企业要发展，必然要顺应市场需求不断地对业务进行升级、迭代和拓展。业务的变更，也将导致数据采集、传输、存储、使用、共享、销毁等相关流程细节发生改变，原有的安全措施需要进行调整以适应新的变化。

适用于：

1、重要数据处理者、核心数据处理者应当每年至少一次开展数据安全评估；

2、业务运营阶段，在数据承载环境发生较大变化时开展评估：如数据采集渠道变更、数据存储系统升级改造、数据处理技术变更等； 

3、企业应在开展数据重要操作（如开放数据对外接口、数据共享、数据转移、数据加工、数据出境等）前对涉及到的数据相关管理措施、技术措施开展评估； 

4、行业主管部门要求企业进行数据安全评估的； 

5、满足国家法律法规其他有关情形时，应开展数据安全评估。

一、评估准备

数据安全风险评估开始前，进行必要的业务调研结合法律法规、行业监管、合规等多方面的要求，结合行业最佳实践以及国家标准规范等，制定适用于组织的风险评估标准，确定评估范围，组建评估团队，明确项目计划和交付要求等，形成风险评估方案。

二、数据和数据处理活动识别

识别数据处理者的基本情况，厘清其与业务和信息系统的关系，处理的数据和开展的数据处理活动情况，采取的数据安全防护措施。形成数据处理者基本情况（业务清单、信息系统清单）、数据资产分类分级清单、数据处理活动清单、安全措施情况等，具备条件的，可绘制数据流图。

三、风险识别

针对数据安全风险源和不合理处理数据风险源，通过对数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行风险识别，发现可能存在的数据安全问题和风险隐患。

应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。通过开展技术测试充分发现数据处理系统的安全隐患，开展安全加固，从而降低安全风险，减少数据安全事件的发生。技术测试涉及网络设备、安全设备、主机设备、业务应用、操作系统、数据库等。

四、风险分析与评价

在风险识别基础上，梳理得出数据安全风险清单，分析可能存在的数据安全风险，进行风险分析和评价。梳理风险清单、对风险进行归类，结合实际需要，视情开展风险发生后的影响分析、风险发生可能性分析、风险评价。结合数据资产和数据处理活动清单，针对每个评估对象的各个评估项评估情况，梳理存在的风险隐患，并形成数据安全整改建议。

五、总结规划

出具数据风险评估报告，规划数据资产管控、安全策略执行、持续安全监控、应急响应恢复及意识教育培训。