企业动态

    近日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），标志着我国在网络数据安全制度体系建设方面又迈出关键一步。

    奇安信数据安全专家认为，《办法》的出台不仅是对《网络安全法》《数据安全法》《个人信息保护法》的细化落地，更是为数字经济时代的数据安全风险“把脉问诊”提供了系统性“评估标尺”和操作指南，对于加强国家网络数据安全能力建设具有重要意义。

    从“原则要求”到“操作落地”，加速推动全链条管理

    当前，数字经济蓬勃发展，数据已成为核心生产要素，但数据安全风险也随之加剧。一方面，数据依赖度提升带来系统性风险，数据泄露、篡改、滥用等事件频发，不仅威胁个人合法权益，更可能危害国家安全与公共利益；另一方面，我国虽已构建以《网络安全法》《数据安全法》《个人信息保护法》为核心的法律框架，但原则性规定需配套细则落地，以解决实践中“如何评、谁来评、评什么”的具体问题。

    在此背景下，《办法》应运而生。它既是对《数据安全法》《网络数据安全管理条例》中“建立数据安全风险评估机制”要求的细化，也是响应《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中“加强网络、数据等新兴领域国家安全能力建设”战略的具体举措，旨在通过规范化的风险评估，实现数据安全与利用的平衡。

    奇安信数据安全专家认为，《办法》以“底线思维、系统思维、平衡思维、创新思维”为核心，通过制度、机制和方法三重创新，构建了覆盖“主管部门-数据处理者-第三方机构”的全链条管理体系，以及"权责清晰、运行规范、多方参与、技术赋能"的现代化数据安全治理体系，既守护国家安全底线，又为数据创新应用留出空间，实现安全与发展相辅相成、良性互动，促进数据要素安全有序流动和高效利用。核心亮点可概括为以下四点：

    01

    首先是明确各主体责任，构建“三位一体”安全责任网。

    《办法》明确了“谁管业务、谁管业务数据、谁管数据安全”的原则，明确责任边界，形成权责一致的管理闭环，构建“三位一体”安全责任网。

    对于主管部门：

    清晰划分国家网信部门、行业主管部门、地方网信部门的监管职责，国家网信部门统筹协调，避免重复评估与检查；

    行业主管部门按年度报送评估计划，开展行业内检查；

    省级网信部门制定区域计划，形成“国家-行业-地方”三级联动进行计划管控；

    省级以上网信部门和有关部门负责抽查核验评估报告真实性，发现风险责令整改，对拒不整改者可要求"停止处理重要数据"，形成强有力震慑。最终打造出“统筹协调-计划管控-监督核验-处置”的管理闭环。

    对于网络数据处理者：

    《办法》明确了评估的组织方式和具体内容，明确评估需依据《数据安全技术数据安全风险评估方法》（GB/T45577）等国家标准，从“风险识别、风险分析、风险评价”三个环节规范评估流程。对于重要数据处理者必须每年开展评估，重要数据状态重大变化时需“立即评估”；一般数据处理者则“鼓励每3年评估一次”，既压实关键主体责任，又避免过度增加企业负担。评估报告需按模板编制并至少保存3年，重要数据处理者需在评估完成后10个工作日内报送报告，主管部门不明确时可向省级或国家网信部门报送，形成“评估-报告-核验-整改”的闭环管理。

    对于第三方评估机构：

    需通过GB/T45389-2025资质认证，遵守“不得连续3次评估同一主体”“保密义务”等规定，确保评估的专业性与公正客观。

    02

    其次是衔接多制度体系、构建协同治理格局。

    《办法》将风险评估置于国家数据安全治理体系全局考量，构建起"制度互补、流程衔接、多方联动"的立体化治理格局。

    《办法》并非孤立存在，而是与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等制度形成互补联动的有机整体。数据安全风险评估作为核心依据，为其他合规工作提供风险导向，而等保测评则为评估提供基础安全能力校验，构建“技术+管理+合规”的立体化防护体系。制度间评估内容重合部分可互相采信，避免企业重复投入，减轻企业负担，提高治理效能。、

    03

    第三是“全周期+多要素”，打造“闭环式”立体风险防控。

    《办法》将评估嵌入数据全生命周期，覆盖数据“收集-存储-使用-加工-传输-提供-公开-删除”的全流程完整闭环评估链，并涵盖管理、制度、人员、技术等维度，实现"全生命周期贯穿+多要素整合"的立体化评估，确保风险无死角。

    04

    第四是构建内外结合，多元共治的治理新模式。

    《办法》建立了“内部自控+外部监管”双重保障机制：内部要求数据处理者建立自我评估机制，指定专人负责，完善内控体系；外部则由监管部门抽查核验+社会举报监督，形成“双保险”，通过外部监管发现问题倒逼内部管控优化，内部自控结果为外部监管提供参考，形成良性互动。

    此外，《办法》明确评估机构发现重大风险时需“双报告”：既通报数据处理者，又上报省级以上网信部门，实现风险快速处置，实现风险预警-评估-整改-复查的闭环管理机制，并通过监管部门主导→专业机构支撑→企业主体落实→社会监督→行业自律，构建政府、企业、社会、专家共同参与的多元治理格局。

    为数据安全治理注入新动能，积极意义深远

    《办法》的出台将为数据安全领域带来多维度积极影响，推动行业从“被动应对”向“主动防控”转型：

    首先是完善数据安全治理体系，提升国家数据安全能力。

    《办法》填补了数据安全风险评估的操作细则空白，将“法律-行政法规-部门规章-国家标准”四位一体的制度框架落到实处。通过明确评估标准与流程，统一行业评估尺度，解决以往“评估水平不齐、结果难互认”的问题，助力国家掌握数据安全风险底数，为制定精准的安全策略提供依据，筑牢国家数据安全防线。

    其次是降低企业合规成本，提升数据利用效率。

    一方面，《办法》通过与其他安全制度“结果互认”，避免“多头评估、重复评估”问题，规定合理评估周期、且要求监管抽查不得收费等多项措施减少企业合规负担。另一方面，《办法》引导企业定期排查风险，提前发现数据处理中的安全风险，避免因安全事件导致的经济损失与声誉损害，为数据依合理利用扫清障碍，实现安全与发展相辅相成、良性互动，促进数据要素安全有序流动和高效利用。

    最后是推动数据安全产业发展，催生专业服务需求。

    《办法》对第三方评估机构的资质、责任、流程提出明确要求，将加速行业“良币驱逐劣币”，推动评估机构向专业化、规范化发展。同时，数据处理者（尤其是中小企业）为满足评估要求，将更多寻求专业安全服务商的支持，催生数据安全评估、咨询、整改等服务需求，带动产业技术创新与服务能力提升。

    奇安信：以体系化、场景化数据安全服务满足客户需求

    针对《办法》的发布，奇安信建议广大政企客户应积极推动主动合规，构建数据安全全生命周期风险防控体系。包括分级分类梳理数据，明确评估优先级；建立内部评估机制，配合外部监督，内外双向形成合力；同时以评估为抓手，补齐安全短板。

    面对未来快速增长的数据安全治理、风险与合规需求，奇安信推出数据安全治理、数据安全评估、个人信息保护评估等多项数据安全与隐私保护咨询服务，通过先进的技术实力、完善的服务体系和严格的管理流程为客户提供专业的数据安全服务。同时，可以基于客户实际需求灵活定制相应的服务包，充分满足当前政企数据安全监管合规及内部数据安全管理和建设需要。

    凭借在数据安全服务领域的组织人员能力、技术实力及流程管理等方面的综合实力，奇安信成为国内首批获得数据安全服务一级资质的企业。奇安信数据安全服务团队构成全面，拥有咨询规划专家、行业研究专家、法律法规和标准研究专家，以及数据安全专业治理和实施服务人员。团队大多数成员在数据安全领域从业超8年，并持有CISP-DSG、CISSP、CDSP、DSMM测评师等数据安全专业资格认证，能有效满足企业多样化的数据安全需求。

    奇安信在安全服务市场持续领跑多年，凭借包含数据安全服务在内的全面深入安全咨询服务，自2020年起连续六年稳居IDC《中国安全服务市场跟踪报告》市场榜首。