临重重阻碍。这些阻碍分布在整个评估过程的各个阶段，成因错综复杂。因此，本文通过系统梳理数据安全风险评估的各阶段面临的典型问题深入分析问题成因，充分参考业内优质经验，形成问题解决思路，为相关数据处理者、服务机构纾难解惑。

3.1、评估准备阶段

a. 确定评估触发条件

问题：许多组织在开展数据安全风险评估时，评估触发条件不明确，导致评估工作难以启动。解决思路：组织可以参考国家标准《数据安全风险评估方法（征求意见稿）》中列出的适用情形，明确在何种情况下应开展评估。例如，重要数据处理者、关键信息基础设施运营者等应每年开展一次评估。

b. 制定评估工作目标

问题：组织往往将合规性作为唯一目标，忽视了风险评估的其他价值。解决思路：组织应设定多层次的评估目标，包括落实监管要求、摸底数据现状和提升安全能力。通过明确目标，增强评估的全面性和有效性。

c. 规划评估实施范围

问题：评估范围过大，导致评估工作失焦。解决思路：组织应识别重点评估对象，如核心数据和重要数据处理活动，并将一般数据作为辅助评估对象。通过聚焦关键领域，提高评估的效率和效果。

3.2、评估实施阶段

a. 获取有效评估信息

问题：评估执行人员对业务和数据情况理解不够深入，信息调研不全面。解决思路：完善组织内部协作机制，组建跨部门评估团队，确保业务人员参与评估，提供必要的信息支持。同时，使用标准化的信息调研表，确保信息收集的系统性和全面性。

b. 应用风险评估工具

问题：组织在选择评估工具时缺乏明确的指导，导致工具使用不当。解决思路：组织应根据评估目标和实施环节，选择合适的评估工具。可分为扫描类工具、流量分析类工具和自动化评估类工具，确保工具能够有效支持评估过程。

c. 开展风险评估分析

问题：风险分析过程依赖于评估人员的主观判断，缺乏客观性。解决思路：建立风险分析模型，明确判断尺度和评价维度，提升分析的客观性和准确性。通过风险矩阵等工具，量化风险的发生可能性和影响程度。

3.3、评估总结阶段

a. 充分应用评估结果

问题：评估结果的可信度和说服力不足，导致相关方对结果的质疑。解决思路：发布安全声明，明确评估结论和建议的依据，提升评估结果的透明度和可信度。通过安全声明，组织可以向相关方解释评估结论的原因和预期效果，增强内部共识。

b. 跟踪评估处置措施的效果

问题：评估结果未能有效转化为风险处置措施，影响风险管理的持续性。解决思路：建立跟踪机制，定期评估处置措施的效果，并向管理层汇报。通过持续的监控和反馈，确保风险管理措施的有效性和适应性。

数据安全风险评估的解决思路强调了系统性和全面性，涵盖了评估准备、实施和总结的各个阶段。通过明确评估目标、优化评估范围、完善信息调研、合理应用工具以及有效总结评估结果，组织能够更好地识别和管理数据安全风险，从而提升整体的数据安全治理能力。

四、数据安全风险评估工作建议建立数据安全风险评估机制：组织应建立常态化的数据安全风险评估机制，明确评估的触发条件、实施频次、实施要求和评价标准，并将这些固化到内部管理要求中。构建数据安全风险治理框架：组织应构建一个全面的数据安全风险治理框架，该框架应涵盖风险准则建立、风险要素识别、风险评估分析、风险处置解决和风险治理改进等环节。完善数据安全风险治理体系：组织应将数据安全风险治理融入到组织架构、制度流程、技术工具和人员能力等各个方面，确保数据安全风险治理战略与组织的整体发展和风险管理战略保持一致。

— END —

如需数据安全专题研究报告，请后台留言。

《数据安全风险评估实务》

《2024网络安全十大创新方向报告》

《大模型安全实践白皮书》

《安全产业研究》

《2024网络安全报告》

《中国数字安全产业年度报告》

《2023年AIGC安全研究报告》

《数据安全治理实践指南（3.0）》

《2023年AIGC安全研究报告》 ...........