ICS 35.030 YD CCS M 10 中华人民共和国通信行业标准 YD/T XXXXX—2024 工业领域数据安全风险评估规范 Specification for data security risk assessment in the industrial field （报批稿） ××××-××-××发布 X××X-XX-XX实施 中华人民共和国工业和信息化部发布 YD/T ××××—×××× 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：国家工业信息安全发展研究中心、福建省工业信息产业发展研究中心、哈尔滨 工程大学、深信服科技股份有限公司、福建师范大学、联想（北京）有限公司、烟台中科网络技术研 究所、北京睿航至臻科技有限公司、北京数安行科技有限公司、阳光电源股份有限公司、上海观安信 信科技（成都）有限公司、北京万里红科技有限公司、华为技术有限公司、宝马中国投资有限公司、 长扬科技（北京）股份有限公司、杭州安恒信息技术股份有限公司、北京恒安嘉新安全技术有限公司、 烽台科技（北京）有限公司。 本文件主要起草人：柳彩云、李俊、李耀兵、孙岩、王海洋、王墨、黄鹏、郑丽娜、刘奕彤、刘 泽超、宋博韬、翁颖、曲海阔、许力、刘俊、姜守义、刘玉红、李睿、王颖、谢江、刘为华、张静、 廖双晓、姜国通、邵萌、孙斌、张亚京、王晓翔、尚程、王启蒙、 II 工业领域数据安全风险评估规范 1范围 本文件规定了工业领域数据安全风险评估的基本原则、要素、流程及方法等内容。 本文件适用于工业领域重要数据和核心数据处理者在中华人民共和国境内开展数据 处理活动的数据安全风险评估。工业领域一般数据处理者对其数据处理活动的数据安全风 险评估，也可参照本文件。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日 期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包 括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语 YD/TXXXXX-XXXX工业企业数据安全防护要求 3术语和定义 GB/T250692022、YD/TXXXXX-XXXX界定的以及下列术语和定义适用于本文件， 3.1 数据data 任何以电子或者其他方式对信息的记录。 3.2 工业数据industrialdata 工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运 营等过程中产生和收集的数据。 3.3 风险评估riskassessment 风险识别、风险分析和风险评价的全过程。 [来源：GB/T29246—2017，2.71] 注：本文件专指工业领域数据安全风险评估。 3.4 合规性评估complianceassessment 判定数据处理者对数据处理活动是否符合法律法规、政策文件、标准规范相关要求的行 为。 3.5 数据载体datacarrier 1 YD/T ×××××××× 数据处理活动中使用的系统、平台、设备、媒介等。 3.6 评估报告evaluationreport 根据评估方法的要求，在履行必要的评估程序后，对被评估对象出具的书面工作报告， 是评估机构履行评估任务或数据处理者进行自评估的成果。 4缩略语 下列缩略语适用于本文件。 CVSS：通用漏洞评分系统（CommonVulnerabilityScoringSystem） 5评估内容 估由正当必要性评估、基础性安全评估、数据全生命周期安全评估三部分组成，重点分析数 据处理活动及所对应的数据种类、数量、目的、方式、范围以及保障能力是否符合法律、行 政法规、标准规范要求；安全风险分析由风险源识别、安全影响分析、综合风险研判三部分 组成，通过综合分析数据处理活动面临的威胁、所采用的保障措施情况以及发生数据泄漏 损毁、丢失等安全事件后产生的影响范围、程度等因素，综合研判数据处理活动安全风险等 级。工业领域数据安全风险评估可由数据处理者自行组织，也可委托第三方评估机构开展。 6评估原则 工业领域数据安全风险评估工作遵循以下原则： a）规范性原则：遵循工业领域行业相关要求开展数据安全风险评估工作； b)2 客观公正原则：评估人员在评估活动中应充分收集证据，对评估对象实施的安全措 施的有效性和可靠性做出客观公平的判断； c）可复现原则：在相同的环境下，对同一评估对象，不同的评估人员依照相同的要求， 使用相同的方法，对每个评估实施过程的重复执行都应得到相同的评估结果； L(P 可控性原则：在评估过程中，应保障参与评估的人员、使用的技术和工具、评估过 程都是可控的； e）完备性原则：严格按照被评估对象所涉及的评估范围进行全面的评估； f) 最小影响原则：从相关管理层和工具技术层面，将评估工作对数据和承载数据的应 用、系统、网络正常运行的可能影响降低到最低限度，不会对评估对象涉及的应用、 系统、网络运行产生明显影响： g）保密性原则：在实施评估过程中，应保护数据处理者的商业秘密不被泄露。 7 评估方法 7.1人员访谈 评估人员通过与被评估数据处理者相关人员进行交流、讨论、询问等活动，对数据的处 理、保障措施设计和实施情况进行了解、分析和取证，以评估数据安全保障措施有效性。通 常在评估过程中深入数据处理者实地核查时使用，数据处理者需要安排熟悉数据流转过程及 数据载体的人员参加访谈。 2 7.2资料查验 评估人员查阅数据安全相关文件资料，如数据安全管理制度、安全策略和机制、合同协 议、安全配置和设计文档、系统运行记录等相关文件，用以评估数据安全管理相关制度文件 是否符合标准要求。通常在评估准备阶段以及开展数据安全现场评估时使用该方法，数据处 理者需要事先完整准备上述文档以供评估人员查阅。 7.3人工核验 数据处理者安排相关人员进行现场演示，评估人员根据信息系统等载体演示情况进行查 验，以评估数据安全保障措施有效性。通常在评估过程中深入数据处理者实地核查时使用， 如系统存在高度保密性、可用性的要求，评估可通过事后提供日志列表或测试环境等方式进 行。 7.4工具测试 评估人员通过使用适当的数据安全评估评测工具或通过技术手段实际测试数据载体，查 看、分析被测试响应输出结果，以评估数据安全保障措施有效性。通常是评估人员针对数据 全生命周期涉及的相关技术指标进行验证时使用，评估人员需要事先进行业务注册、准备验 证工具等以完成相关评估指标。工具测试前充分评估检测过程对数据载体等造成的影响，对 于业务不可中断的系统、应用等，可考虑采用模拟系统验证、离线环境验证等方式。 8 评估流程 8.1总体流程 工业领域数据安全风险评估的实施过程一般包括组建评估团队、确定评估范围、制定评 估方案、实施风险评估、形成评估报告等内容，具体流程如图1所示。 3 YD/T××××- XXXX 组建评估团队 确定评估范围 制定评估方案 数据处理活动分析 正当必要性评估 基础性安全评估 合规 安全管理制度 组织机构 人员保障） （数据分类分级 权限管理 性 系统与设备安全管理 （安全评估 日志留存和审计 评 估 供应链数据安全管理 （监控预警、信息共享与应急处置 数据全生命周期安全评估 数据收集 （数据存储） （数据使用加工 （数据传输） 数据提供） 数据公开 数据销段 数据委托处理 数据转移 数据出境 跨主体处理数据 1安 文全风险 风险源识别 数据安全事件可能性级别 王 安全影响分析 安全影响级别 综合风险研判 安全风险等级 + 评估结论 整改复核 形成评估报告 图1工业领域数据安全风险评估流程 8.2组建评估团队 风险评估工作开展前，应综合考虑组织规模、业务种类、数据数量、种类、涉及数据载 体的复杂程度等因素，组建至少包括组织管理、业务运营、技术保障、安全合规等人员组成 的评估团队，必要时可聘请相关专业的技术专家和技术负责人组成专家小组。评估团队原则 4 上应具备不少于5名专业评估人员，包括1名评估团队组长、4名评估团队成员，其中至少4 人应熟悉数据安全风险评估的方法和流程，掌握依据数据安全风险评估相关标准规范开展风 险评估的能力，并取得工业和信息化领域数据安全风险评估相关技能评价证书。评估团队组 长负责统筹安排评估工作并推进评估工作开展，组织完成评估结论、编写评估报告等。 委托第三方评估机构开展评估工作时，数据处理者应与被委托机构共同组建评估团队， 确定评估团队组长和团队成员。同时，数据处理者还应指定本单位至少1名数据安全专业人 员为评估工作对接人，负责协调本单位相应资源、对第三方评估机构相应工作进行管理和监 督。此外，在评估工作开展前，数据处理者还应及时与被委托机构沟通，签订书面评估委托 协议或评估合同，规范开展评估工作，保障数据处理者的安全生产运行和数据安全。 8.3确定评估范围 评估团队应首先制定《数据安全风险评估调研表》并提供给数据处理者，通过发放调查 表格、电话沟通等远程指导方式，或现场调研、会议等线下方式指导数据处理者完整、准确 填写，实现对数据处理者全部数据处理活动的充分调研，了解掌握数据种类、范围、处理方 式以及相关数据载体的基本情况，进而确定评估范围。数据安全风险评估范围应覆盖数据处 理者全部重要数据和核心数据，以及一定比例的一般数据。一般数据以抽样方式选取，应尽 量保证评估数据范围覆盖全部数据类别（二级子类）（可参考附录A），且数据载体避免重 复。调研了解的信息内容包括： a）