指南构建了以数据为中心的风险管理框架，在充分分析各类数据处理活动场景所面临的数据安全风险的基础上，从数据安全风险赋值等三个方面给出了20套附录工具，为企业开展数据安全风险管理工作提供了详尽的实践方法和路径。

企业数据的安全风险可根据其来源整体上分为两大类：

一是企业数据因越权访问、非法爬取、脱库、撞库、非法拷贝、拒绝服务攻击、中间人攻击、嵌入恶意代码、数据污染、数据过载、人员有意或无意操作、设备故障、自然灾害等等安全威胁，利用管理制度流程及安全保障能力的脆弱性，影响数据的保密性、完整性、可用性、可控性而造成的数据泄露、数据篡改、数据破坏、数据丢失、数据伪造、数据滥用等安全风险。

二是因企业数据处理活动违反法律、行政法规等有关规定，因违法违规开展收集数据、存储数据、使用数据、加工数据、传输数据、提供数据、公开数据、交易数据等处理活动，引起的违法违规风险。

此外，还有其他可能对国家安全、公共利益或组织、个人合法权益造成影响的数据安全风险。

企业数据安全风险管理框架

指南以数据识别和数据处理活动识别为基础，充分考虑各类数据所处的活动场景，制定企业数据安全风险管理框架，主要包括数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险沟通与评审、数据安全风险监督改进六个环节，其中数据安全风险沟通与评审和数据安全风险监督改进贯穿数据安全风险管理流程始终。

数据安全风险评估

数据安全风险评估包含风险识别、风险分析和风险评价三个过程。此阶段，应充分结合数据管理过程，在数据识别、业务信息识别、数据分类分级、数据处理活动识别的基础上，结合数据处理活动场景，以业务为核心，以业务条线为范围，以数据和数据处理活动为对象，充分识别其业务活动场景下的各类数据集及其对应的数据处理活动所面临的威胁和脆弱性，并进行风险分析。