近期,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡數(shù)據(jù)安全風險評估辦法(征求意見稿)》(以下簡稱“《意見稿》”)���,正式向社會公開征求意見���。《意見稿》被視為《網(wǎng)絡數(shù)據(jù)安全管理條例》落地前的“最后一公里”���,把“要不要評�、誰來評�、怎么評、評完怎么辦”逐一寫進了硬性條款�����。對于手握大量數(shù)據(jù)資產(chǎn)的組織����、機構、企事業(yè)單位而言���,與其觀望���,不如先吃透以下五個核心問題。
一����、什么是“網(wǎng)絡數(shù)據(jù)安全風險評估”?
《意見稿》給出的定義:網(wǎng)絡數(shù)據(jù)安全風險評估是指對網(wǎng)絡數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)處理活動安全進行的風險識別�����、風險分析和風險評價等活動���。
通俗理解���,就是給數(shù)據(jù)全生命周期做一次“體檢”——從收集、存儲��、使用���、加工�����、傳輸�����、提供到刪除��,逐環(huán)節(jié)排查可能被泄露��、篡改�、濫用的脆弱點,并最終給出“風險等級+整改建議”的正式報告���。與等保測評關注“系統(tǒng)”����、密評關注“密碼”不同�����,此次評估的核心對象是“數(shù)據(jù)”本身��,尤其是“重要數(shù)據(jù)”和“大規(guī)模個人信息”����。只要數(shù)據(jù)處理活動發(fā)生在境內(nèi),無論內(nèi)網(wǎng)還是外網(wǎng)���,無論公有云還是私有云�,都在評估范圍之內(nèi)���。
二�����、政策依據(jù)與定位——為何“非做不可”����?
頂層法律:以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為底座�,明確企業(yè)承擔“數(shù)據(jù)安全主體責任”。
行政法規(guī):與已公開征求意見的《網(wǎng)絡數(shù)據(jù)安全管理條例》無縫銜接�����,后者提出“數(shù)據(jù)處理者應定期開展風險評估”��,本次《意見稿》就是操作細則。
國家標準:評估方法必須同步符合《數(shù)據(jù)安全技術 數(shù)據(jù)安全風險評估方法》(GB/T 45577)和《數(shù)據(jù)安全評估機構能力要求》(GB/T 45389)��,確保技術語言����、風險分級、報告格式全國統(tǒng)一���。
監(jiān)管抓手:《意見稿》賦予網(wǎng)信�、工信��、公安�、行業(yè)主管部門“啟動強制評估”的權力,一旦企業(yè)出現(xiàn)重大安全事件或可能危害國家安全��、公共利益���,將被要求限期“體檢”并自行買單����。
三����、第三方評估機構的要求
《意見稿》第八條 網(wǎng)絡數(shù)據(jù)處理者可以自行或者委托第三方評估機構(以下簡稱評估機構)開展風險評估。
企業(yè)可以“自評”,但前提是有專門團隊�、成熟模型、完整記錄���,并承擔與第三方評估同等的法律責任。數(shù)據(jù)安全合規(guī)沒有“補考”���,一旦違規(guī)成本就是業(yè)務停擺與高額罰款�����,更多網(wǎng)絡數(shù)據(jù)處理者會選擇委托第三方評估機構���������!兑庖姼濉穼υu估機構提出四項剛性要求:
一是資質獲得�,明確經(jīng)國務院認證認可監(jiān)督管理部門依法批準的具有數(shù)據(jù)安全服務認證資質的認證機構,可按照《數(shù)據(jù)安全技術 數(shù)據(jù)安全評估機構能力要求》(GB/T 45389)等有關國家標準���、行業(yè)標準對評估機構開展認證�。
二是工作原則,要求應當遵守法律法規(guī)�、公正客觀地作出風險判斷,并對所出具的風險評估報告真實性����、有效性、完整性負責�。
三是報告責任,要求評估機構在風險評估過程中發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)處理活動存在重大數(shù)據(jù)安全風險的��,應當及時通報網(wǎng)絡數(shù)據(jù)處理者��,并按照有關規(guī)定向省級以上網(wǎng)信部門��、有關主管部門報告��。
四是保密責任��,要求評估機構及其工作人員應當對在風險評估過程中獲得的數(shù)據(jù)�、商業(yè)秘密、保密商務信息等依法予以保密���。
目前官方尚未公布首批認證名單�����,但結合文件要求與行業(yè)現(xiàn)狀�,可鎖定原有國家認可的第三方信息化項目測評體系“老面孔”。賽辰是提供信息化建設全生命周期質量保障服務的第三方評估機構���,具有CNAS(實驗室和檢驗機構2個)��、CMA、CCRC���、信息安全風險評估資質證書等證書����,熟悉監(jiān)管流程��、具備實驗環(huán)境����、客戶基礎龐大,提供數(shù)據(jù)安全風險評估服務��。
四�����、賽辰--數(shù)據(jù)安全風險評估
數(shù)據(jù)安全風險評估是單位數(shù)據(jù)治理體系中的“風險體檢官”,賽辰嚴格依據(jù) GB/T 45577—2025《數(shù)據(jù)安全技術 數(shù)據(jù)安全風險評估方法》開展����。評估聚焦數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全�����、數(shù)據(jù)安全技術�����、個人信息保護等關鍵環(huán)節(jié)����,全面覆蓋數(shù)據(jù)收集、存儲�����、使用�����、加工����、傳輸����、提供���、公開��、刪除的全生命周期��。
通過數(shù)據(jù)安全風險評估,被評估方能夠系統(tǒng)掌握數(shù)據(jù)安全現(xiàn)狀�����,精準發(fā)現(xiàn)潛在 隱患����,提升數(shù)據(jù)防攻擊、防泄露���、防濫用的能力�。評估不僅滿足等保�����、關基、審計 等外部監(jiān)管要求��,更為其數(shù)據(jù)治理與安全決策提供堅實依據(jù)��,助力被評估方實現(xiàn)數(shù)據(jù)安全的全局掌控��、風險可度量����、改進可持續(xù)。
五���、重要數(shù)據(jù)處理者應對三步驟
參考立法節(jié)奏�,正式稿預計2026年上半年發(fā)布���,留給網(wǎng)絡數(shù)據(jù)處理者的時間只有“認證機構落地+完成首次評估”兩個季度���。建議立即啟動應對三步驟:
1、盤點數(shù)據(jù)資產(chǎn)�,劃定“重要數(shù)據(jù)”與“核心數(shù)據(jù)”目錄;
2�����、對照GB/T 45577進行差距自查,輸出內(nèi)部風險清單�����;
3�����、提前接洽已具備“數(shù)據(jù)安全風險評估”服務的第三方評估機構--賽辰����,鎖定“優(yōu)先認證通道”,助力構建更安全的網(wǎng)絡數(shù)據(jù)環(huán)境�����。
數(shù)據(jù)安全合規(guī)沒有“補考”�,一旦違規(guī)成本就是業(yè)務停擺與高額罰款���,手握大量數(shù)據(jù)資產(chǎn)的組織�����、機構��、企事業(yè)單位可提前接洽賽辰���,了解“數(shù)據(jù)安全風險評估”服務��。早評估�����、早整改�����,應對日益嚴格的數(shù)據(jù)安全要求�,才能把“風險”轉化為“信任”�,在數(shù)字經(jīng)濟下半場贏得先機。
在線客服1
400-004-1069