国家标准计划《信息安全技术 数据安全风险评估方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国电子技术标准化研究院 、国家信息技术安全研究中心 、国家计算机网络应急技术处理协调中心 、中国信息安全测评中心 、国家信息中心 、中国网络安全审查技术与认证中心 、中国科学技术大学 、北京市政务信息安全保障中心 、中国电子信息产业集团有限公司第六研究所 、中国网络空间研究院 、中国科学院信息工程研究所 、阿里巴巴（北京）软件服务有限公司 、深信服科技股份有限公司 、北京快手科技有限公司 、中国科学院软件研究所 、江苏省信息安全测评中心 、华为技术有限公司 、北京百度网讯科技有限公司 、深圳市腾讯计算机系统有限公司 。

随着我国数字经济的蓬勃发展，数据已被确定为新型生产要素和基础性战略资源，其安全已成为直接关系到国家安全、经济发展、社会治理和公民权益的重要问题。

我国高度重视数据安全工作，先后出台中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例（征求意见稿）》等重要法律法规。

我国数据安全风险和违法违规问题依然严峻，国家数据安全、企业商业秘密和公民个人信息安全防护需求迫切。

然而，当前我国数据安全评估仍存在缺乏统筹、尺度不一现象等问题，主管部门开展数据安全工作时仍缺少有力抓手。

开展数据安全风险评估工作，对于保障国家数据安全、维护公民合法权益、促进数据共享开放具有重要意义。

落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例（征求意见稿）》关于数据安全评估相关要求，指导数据处理者对数据资产和数据处理活动进行数据安全风险评估，掌握数据安全总体状况，发现存在的数据安全风险和薄弱环节，进一步健全数据安全管理制度和技术措施，提高数据安全治理能力奠定基础，研究制定本标准。

本标准聚焦数据、数据处理活动的保密性、完整性、可用性和合理性，提出了数据安全风险评估的目标、范围、适用场景、实施流程、内容、分析原理，明确了数据安全风险评价方法和风险处置方法。主要内容包括： （1）落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例（征求意见稿）》关于数据安全评估相关要求，梳理数据安全风险点、评估场景、评估边界，明确数据安全风险评估的目标、范围、适用场景。 （2）研究提出数据安全风险评估的实施流程、内容、风险分析原理，给出数据安全风险评价方法和风险处置方法，指导数据处理者开展数据安全风险评估工作。 （3）给出数据安全风险评估配套材料，包括评估报告模板等。