數(shù)據(jù)識別主要分析識別數(shù)據(jù)分類（含子類）、數(shù)據(jù)項名稱、數(shù)據(jù)屬性與要素（數(shù)據(jù)來源、數(shù)據(jù)規(guī)模、數(shù)據(jù)用途、數(shù)據(jù)存儲位置、數(shù)據(jù)共享情況、數(shù)據(jù)是否出境等）、數(shù)據(jù)分級等，并形成數(shù)據(jù)目錄清單。

數(shù)據(jù)處理活動識別主要圍繞數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等全生命周期，結(jié)合組織業(yè)務流程、系統(tǒng)功能實現(xiàn)等情況，識別數(shù)據(jù)處理活動以及個人信息處理活動，并進行記錄。

數(shù)據(jù)安全威脅識別主要包括威脅的來源、主體、種類、動機、頻率、時機等。威脅來源包括環(huán)境、意外、人為三類，根據(jù)威脅來源不同，進一步劃分威脅的種類與威脅來源的主體、動機，威脅頻率應根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。最終結(jié)合威脅的行為能力、威脅發(fā)生時機，通過威脅發(fā)生的頻率給出威脅賦值。

數(shù)據(jù)安全脆弱性識別主要可從技術(shù)和管理兩方面進行審視。技術(shù)脆弱性包括數(shù)據(jù)處理活動過程中所涉及的技術(shù)性安全問題或隱患。管理脆弱性包括組織數(shù)據(jù)處理活動過程中，組織管理體系中的責權(quán)劃分、應急處置、運行維護等管理制度的完備程度與可行程度。最終根據(jù)數(shù)據(jù)安全脆弱性危害程度給出數(shù)據(jù)安全脆弱性指數(shù)賦值。

安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性的可能，保護性安全措施可以降低數(shù)據(jù)安全事件發(fā)生后造成的影響。安全措施識別應充分考慮數(shù)據(jù)對象安全等級所對應的安全需求。

風險分析與評價主要圍繞數(shù)據(jù)、數(shù)據(jù)處理活動，對已識別的數(shù)據(jù)安全威脅、脆弱性、安全措施，綜合運用數(shù)據(jù)安全風險分析與評價模型，給出定性與定量相結(jié)合的風險分析與評價結(jié)果，并明確風險接受程度以及風險處置措施。

■  提供全面的風險認知：通過評估，組織可以全面了解其信息資產(chǎn)所面臨的威脅和風險，從而制定相應的防護措施；

■  優(yōu)化資源分配：評估結(jié)果可以幫助組織更好地分配資源，將有限的安全預算用于最需要的領(lǐng)域，提高整體安全性能；

■  合規(guī)要求滿足：許多行業(yè)和法規(guī)對數(shù)據(jù)安全有明確的要求，通過評估，組織可以確保其符合相關(guān)合規(guī)標準。