通过专家+工具相结合的模式，以法律法规及标准规范为依据和指导，构建数据安全合规风险评估标准化流程，研发配套数据安全合规风险评估工具集，工具集涵盖数据资产识别、数据安全检测、能力验证、威胁情报、全流程管理等辅助工具，实现自动化数据安全合规风险评价及自动生成评估报告。实现数据安全评估全流程的可管、可控、可视，保障评估质量和评估过程可控。

通过识别扫描工具和流量分析工具实现数据资产和应用资产的识别，从国家安全与社会公共利益影响、组织利益影响、个人权益影响等维度对数据重要程度进行分析。

基于确定符评估的数据对象，针对每一类待评估的数据对象识别涉及的各类应用场景，包括识别业务流程或使流程相关数据活动参与主体。输出数据应用场景清单。

分析数据在应用场景流转过程可能影响数据机密性、完整性、可用性及可控性的威胁类型，并对其攻击动机、攻击能、威胁发生概率等属性进行分析，对属性进行赋值。

采用问卷调查、工具检测、人工核查、文档查阅、渗透性测试等方式识别数据应用场景中可能被数据威胁利用的脆弱性风险, 输出脆弱性风险清单。

以数据威胁为核心识别组织已有安全措施, 在数据威胁识别的同时对已采取的安全措施进行识别。同时对已有安全措施有效性进行确认。输出已有安全措施清单。

基于数据资产识别、数据应用场景识别、数据威胁识别、脆弱性识别以及对已有安全措施结果, 分析利用脆弱性导致安全事件的可能性，以及对组织的影响，得到安全风险。

根据风险接受准则判定风险是否可以接受 ，对不可接受风险应采取相应的风险处置措施降低风险级别。并着重找出引发不可接受风险的脆弱性， 提出具体的风险处置措施。

被评估组织按照风险安全整改建议全部或部分实施整改工作后，是对数据安全仍存在的残余风险进行识别、控制和管理。输出残余风险评估报告。