文章总结： 本文分享了数据安全风险评估实战经验，源于《数据安全法》等合规要求。文章依据GB/T45577—2025标准梳理了从方案制定到报告编制的实施细节，强调获取专业模板对落地至关重要。作者还探讨了渗透测试的必要性及与等保测评结果互认的合规策略，为从业者提供了实用指引。 综合评分： 80 文章分类： 数据安全,实战经验,安全建设,政策法规

数据安全风险评估实施经验（第一番）

原创

catfishfighting catfishfighting

透明魔方

2026年3月23日 13:00 上海

去年赶鸭子上架给客户做了一次基于某重要信息系统的数据安全风险评估（内部评估），对于这个工作有了一定的实践经验。

今年接到指示，还是那个系统，继续做。

我简单思索了一下，对于我这种容易内耗的人类，我以后还是尽量靠技术吃饭吧，这次就不只是交差了，多花点时间深入的探索一下相关的专业知识。

这篇文章，我就走马观花的从，为什么要做这个的背景、大概的流程细节、注意事项简单说一下，后续我再结合一些实践经验总结一些小的心得体会，也欢迎大家留言或进群讨论。

一、数据安全风险评估工作背景

数据安全风险评估的工作背景就是法律合规的强制性要求，按照我少许经验，目前需要我做这个工作的甲方全是事业单位。但也不能排除有的组织预算充足，安全意识很高，自己从安全的角度主动要做（如果有这样的单位，可以留言讨论啊）

法律合规方面，首先就是看《数据安全法》，其第三十条 “重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”。

注意: 这里只是强调的重要数据，《网络安全法》和《数据安全法》都未给予明确定义和范围《数据安全管理办法（征求意见稿）》的第三十九条规定给出了更为详细的定义，“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。

随后出台的《网络数据安全管理条例》进一步细化了该义务，构建了以“重要数据”为核心的全链条监管体系。

《网络数据安全管理条例》，第二十八条“网络数据处理者处理1000万人以上个人信息的，还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者（以下简称重要数据的处理者）作出的规定。”

第三十条　重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任：　　（一）制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案；　　（二）定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置网络数据安全风险和事件；　　（三）受理并处理网络数据安全投诉、举报。　　网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历，由网络数据处理者管理层成员担任，有权直接向有关主管部门报告网络数据安全情况。　　掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者，应当对网络数据安全负责人和关键岗位的人员进行安全背景审查，加强相关人员培训。审查时，可以申请公安机关、国家安全机关协助。
第三十一条　重要数据的处理者提供、委托处理、共同处理重要数据前，应当进行风险评估，但是属于履行法定职责或者法定义务的除外。　　风险评估应当重点评估下列内容：　　（一）提供、委托处理、共同处理网络数据，以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要；　　（二）提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险，以及对国家安全、公共利益或者个人、组织合法权益带来的风险；　　（三）网络数据接收方的诚信、守法等情况；　　（四）与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务；　　（五）采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险；　　（六）有关主管部门规定的其他评估内容。

当然，上面并没有定下具体的范围，也就是哪些单位或系统应该开展数据安全风险评估，但是《GB/T 45577—2025 数据安全技术 数据安全风险评估方法》中还是有明确的适用情形。

听起来好像不是重要数据处理者、核心数据处理者或处理1000万人以上个人信息的数据处理者，就不用做了？

别忙，也许还有你没注意到的行业相关要求以及上级部门的要求。反正我已经做了好几个非重要数据的数据安全风险评估。

二、数据安全风险评估工作流程

流程什么的，可以参考这个《GB/T 45577—2025 数据安全技术 数据安全风险评估方法》，里面有清楚的流程，但是，我要说但是，这个也只是流程。如果你不清楚流程里面具体的工作细节，或者没有相应的工具（模板），你将感觉非常难下手。

三、数据安全风险评估实施细节

前面也简单表示了一下流程，接下来就要说实施细节了（当然模板是不能贴的，毕竟属于别人的资产），我从方案计划制作——检查表单制作——检查方式——报告编制——整改沟通等逐步以个人浅见说明一下。

3.1 方案计划的制作

方案在《GB/T 45577—2025 数据安全技术 数据安全风险评估方法》中也是有的，如果我们实在没有找到轮子，那可以按照这种提纲自己对照着配合AI的支持编制一份方案。

3.2 信息调研检查表单的制作

检查表单分为信息调研（数据处理者调研、业务和信息系统调研、数据资产调研、数据处理活动调研、安全防护措施调研）这些表单具体的字段项还是可以参考标准《GB/T 45577—2025》。

不过，这些字段和后续要做的风险识别有什么直接的关系，刚接触的人可能一时半会儿也看不出来，需要在实践中不断积累专业知识和经验，提高自己的分析能力。

3.3 风险识别检查表单的制作

此处略，总之也是模板。

3.4 编制总结报告

最后，我说一下我的经验。

去年的时候，我被安排到了一个项目里做任务，然后这个没人做的数据安全风险评估就变成了我的活儿了。为了了解怎么做，我把前人写的数据安全风险评估方案看了一遍，感觉非常懵（确实指导不了实践），我一边内耗（心里想这个工作无头绪，做不了会怎样），一边学习（自己看标准，看书），无奈项目时间太短，我后来请教了另外一个项目上的伙伴才搞定（他给了我全套模板和交付报告），我发现按照那个模板和交付报告的逻辑很好做，无非就是填表分析。

嗯，所以，只要有了实施标准和模板，做起来还是非常顺畅。当然有一点不顺畅的就是，我的专业知识稍显不足，配合我的运维对甲方的业务场景了解不全，所以有些地方不是很确定。

但就这样，还是囫囵吞枣地完成了报告。

当然，我会迭代更新，这次做就更有经验，一些不专业的地方也会尽量更专业一点。

问题1、数据安全风险评估要不要做渗透测试？

我认为，可以有可以没有。因为我见很多单位是没做技术工具探测的。但是标准中提了有这样的手段，主要是查安全防护的有效性的。

问题2、数据安全风险评估需要参考等保报告吗？

《网络数据安全管理条例》第五十二条，重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。

不过，需要采信哪些字段，我还没研究，准备后面研究研究。

THE END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：透明魔方 catfishfighting catfishfighting《数据安全风险评估实施经验（第一番）》