二、数据安全风险评估标准

一、企业面临数据安全的痛点
1、企业缺少清晰的数据安全意识
2、企业缺少科学的数据安全实施路径
3、企业缺乏专业的数据安全人才
二、数据安全风险评估标准
1、法律法规
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《网络安全数据保护条例》（征求意见稿）
2、技术安全标准
《信息安全技术数据安全能力成熟度模型》
《信息安全技术个人信息安全规范》
《信息安全技术个人信息安全影响评估指南》
《信息安全技术信息安全风险评估规范》
《App用户权益保护测评规范》
《App收集使用个人信息最小必要评估规范》
三、数据安全风险评估流程
1、确定评估目标和范围：明确评估的目的和范围，确定需要评估的数据资产、数据应用场景、面临的威胁和脆弱性等内容。
2、组建风险评估团队：成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组，负责数据安全风险评估的实施和管理。
3、制定风险评估计划：制定详细的风险评估计划，包括评估的时间、范围、参与人员、工作流程等内容，以确保风险评估工作的有序进行。
4、收集和准备相关信息：收集和准备与数据安全相关的法律法规、政策文件、标准规范等信息，以及业务系统的需求和漏洞信息评估工具等。
1、数据安全风险评估实施：按照制定的风险评估计划和方法，对关键业务系统进行风险评估和测试，识别和分析数据安全风险，确定风险优先级，制定相应的风险防范措施和策略，并监测和改进风险防范措施和策略的有效性。
2、数据资产的风险评估：对企业机构所属行业标准规范指南中确定的敏感数据资产，进行风险评估和分析，确定数据资产的安全风险等级，并提出相应的安全管理措施和要求。
3、数据应用场景的风险评估：对于数据应用场景的安全风险评估，需要考虑数据流转的整个过程，包括数据的输入、处理、存储、输出等环节，分析数据流转过程中的关键节点要素，识别数据安全风险。
4、面临威胁和脆弱性的风险评估：分析企业机构所面临的网络威胁和脆弱性，评估数据安全风险对于这些威胁和脆弱性的影响，并提出相应的安全管理措施和要求。
5、制定安全管理措施和策略：根据风险评估结果和威胁情况，制定相应的安全管理措施和策略，包括加强网络安全监控、数据备份和恢复、访问控制等方面的措施。
1、分析数据安全风险评估的结果：对风险评估的结果进行分析和总结，确定数据安全面临的主要威胁和脆弱性，以及需要采取的相应措施。
2、确定安全管理措施和策略：根据数据安全风险评估的结果和威胁情况，制定相应的安全管理措施和策略，包括加强网络安全监控、数据备份和恢复、访问控制等方面的措施。
3、确定数据安全风险等级：根据数据安全风险评估的结果和安全管理措施和策略的实施情况，确定数据安全风险等级，并对数据安全风险进行监测和管理。
4、编写最终评估报告：撰写数据安全风险评估报告，提供风险评估的结果和建议，并将报告提交给管理层和相关人员，以供决策和参考。
四、基础版-重识别风险（残余风险评估）
1 基本功能
1.1 应用场景
个人隐私数据的共享/发布的隐私风险评估检测，应对个人信息保护相关法规和标准。
①.待发布个人数据的隐私风险检测与评估
对于一个多维度的数据集，评估准标识符属性各种组合的隐私风险分数，感知高危/低危识别路径和极高危方向的识别路径，风险分布，为脱敏/匿名化处理的策略选择做指导。