工业领域数据安全风险评估指南（草案）.pdfVIP

ICS33.040

CCSM10YD

中华人民共和国通信行业标准

YD/TXXXX—20XX

工业领域数据安全风险评估指南

（草案）

GuidelinesforIndustrialfieldDataSecurityRiskAssessment

××××-××-××发布××××-××-××实施

中华人民共和国工业和信息化部发布

YD/TXXXX-20XX

目录

前言I

工业领域数据安全风险评估指南1

1范围1

2规范性引用文件1

3术语、定义和缩略语1

4评估内容2

5评估原则3

6评估方法3

7评估流程4

8实施风险评估6

9评估工具22

附录A（资料性）工业领域数据安全风险评估报告模板23

参考文献27

YD/TXXXX-20XX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规

则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：

本文件主要起草人：

工业领域数据安全风险评估指南

1范围

本文件规定了工业领域数据安全风险评估的基本原则、要素、流程及方法等内容。

本文件适用于指导有关第三方组织针对工业领域重要数据和核心数据处理者在中华人

民共和国境内开展的数据处理活动开展数据安全风险评估，也可用于指导工业领域重要数据

和核心数据处理者开展自评估。工业领域一般数据处理者对其数据处理活动的数据安全风险

评估，可参照本文件。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T20984-2022信息安全技术信息安全风险评估方法

GB/T36466-2018信息安全技术工业控制系统风险评估实施指南

3术语、定义和缩略语

3.1术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1.1

工业数据安全防护industrialdatasecurityprotection

通过实施管理和技术措施，避免工业数据遭到篡改、破坏、泄露或者非法获取、非法利

用。

3.1.2

数据安全风险datasecurityrisks

由于工业数据及其管理体系中存在的脆弱性，人为或自然的因素导致安全事件的发生及

其对企业造成影响。

1

YD/T××××—××××

3.1.3

威胁threat

可能导致对工业数据或组织，造成危害的、导致不希望事故的潜在诱因。

3.1.4

脆弱性vulnerability

可能被一个或多个威胁所利用的资产或控制措施的