助力工业数据安全防护，长扬科技参与制定的《工业领域数据安全风险评估规范》正式发布

1. 适用范围

本文件规定了工业领域数据安全风险评估的基本原则、要素、流程及方法等内容。

本文件适用于工业领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。工业领域一般数据处理者对其数据处理活动的数据安全风险评估，也可参照本文件。

2. 评估流程

工业领域数据安全风险评估的实施过程一般包括组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告五个环节。

图 工业领域数据安全风险评估流程

• 组建评估团队：需包含管理、技术、合规等专业人员，第三方评估需签订协议。

  
  

• 确定评估范围：覆盖重要数据、核心数据及抽样一般数据，明确数据种类、载体及业务场景。

  
  

• 制定评估方案：明确评估依据、工具、计划及保障条件。

  
  

• 实施风险评估：依次开展数据处理活动分析、合规性评估及安全风险分析。

  
  

• 形成评估报告：报告应包含数据处理者基本情况、评估团队基本情况、数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

3. 评估内容与实施要点

标准构建了系统化、多维度的评估体系，从合规性评估和安全风险分析两大维度出发，为企业提供全面、可操作的风险评估指引。

（1）合规性评估：包括正当必要性评估、基础性安全评估和数据全生命周期安全评估，重点分析数据处理活动及所对应的数据种类、数量、目的、方式、范围以及保障能力是否符合法律、行政法规、标准规范要求。

• 正当必要性评估

评估数据处理目的是否合法、正当（如业务必需、履行合同、保障公共利益等），数据范围是否最小化。

• 基础性安全评估

涵盖安全管理制度、组织机构、人员保障、分类分级、权限管理、系统与设备安全管理、供应链数据安全管理、日志留存和审计、监控预警、信息共享与应急处置等方面。

• 数据全生命周期安全评估

针对数据收集、存储、使用加工、传输、提供、公开、销毁等10个环节提出具体评估措施。

（2）安全风险分析：通过风险源识别、安全影响分析、综合风险研判，帮助企业精准定位高风险环节。

图  工业领域数据安全风险分析实施流程

• 风险源识别

  
  

  从人员、载体、操作、环境四个维度分析潜在威胁：

  
  

a. 人员——从人员管理和人员能力两方面查找漏洞；

b. 载体——系统漏洞、弱口令、运维外包等风险；

c. 操作——数据分级保护、审批流程、审计日志是否规范；

d. 环境——网络隔离、接口安全等基础设施防护能力。

• 安全影响分析

  
  

  综合分析数据处理活动存在安全风险时，数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对国家安全、公共利益产生何种影响及影响程度，涵盖国土安全、经济安全、网络安全、社会安全、科技安全五大领域。根据影响范围与严重性，判定安全影响级别（特别严重/严重/一般）。

  
  

• 综合风险研判

  
  

  综合分析数据安全事件发生的可能性级别以及安全影响级别两方面因素，研判数据处理活动安全风险等级，安全风险等级可分为极高、高、中、低四个级别。在完成所有针对特定数据处理活动的安全风险评估之后，应依据“风险就高”原则，以风险等级最高的结果作为数据处理活动安全风险等级。

  
  

表 安全风险等级判定表

重要数据和核心数据处理者对于评估中发现的安全风险隐患，应结合重要数据和核心数据处理活动，及时采取有效的应对措施消除风险隐患。

4. 评估方法

采用多维度、多手段结合的方式：

• 人员访谈：与数据处理者关键岗位人员交流，了解数据流转及保障措施。

• 资料查验：审核安全管理制度、合同协议、系统日志等文件。

• 人工核验：通过现场演示验证估数据安全保障措施的有效性。

• 工具测试：通过使用适当的数据安全评估评测工具或通过技术手段实际测试数据载体，查看、分析被测试响应输出结果，以评估数据安全保障措施有效性。

5. 评估工具

• 工具类型：包括数据资产扫描、流量审计、脆弱性检测等专用工具（如工业控制系统配置核查工具）。

• 安全使用：需确保工具来源可靠，避免影响生产系统，并尽量避免在业务高峰期进行技术测试。

6. 附录

附录部分为标准的落地实施提供了重要支撑。

附录A对工业领域数据进行了系统分类，将数据划分为研发域、生产域、运维域等7大类别，并进一步细化为20项二级子类，为企业开展数据资产梳理和分级管理提供了明确依据。

附录B则提供了标准化的风险评估报告模板，不仅规范了评估报告的输出格式，确保评估结果的可比性和可审查性，更重要的是通过结构化呈现风险项及其等级，让企业能够直观掌握数据安全状况，为风险治理和防护策略优化提供科学依据。