由于数据形式多样、流转环节复杂、分布位置广泛、敏感数据所涉人员众多，企业在数据安全风险管理的过程中，需要面对诸多难题，其中主要包括：

数据安全合规要求发展快且涉及法律、法规及标准众多，企业难以实时保证自己的数据安全风险处在可控范围内。

数据安全攻击手段不断增多，防护面持续增加，企业风险点处于动态变化中，企业缺乏专业人才和工具及时发现相应风险。

山石安全风险评估按照用户实际情况对标数据安全建设目标进行数据安全建设目标和现状的差距分析，从而给出数据安全建设过程中需要重点关注的方向。山石数据安全风险评估包含五个阶段既：评估准备、数据和数据处理活动识别、数据安全风险识别、数据安全风险与评价以及最终的数据安全评估总结，其具体流程如下图。

评估准备
风险评估的准备工作首先需要对评估目标进行确定，在这一阶段需要对数据处理者的数据和数据处理活动进行全面安全评估，根据评估结果确定数据安全风险评估的对象、范围和边界。同时建立适当的风险评估团队支撑整个评估过程的推进，团队可由组织管理层、法务、安全、相关业务骨干、技术和管理等人员组成。最终输出数据安全风险评估工作方案、前期调研记录等。

数据和数据处理活动识别
主要用于明确数据安全的保护对象及范围，识别处理的数据如结构化和非结构化数据、数据分类分级情况、核心数据在业务系统中的分布情况等，另一方面识别开展的数据处理活动情况，识别内容包括数据的收集、存储、传输、使用和加工、提供、公开、删除，理清其与业务和信息系统的关系，输出数据情况清单、数据处理活动清单、数据流图等

数据安全风险识别
从数据安全措施、违法违规处理风险源、数据安全风险源等角度入手，针对数据处理活动、数据安全管理、数据安全技术、个人信息保护、重要数据处理等方面进行评估，识别可能存在的数据安全风险问题。

数据安全风险分析
主要在数据安全风险识别的基础上，分析数据、数据处理活动、数据安全风险源、数据安全措施之间的关系，并从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源或问题可能带来的数据安全风险，形成初步的数据安全风险清单。

数据安全评估总结
结合数据安全风险清单编写对应评估报告，依照评估结果对被评估方提出风险处置建议，并分析残余风险。

数据安全与业务的关系十分紧密，这一特性也决定了风险评估需要以数据为独立视角来进行，数据过度保护肯定会影响业务应用的整体效果，同时也不利于发挥数据资产的价值，通过定期的数据安全风险评估，确保在符合合规要求的前提下，及时发现企业业务存在的数据安全风险并采取适当的保护手段进行数据安全建设无疑是企业数据安全方向管理者的最优选。