ICS 35.030 CCS L 80 DB 川渝区域 地方标准 DB51/T 10012—2025 DB50/T 10012—2025 川渝政务数据风险评估指南 2025 - 01 - 23发布 2025 - 02 - 23实施 四川省市场监督管理局 重庆市市场监督管理局 发布 DB51/T 10012—2025，DB50/T 10012 —2025 I 目次 前言 ................................ ................................ ................. II 引言 ................................ ................................ ................ III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 政务数据风险评估概述 ................................ ............................... 2 5 政务数据风险评估流程 ................................ ............................... 4 6 政务数据风险评估实施 ................................ ............................... 4 附录A（资料性） 政务数据风险评估工作实施参考表格 ................................ ..... 9 附录B（资料性） 典型政务数据风险类别 ................................ ................ 11 附录C（资料性） 政务数据风险评估报告模板 ................................ ............ 13 参考文献 ................................ ................................ ............. 15 DB51/T 10012—2025，DB50/T 10012 —2025 II 前言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分: 标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容 可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件在四川省数据安全协调工作机制、重庆市数据安全工作协调机制统筹指导下，由四川省发展 和改革委员会、重庆市大数据应用管理局提出、归口、解释并组织实施。 本文件起草单位：四川省发展和改革委员会（四川省数据局）、四川省大数据中心、重庆市大数据 应用管理局、四川省人民政府办公厅、四川省市场监督管理局、四川省互联网信息办公室、重庆市互联 网信息办公室、四川省标准化研究院、国家计算机网络与信息安全管理中心四川分中心、中电科网络安 全科技股份有限公司、四川汤谷数智科技有限 公司。 本文件主要起草人：周学立、冯亮、李明、路嘉琪、缪建忠、牟昕、肖杨梅、熊博、魏杰、赵衍、 周立、管庆旭、雷山锋、曹霞、余靖浊、魏灵、曾旭东、贺英杰、李建辉、何园元、董国风、任轲正、 温蓓、陈超凡、朱秋桦、李蒙、李坪芮、古利勇、黄智勇、高屹嵩、李贝贝、宋波、牛颢、张兆雷、望 娅露等。 DB51/T 10012—2025，DB50/T 10012 —2025 III 引言 政务数据风险评估是政务数据安全保障体系的重要环节， 主要针对政务数据和政务数据处理活动进 行风险评估，帮助政务数据主体掌握政务数据安全总体状况，发现政务数据安全隐患，提出政务数据安 全管理和技术防护措施建议。在四川省数据安全协 调工作机制、重庆市数据安全工作协调机制统筹指导 下，结合川渝地区实际，提出政务数据风险评估流程，给出政务数据安全风险评估的实施要点和方法， 为指导政务数据风险评估工作的开展，进一步提升保障能力，制定本标准。核心数据的界定和保护要求 按照国家相关文件执行。 DB51/T 10012—2025，DB50/T 10012 —2025 1 川渝政务数据风险评估指南 1 范围 本文件提供了政务数据风险评估的指导，以及评估流程、评估实施等方面的建议。 本文件适用于四川省、重庆市各级政务部门开展政务数据风险的评估，不适用于核心数据及涉及国 家秘密的政务数据资源。 2 规范性引用文件 下列文件中的内容 通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2022 信息安全技术术语 DB51/T 3056 -2023 政务数据 数据分类分级指南 DB51/T 3058 -2023 政务数据 数据脱敏规范 3 术语和定义 GB/T 25069 -2022、DB51/T 3056 -2023 、DB51/T 3058 -2023界定的以及下列术语和定义适用于本文 件。 3.1 政务数据 government affairs data 国家机关和法律、法规授权的具有管理公共事务职能的组织（政务部门）为履行法定职责收集、 产 生的数据。 3.2 政务数据处理活动 government affairs data processing activities 政务数据收集、存储、使用、加工、传输、提供、公开、出境、删除等活动。 3.3 政务数据处理主体 government affairs data processor 在政务数据处理活动中自主决定处理目的和处理方式的各级政务部门、 软件和信息技术服务企业等 各类主体。 3.4 政务数据安全 government affairs data security 通过采取措施， 确保政务数据处于有效保护和合法利用的状态， 以及具备保障持续安全状态的能力。 3.5 政务数据风险 government affairs data security risk 由于开展政务数据处理活动不合理、缺少有效的数据安全措施、引发数据安全问题的技术发展等， 导致数据安全事件的发生的可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。 3.6 政务数据风险评估 government affair s data risk assessment DB51/T 10012—2025，DB50/T 10012 —2025 2 对政务数据和政务数据处理活动的安全风险和违法违规问题进行检测评估的过程。 3.7 安全措施 security measure 保护政务数据和政务数据处理活动、抵御数据安全风险事件而实施的各种安全管理和技术实践、规 程和机制。 3.8 业务 business 组织为实现某项发展战略而开展的运营活动，该活动具有明确的目标，并延续一段时间。 3.9 风险源 risk source 可能导致危害政务数据和政务数据处理的保密性、完整性、可用性和合理性等安全事故的原因、条 件、情形或行为。 注： 风险源，既包括安全威胁利用脆弱性可能导致政务数据安全事件的风险源（简称为“政务数据风险源”），也 包括政务数据处理活动不合理操作可能造成违法违规处理事件的风险源（简称为“违法违规处理风险源”）。 3.10 自评估 self risk assessment 自评估是指四川省、 重庆市各级政务部门根据政务数据风险评估适用情形自行对政务数据资产和政 务数据应用场景的评估。 3.11 检查评估 examination and assessment 检查评估是指四川省、重庆市各级政务部门的上级监管单位发起的政务数据风险评估工作。 4 政务数据风险评估概述 评估思路 4.1 4.1.1 政务数据风险评估坚持预防为主、主动发现、积极防范的原则，对政务数据和数据处理活动中 可能影响政务数据保密性、完整性、可用性和政务数据处理活动合理性的安全风险进行分析和评价。政 务数据风险评估的评估思路如图 1所示。 图1 政务数据风险评估思路示意图 4.1.2 政务数据风险评估， 首先通过信息调研， 政务数据处理主体、 业务和信息系统、政务数据资产、 政务数据处理活动、安全防护措施以及已开展的评估工作等相关要素；然后从政务数据安全管理、政务 DB51/T 10