2025年9月國(guó)家網(wǎng)信辦發(fā)布了10個(gè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)執(zhí)法典型案例,由此可見(jiàn),數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估已從“可選項(xiàng)”變成“生存線”。
一句話:不做數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,等來(lái)的不是“提醒函”,而是“千萬(wàn)罰單+業(yè)務(wù)停擺”。
什么是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估?
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是單位數(shù)據(jù)治理體系中的“風(fēng)險(xiǎn)體檢官”,嚴(yán)格依據(jù) GB/T 45577—2025《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》 開(kāi)展。評(píng)估聚焦數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)安全、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等關(guān)鍵環(huán)節(jié),全面覆蓋數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除的全生命周期。
賽辰具有CNAS/CMA/CCRC、信息安全風(fēng)險(xiǎn)評(píng)估等資質(zhì)證書(shū),可提供第三方數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)。通過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,被評(píng)估方能夠系統(tǒng)掌握數(shù)據(jù)安全現(xiàn)狀,精準(zhǔn)發(fā)現(xiàn)潛在隱患,提升數(shù)據(jù)防攻擊、防泄露、防濫用的能力。評(píng)估不僅滿(mǎn)足等保、關(guān)基、審計(jì) 等外部監(jiān)管要求,更為其數(shù)據(jù)治理與安全決策提供堅(jiān)實(shí)依據(jù),助力被評(píng)估方實(shí)現(xiàn)數(shù)據(jù)安全的全局掌控、風(fēng)險(xiǎn)可度量、改進(jìn)可持續(xù)。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的政策要求
我國(guó)已把“數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”寫(xiě)進(jìn)法律、行政法規(guī)和 幾十部行業(yè)規(guī)章,形成“通用國(guó)標(biāo) + 行業(yè)細(xì)則”雙軌機(jī)制。
一、法律層“三駕馬車(chē)”
《數(shù)據(jù)安全法》(2021)
第三十條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。
風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類(lèi)、數(shù)量,開(kāi)展數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。
首次以法律形式明確“重要數(shù)據(jù)處理者應(yīng)當(dāng)定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”,并“向主管部門(mén)報(bào)送評(píng)估報(bào)告”。該條款奠定了評(píng)估工作的強(qiáng)制性淵源,也是 GB/T 45577—2025 落地的依據(jù)。
《個(gè)人信息保護(hù)法》(2021)
第五十六條 個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容:
(一)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;
(二)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);
(三)所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。
個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。
第 55、56 條要求“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的主體”必須進(jìn)行事前風(fēng)險(xiǎn)評(píng)估并留存記錄;對(duì)敏感個(gè)人信息、自動(dòng)化決策、跨境提供等場(chǎng)景提出更高要求,與標(biāo)準(zhǔn)第 8.6 章“個(gè)人信息保護(hù)風(fēng)險(xiǎn)識(shí)別”一一對(duì)應(yīng)。
《網(wǎng)絡(luò)安全法》(2017)
第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改....
第 21、38 條把“風(fēng)險(xiǎn)檢測(cè)評(píng)估”納入等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)義務(wù),為關(guān)基行業(yè)開(kāi)展評(píng)估提供了銜接點(diǎn)。
二、行政法規(guī)與部門(mén)規(guī)章
《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)》工信部網(wǎng)安〔2024〕82號(hào)
第六條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開(kāi)展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,評(píng)估結(jié)果有效期為一年,以評(píng)估報(bào)告首次出具日期計(jì)算。評(píng)估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類(lèi)和數(shù)量、開(kāi)展數(shù)據(jù)處理活動(dòng)的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境,以及數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等。
中華人民共和國(guó)國(guó)務(wù)院令?第790號(hào)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》
第三十三條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年度對(duì)其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向省級(jí)以上有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告,有關(guān)主管部門(mén)應(yīng)當(dāng)及時(shí)通報(bào)同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)。
國(guó)家互聯(lián)網(wǎng)信息辦公室令 第11號(hào)《數(shù)據(jù)出境安全評(píng)估辦法》
第三條 數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合,防范數(shù)據(jù)出境安全風(fēng)險(xiǎn),保障數(shù)據(jù)依法有序自由流動(dòng)。
明確“風(fēng)險(xiǎn)自評(píng)估+安全評(píng)估”兩步走,自評(píng)估報(bào)告與申報(bào)材料一并提交省級(jí)網(wǎng)信部門(mén),未通過(guò)安全評(píng)估不得出境。該辦法與 GB/T 45577—2025 附錄 A.2.5“數(shù)據(jù)提供安全”評(píng)估項(xiàng)相似。
國(guó)家互聯(lián)網(wǎng)信息辦公室令第13號(hào)《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(網(wǎng)信辦 2023)
第七條 個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門(mén)備案。
對(duì)“非關(guān)基且未達(dá)百萬(wàn)量級(jí)”的個(gè)人信息出境場(chǎng)景,以“標(biāo)準(zhǔn)合同+備案”方式替代安全評(píng)估,但很多省市要求備案材料仍需附“風(fēng)險(xiǎn)評(píng)估報(bào)告”,評(píng)估邏輯與國(guó)標(biāo)保持一致。
中華人民共和國(guó)國(guó)務(wù)院令 第745號(hào)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》
第十七條 運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改,并按照保護(hù)工作部門(mén)要求報(bào)送情況。
要求關(guān)基運(yùn)營(yíng)者每年至少組織 1 次“數(shù)據(jù)安全專(zhuān)項(xiàng)檢測(cè)”,檢測(cè)結(jié)論納入等級(jí)保護(hù)測(cè)評(píng)報(bào)告;檢測(cè)內(nèi)容引用 GB/T 45577—2025 附錄 A.3 全部技術(shù)條款。
中國(guó)人民銀行令〔2025〕第3號(hào)《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》
第四十二條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)自行或者委托第三方評(píng)估機(jī)構(gòu),每年對(duì)業(yè)務(wù)數(shù)據(jù)開(kāi)展一次風(fēng)險(xiǎn)評(píng)估,并于每年1月15日前向中國(guó)人民銀行或者住所地中國(guó)人民銀行省級(jí)分支機(jī)構(gòu)報(bào)送上一年度風(fēng)險(xiǎn)評(píng)估報(bào)告。除法律、行政法規(guī)已明確應(yīng)當(dāng)評(píng)估的內(nèi)容外,風(fēng)險(xiǎn)評(píng)估報(bào)告還應(yīng)當(dāng)包含與存儲(chǔ)重要數(shù)據(jù)信息系統(tǒng)相關(guān)的人員培訓(xùn)與日常管理情況,與業(yè)務(wù)數(shù)據(jù)相關(guān)的崗位職責(zé)落實(shí)情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和整改情況、保護(hù)措施執(zhí)行情況、本年度風(fēng)險(xiǎn)監(jiān)測(cè)和事件處置情況,以及中國(guó)人民銀行要求的其他評(píng)估內(nèi)容。
三、各行業(yè)細(xì)則
國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局聯(lián)合印發(fā)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》
第二十一條 各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度、操作規(guī)程及技術(shù)規(guī)范,涉及的管理制度每年至少修訂一次,建議相關(guān)人員每年度簽署保密協(xié)議。每年對(duì)本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,及時(shí)掌握數(shù)據(jù)安全狀態(tài)。加強(qiáng)數(shù)據(jù)安全教育培訓(xùn),組織安全意識(shí)教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)。
交通運(yùn)輸部《交通運(yùn)輸數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指南》(JT/T 1547—2025)
為貫徹落實(shí)國(guó)家數(shù)據(jù)安全有關(guān)要求,指導(dǎo)交通運(yùn)輸行業(yè)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,交通運(yùn)輸部組織相關(guān)單位開(kāi)展了行業(yè)標(biāo)準(zhǔn)《交通運(yùn)輸數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指南》的制定工作,適用于交通運(yùn)輸行業(yè)數(shù)據(jù)處理者和第三方評(píng)估機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,以及行業(yè)管理部門(mén)開(kāi)展數(shù)據(jù)安全檢查。
上海《青浦區(qū)衛(wèi)生健康行業(yè)數(shù)據(jù)安全管理實(shí)施細(xì)則(試行)》(青衛(wèi)健信息〔2025〕2 號(hào))
第十二條 (風(fēng)險(xiǎn)評(píng)估)本區(qū)醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)對(duì)本單位實(shí)施的衛(wèi)生健康數(shù)據(jù)處理活動(dòng)每年定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向區(qū)衛(wèi)生健康委報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類(lèi)、數(shù)量,開(kāi)展衛(wèi)生健康數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。
陜西省教育廳關(guān)于印發(fā)《陜西省教育數(shù)據(jù)管理辦法》的通知 陜教規(guī)范〔2021〕5號(hào)
第三十六條 各級(jí)各類(lèi)教育單位應(yīng)當(dāng)制定數(shù)據(jù)分級(jí)分類(lèi)安全保護(hù)、風(fēng)險(xiǎn)評(píng)估、日常監(jiān)控等管理制度,健全數(shù)據(jù)共享和開(kāi)放的安全審查機(jī)制,定期組織開(kāi)展安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估,確保數(shù)據(jù)的真實(shí)性、保密性、完整性、可用性,保障數(shù)據(jù)安全。
《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》
第七十九條 市網(wǎng)信部門(mén)以及其他履行數(shù)據(jù)安全監(jiān)督職責(zé)的部門(mén)可以委托第三方機(jī)構(gòu),按照法律、法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)要求,對(duì)數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全管理認(rèn)證以及數(shù)據(jù)安全評(píng)估工作,并對(duì)其進(jìn)行安全等級(jí)評(píng)定。
深圳《深圳市衛(wèi)生健康委員會(huì)關(guān)于印發(fā)深圳市衛(wèi)生健康數(shù)據(jù)管理辦法的通知》深衛(wèi)健規(guī)〔2023〕3號(hào)
第四十三條 責(zé)任單位應(yīng)當(dāng)嚴(yán)格落實(shí)數(shù)據(jù)安全主體責(zé)任,制定數(shù)據(jù)安全管理制度和數(shù)據(jù)安全應(yīng)急預(yù)案,定期開(kāi)展數(shù)據(jù)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和應(yīng)急演練,保障衛(wèi)生健康數(shù)據(jù)安全。
四、國(guó)家標(biāo)準(zhǔn)與行業(yè)規(guī)范
GB/T 45577—2025《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》
統(tǒng)一了評(píng)估流程、風(fēng)險(xiǎn)等級(jí)矩陣、報(bào)告模板、工具集,成為各部門(mén)執(zhí)法、企業(yè)自評(píng)、第三方機(jī)構(gòu)服務(wù)的“通用語(yǔ)言”。
GB/T 43697—2024《數(shù)據(jù)分類(lèi)分級(jí)指南》
與 45577 配套使用,解決“數(shù)據(jù)級(jí)別—風(fēng)險(xiǎn)危害程度—處置措施”映射問(wèn)題。
GB/T 35273—2020《個(gè)人信息安全技術(shù)規(guī)范》
對(duì)評(píng)估中“個(gè)人信息保護(hù)”環(huán)節(jié)提供細(xì)化控制點(diǎn)。
單位只要同時(shí)滿(mǎn)足“重要數(shù)據(jù)”“百萬(wàn)量級(jí)個(gè)人信息”“關(guān)基運(yùn)營(yíng)者”“數(shù)據(jù)出境”任一標(biāo)簽,就必須把 GB/T 45577—2025 評(píng)估流程嵌入自身 GRC(治理、風(fēng)險(xiǎn)與合規(guī))體系,并建立“年度例行評(píng)估 + 場(chǎng)景觸發(fā)式專(zhuān)項(xiàng)評(píng)估 + 重大變更即時(shí)評(píng)估”的長(zhǎng)效機(jī)制。只有把評(píng)估結(jié)果真正轉(zhuǎn)化為風(fēng)險(xiǎn)處置、預(yù)算投入、績(jī)效考核和董事會(huì)匯報(bào)的閉環(huán)管理,才能實(shí)現(xiàn)“風(fēng)險(xiǎn)可度量、改進(jìn)可持續(xù)、合規(guī)可預(yù)期”的目標(biāo),在日益趨嚴(yán)的監(jiān)管環(huán)境下贏得業(yè)務(wù)發(fā)展的主動(dòng)權(quán)。
結(jié)語(yǔ):
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估已從“推薦性最佳實(shí)踐”升級(jí)為“法定剛性義務(wù)”,從“可選項(xiàng)”變成“生存線”。找具有CNAS/CMA/CCRR/信息安全風(fēng)險(xiǎn)評(píng)估資質(zhì)的第三方檢測(cè)機(jī)構(gòu)(如:賽辰)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是明智的選擇!
手機(jī):13802798690(謝經(jīng)理)
電話:020-32200125
傳真:020-32200125
郵編:510663
地址:廣州市黃埔區(qū)彩頻路9號(hào)501-5、501-6、501-7房
賽辰檢測(cè)微信公眾號(hào)
在線客服1
400-004-1069