近期,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估辦法(征求意見稿)》(以下簡稱“《意見稿》”),正式向社會(huì)公開征求意見。《意見稿》被視為《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》落地前的“最后一公里”,把“要不要評、誰來評、怎么評、評完怎么辦”逐一寫進(jìn)了硬性條款。對于手握大量數(shù)據(jù)資產(chǎn)的組織、機(jī)構(gòu)、企事業(yè)單位而言,與其觀望,不如先吃透以下五個(gè)核心問題。
一、什么是“網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估”?
《意見稿》給出的定義:網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估是指對網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全進(jìn)行的風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)等活動(dòng)。
通俗理解,就是給數(shù)據(jù)全生命周期做一次“體檢”——從收集、存儲(chǔ)、使用、加工、傳輸、提供到刪除,逐環(huán)節(jié)排查可能被泄露、篡改、濫用的脆弱點(diǎn),并最終給出“風(fēng)險(xiǎn)等級+整改建議”的正式報(bào)告。與等保測評關(guān)注“系統(tǒng)”、密評關(guān)注“密碼”不同,此次評估的核心對象是“數(shù)據(jù)”本身,尤其是“重要數(shù)據(jù)”和“大規(guī)模個(gè)人信息”。只要數(shù)據(jù)處理活動(dòng)發(fā)生在境內(nèi),無論內(nèi)網(wǎng)還是外網(wǎng),無論公有云還是私有云,都在評估范圍之內(nèi)。
二、政策依據(jù)與定位——為何“非做不可”?
頂層法律:以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為底座,明確企業(yè)承擔(dān)“數(shù)據(jù)安全主體責(zé)任”。
行政法規(guī):與已公開征求意見的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》無縫銜接,后者提出“數(shù)據(jù)處理者應(yīng)定期開展風(fēng)險(xiǎn)評估”,本次《意見稿》就是操作細(xì)則。
國家標(biāo)準(zhǔn):評估方法必須同步符合《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》(GB/T 45577)和《數(shù)據(jù)安全評估機(jī)構(gòu)能力要求》(GB/T 45389),確保技術(shù)語言、風(fēng)險(xiǎn)分級、報(bào)告格式全國統(tǒng)一。
監(jiān)管抓手:《意見稿》賦予網(wǎng)信、工信、公安、行業(yè)主管部門“啟動(dòng)強(qiáng)制評估”的權(quán)力,一旦企業(yè)出現(xiàn)重大安全事件或可能危害國家安全、公共利益,將被要求限期“體檢”并自行買單。
三、第三方評估機(jī)構(gòu)的要求
《意見稿》第八條 網(wǎng)絡(luò)數(shù)據(jù)處理者可以自行或者委托第三方評估機(jī)構(gòu)(以下簡稱評估機(jī)構(gòu))開展風(fēng)險(xiǎn)評估。
企業(yè)可以“自評”,但前提是有專門團(tuán)隊(duì)、成熟模型、完整記錄,并承擔(dān)與第三方評估同等的法律責(zé)任。數(shù)據(jù)安全合規(guī)沒有“補(bǔ)考”,一旦違規(guī)成本就是業(yè)務(wù)停擺與高額罰款,更多網(wǎng)絡(luò)數(shù)據(jù)處理者會(huì)選擇委托第三方評估機(jī)構(gòu)。《意見稿》對評估機(jī)構(gòu)提出四項(xiàng)剛性要求:
一是資質(zhì)獲得,明確經(jīng)國務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門依法批準(zhǔn)的具有數(shù)據(jù)安全服務(wù)認(rèn)證資質(zhì)的認(rèn)證機(jī)構(gòu),可按照《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全評估機(jī)構(gòu)能力要求》(GB/T 45389)等有關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對評估機(jī)構(gòu)開展認(rèn)證。
二是工作原則,要求應(yīng)當(dāng)遵守法律法規(guī)、公正客觀地作出風(fēng)險(xiǎn)判斷,并對所出具的風(fēng)險(xiǎn)評估報(bào)告真實(shí)性、有效性、完整性負(fù)責(zé)。
三是報(bào)告責(zé)任,要求評估機(jī)構(gòu)在風(fēng)險(xiǎn)評估過程中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)存在重大數(shù)據(jù)安全風(fēng)險(xiǎn)的,應(yīng)當(dāng)及時(shí)通報(bào)網(wǎng)絡(luò)數(shù)據(jù)處理者,并按照有關(guān)規(guī)定向省級以上網(wǎng)信部門、有關(guān)主管部門報(bào)告。
四是保密責(zé)任,要求評估機(jī)構(gòu)及其工作人員應(yīng)當(dāng)對在風(fēng)險(xiǎn)評估過程中獲得的數(shù)據(jù)、商業(yè)秘密、保密商務(wù)信息等依法予以保密。
目前官方尚未公布首批認(rèn)證名單,但結(jié)合文件要求與行業(yè)現(xiàn)狀,可鎖定原有國家認(rèn)可的第三方信息化項(xiàng)目測評體系“老面孔”。賽辰是提供信息化建設(shè)全生命周期質(zhì)量保障服務(wù)的第三方評估機(jī)構(gòu),具有CNAS(實(shí)驗(yàn)室和檢驗(yàn)機(jī)構(gòu)2個(gè))、CMA、CCRC、信息安全風(fēng)險(xiǎn)評估資質(zhì)證書等證書,熟悉監(jiān)管流程、具備實(shí)驗(yàn)環(huán)境、客戶基礎(chǔ)龐大,提供數(shù)據(jù)安全風(fēng)險(xiǎn)評估服務(wù)。
四、賽辰--數(shù)據(jù)安全風(fēng)險(xiǎn)評估
數(shù)據(jù)安全風(fēng)險(xiǎn)評估是單位數(shù)據(jù)治理體系中的“風(fēng)險(xiǎn)體檢官”,賽辰嚴(yán)格依據(jù) GB/T 45577—2025《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》開展。評估聚焦數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)安全、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等關(guān)鍵環(huán)節(jié),全面覆蓋數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除的全生命周期。
通過數(shù)據(jù)安全風(fēng)險(xiǎn)評估,被評估方能夠系統(tǒng)掌握數(shù)據(jù)安全現(xiàn)狀,精準(zhǔn)發(fā)現(xiàn)潛在 隱患,提升數(shù)據(jù)防攻擊、防泄露、防濫用的能力。評估不僅滿足等保、關(guān)基、審計(jì) 等外部監(jiān)管要求,更為其數(shù)據(jù)治理與安全決策提供堅(jiān)實(shí)依據(jù),助力被評估方實(shí)現(xiàn)數(shù)據(jù)安全的全局掌控、風(fēng)險(xiǎn)可度量、改進(jìn)可持續(xù)。
五、重要數(shù)據(jù)處理者應(yīng)對三步驟
參考立法節(jié)奏,正式稿預(yù)計(jì)2026年上半年發(fā)布,留給網(wǎng)絡(luò)數(shù)據(jù)處理者的時(shí)間只有“認(rèn)證機(jī)構(gòu)落地+完成首次評估”兩個(gè)季度。建議立即啟動(dòng)應(yīng)對三步驟:
1、盤點(diǎn)數(shù)據(jù)資產(chǎn),劃定“重要數(shù)據(jù)”與“核心數(shù)據(jù)”目錄;
2、對照GB/T 45577進(jìn)行差距自查,輸出內(nèi)部風(fēng)險(xiǎn)清單;
3、提前接洽已具備“數(shù)據(jù)安全風(fēng)險(xiǎn)評估”服務(wù)的第三方評估機(jī)構(gòu)--賽辰,鎖定“優(yōu)先認(rèn)證通道”,助力構(gòu)建更安全的網(wǎng)絡(luò)數(shù)據(jù)環(huán)境。
數(shù)據(jù)安全合規(guī)沒有“補(bǔ)考”,一旦違規(guī)成本就是業(yè)務(wù)停擺與高額罰款,手握大量數(shù)據(jù)資產(chǎn)的組織、機(jī)構(gòu)、企事業(yè)單位可提前接洽賽辰,了解“數(shù)據(jù)安全風(fēng)險(xiǎn)評估”服務(wù)。早評估、早整改,應(yīng)對日益嚴(yán)格的數(shù)據(jù)安全要求,才能把“風(fēng)險(xiǎn)”轉(zhuǎn)化為“信任”,在數(shù)字經(jīng)濟(jì)下半場贏得先機(jī)。
手機(jī):13802798690(鄺經(jīng)理)
電話:020-32200125
傳真:020-32200125
郵編:510663
地址:廣州市黃埔區(qū)彩頻路9號501-5、501-6、501-7房
賽辰檢測微信公眾號
在線客服1
400-004-1069