ICS 33.040 CCS M 10 YD 中华人民共和国通信行业标准 YD/T3956—2024 代替YD/T3956-2021 电信领域数据安全风险评估规范 Specification for telecommunication field data security risk assessment 中华人民共和国工业和信息化部 发布 YD/T 3956-2024 目 次 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语。 5 概述. 5. 1 评估原则 5. 2 评估内容 6 风险评估流程 6. 1 评估整体流程 6. 2 组建评估团队。 6. 3 确定评估范围 6. 4 制定评估方案， 6. 5 实施风险评估. 6. 6 形成评估报告 5 风险评估方法. 7. 1 人员访谈， 7. 2 资料查验. 6 7. 3 人工核验.… 7. 4 工具测试.. 8 实施风险评估... 8. 1 数据处理活动分析 8. 2 合规性评估。 6 8.2.1 概述. 8.2.2 正当必要性评估. 8.2.3 基础性安全评估. 8.2.4 数据全生命周期安全评估.. 11 8. 3 安全风险分析， 8.3.1 风险源识别.. 16 8.3.2 安全影响分析， 22 8.3.3 综合风险研判. 24 8.3.4 评估结果与风险控制 .24 评估工具 .24 9. 1 评估工具的安全要求. 24 9. 2 评估工具的使用要求 24 9. 3 常用数据安全风险评估工具. 25 附录A（资料性） 电信领域数据分类参考 参考文献. .28 YD/T 3956-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件是“电信领域数据安全”系列标准之一。该系列标准预计结构及名称如下： 1、 《电信领域数据安全通用要求》 2、《电信领域数据安全风险评估规范》（本文件） 3、《电信网和互联网数据安全评估技术实施指南》 本文件代替YD/T3956-2021《电信网和互联网数据安全评估规范》。与YD/T3956-2021相比， 除结构调整和编辑性改动外，主要技术变化如下： a）更改了标准的适用范围，将标准的适用范围调整为适用于电信领域重要数据和核心数据处理 者在中华人民共和国境内开展数据处理活动的数据安全风险评估， b）增加数据处理活动分析过程，正当必要性评估依据，包括风险源识别、安全影响分析及综合 风险研判等内容的安全风险分析，评估工具等章节（见8.1、8.2.2、8.3、9）； c）增加资料性附录A，用于进行典型领域数据分类参考； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有 限公司、中国电信集团有限公司、北京通和实益电信科学技术研究所有限公司、重庆市信息通信咨询 设计院有限公司、北京天融信网络安全技术有限公司、华信咨询设计研究院有限公司、重庆数达信息 安全技术有限公司、深信服科技股份有限公司、阿里巴巴（中国）有限公司、北京快手科技有限公司、 华为技术有限公司、北京数安行科技有限公司、广州竞远安全技术股份有限公司、北京明朝万达科技 股份有限公司、杭州安恒信息技术股份有限公司、东软集团股份有限公司、北京三快在线科技有限公 司。