2025年11月有一个新的标准进入实施了，那就是《数据安全技术数据安全风险评估方法》（GB/T45577-2025）！  

一、标准概况  

1.发布与实施  

发布机构国家市场监督管理总局、国家标准化管理委员会  

发布日期2025年4月25日  

实施日期2025年11月1日  

2.定位与意义  

法律依据以《数据安全法》《个人信息保护法》为核心法律基础。  

核心价值为数据处理者、第三方评估机构及监管部门提供统一的风险评估框架，覆盖数据全生命周期(收集、存储、使用、共享、销毁)的风险识别与管控。  

二、核心评估框架  

1.评估对象与范围  

聚焦维度  

数据本身(保密性、完整性、可用性)。  

数据处理活动(合理性、合规性)。  

覆盖环节数据全生命周期(收集、存储、使用、共享、销毁)。  

2.评估模型与流程  

“场景+要素”双维度模型  

风险场景根据业务类型(如跨境传输、政务数据开放)和技术应用(如AI、物联网)定制评估方案。  

评估要素包括数据资产、处理活动、安全措施、威胁来源四大维度。  

四阶段标准化流程  

准备阶段明确评估目标与范围，组建跨部门团队。  

调研分析梳理数据资产清单，绘制处理活动图谱。  

风险识别结合威胁库与脆弱性分析工具定位风险。  

评价处置量化风险等级，制定优先级策略。  

3.方法论创新  

数据安全属性影响分析模型通过矩阵工具量化数据泄露、篡改等事件对保密性、完整性、可用性的破坏程度，优化资源分配。  

三、强制评估场景  

以下四类主体或场景需强制开展评估：  

1、关键数据处理者  

处理重要数据/核心数据，或超过1000万条个人信息的主体，需每年评估。  

2、高风险数据活动  

数据出境、委托处理、系统重大变更(如并购、系统下线)等活动前需评估。  

3、特殊主体  

大型网络平台、政务数据处理者、境外上市企业需额外关注供应链安全与跨境合规。  

4、法律强制场景  

违反《数据安全法》《个人信息保护法》时，评估成为整改必备环节。  

四、实施挑战与价值  

1.应用价值  

企业层面  

为数据分类分级、安全控制措施优化提供依据。  

平衡业务创新与合规成本。  

监管层面  

统一风险评估标准，提升跨行业、跨区域监管协作效率。  

2.落地挑战  

动态风险应对需结合实时数据流动风险，使用动态工具进行持续监测。  

新兴技术适配生成式AI、物联网等技术需持续补充评估指引。  

五、相关配套资源  

标准全文详见《GB/T45577-2025数据安全技术数据安全风险评估方法》，包含风险要素关系图、评估流程等详细技术规范。