中文在线а天堂中文在线新版,国产免费天天看高清影视在线 ,国产国语亲子伦亲子

當前位置：首頁 > 政策法規(guī) > 政策解讀

專家解讀｜實施網(wǎng)絡(luò)數(shù)據(jù)安全風險評估辦法加強國家網(wǎng)絡(luò)數(shù)據(jù)安全能力建設(shè)

來源：中國網(wǎng)信網(wǎng) 2025-12-07 16:20

字號減小字號增大

《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十五個五年規(guī)劃的建議》明確要求，加強網(wǎng)絡(luò)、數(shù)據(jù)等新興領(lǐng)域國家安全能力建設(shè)。近日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全風險評估辦法（征求意見稿）》（以下簡稱《辦法》），標志著我國在網(wǎng)絡(luò)數(shù)據(jù)安全制度體系建設(shè)方面又邁出重要一步，對于加強國家網(wǎng)絡(luò)數(shù)據(jù)安全能力建設(shè)具有重要意義。

一、《辦法》是以底線思維保障國家數(shù)據(jù)安全的重要舉措

當前，數(shù)據(jù)依賴度提升帶來的系統(tǒng)性風險加劇，國家數(shù)據(jù)安全底線面臨更為復雜的考驗。底線思維的核心要求是“防患于未然”?！掇k法》明確了安全評估的主管部門、數(shù)據(jù)處理者、第三方機構(gòu)的各自責任，確保守牢國家數(shù)據(jù)安全底線。

關(guān)于主管部門的責任。明確了“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則。一是加強統(tǒng)籌協(xié)調(diào)，明確國家網(wǎng)信部門在國家數(shù)據(jù)安全工作機制指導下，統(tǒng)籌開展風險評估，避免重復評估、重復檢查。二是報送工作計劃，要求各有關(guān)主管部門定期組織本行業(yè)、本領(lǐng)域的風險評估，并于每年1月底前向國家網(wǎng)信部門報送年度計劃。三是報告抽查核驗，明確省級以上網(wǎng)信部門和有關(guān)部門可對網(wǎng)絡(luò)數(shù)據(jù)處理者的評估報告真實性、準確性進行抽查核驗。四是開展指定評估，明確省級以上網(wǎng)信部門和有關(guān)部門在風險評估報告核驗、監(jiān)督等工作中發(fā)現(xiàn)存在較大安全風險等情形時，應當要求其委托通過認證的評估機構(gòu)開展風險評估。五是提出整改和停止處理，要求有關(guān)部門在組織風險評估工作中發(fā)現(xiàn)存在可能危害國家安全、公共利益的網(wǎng)絡(luò)處理活動，應當責令整改；對整改不到位、拒不整改的網(wǎng)絡(luò)數(shù)據(jù)處理者，可以采取要求其停止處理重要數(shù)據(jù)等措施。六是加強信息共享和協(xié)同處置，要求各地區(qū)、各部門應當加強風險信息共享和協(xié)同處置，及時處置發(fā)現(xiàn)的風險和問題，并按照有關(guān)規(guī)定及時報告。

關(guān)于網(wǎng)絡(luò)數(shù)據(jù)處理者的責任。一是評估的組織方式，明確網(wǎng)絡(luò)數(shù)據(jù)處理者可以自行或者委托第三方評估機構(gòu)開展風險評估。二是評估的具體內(nèi)容，要求風險評估工作應當按照有關(guān)法律法規(guī)要求和國家標準開展，另有規(guī)定的從其規(guī)定。三是評估的時間周期，要求處理重要數(shù)據(jù)處理者應當每年度開展風險評估，重要數(shù)據(jù)狀態(tài)發(fā)生重大變化或者對數(shù)據(jù)安全造成不利影響，應當及時開展，并鼓勵一般數(shù)據(jù)處理者至少每三年開展一次。四是評估報告的撰寫，要求應當按照《辦法》提供的模板編制評估報告，另有規(guī)定的從其規(guī)定。五是評估報告的報送，要求在年度風險評估完成后的10個工作日內(nèi)按照有關(guān)部門要求報送。報送部門不明確的，向省級網(wǎng)信部門或者國家網(wǎng)信部門報送。六是配合指定評估，要求網(wǎng)絡(luò)數(shù)據(jù)處理者按照要求委托評估機構(gòu)評估的，應當履行為評估機構(gòu)提供必要支持等各項義務(wù)。

關(guān)于第三方評估機構(gòu)的責任。一是資質(zhì)獲得，明確經(jīng)國務(wù)院認證認可監(jiān)督管理部門依法批準的具有數(shù)據(jù)安全服務(wù)認證資質(zhì)的認證機構(gòu)，可按照《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全評估機構(gòu)能力要求》（GB/T 45389）等有關(guān)國家標準、行業(yè)標準對評估機構(gòu)開展認證。二是工作原則，要求應當遵守法律法規(guī)、公正客觀地作出風險判斷，并對所出具的風險評估報告真實性、有效性、完整性負責。三是報告責任，要求評估機構(gòu)在風險評估過程中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理活動存在重大數(shù)據(jù)安全風險的，應當及時通報網(wǎng)絡(luò)數(shù)據(jù)處理者，并按照有關(guān)規(guī)定向省級以上網(wǎng)信部門、有關(guān)主管部門報告。四是保密責任，要求評估機構(gòu)及其工作人員應當對在風險評估過程中獲得的數(shù)據(jù)、商業(yè)秘密、保密商務(wù)信息等依法予以保密。

二、《辦法》是以系統(tǒng)思維助力數(shù)據(jù)安全合規(guī)的關(guān)鍵環(huán)節(jié)

網(wǎng)絡(luò)數(shù)據(jù)安全風險評估與網(wǎng)絡(luò)安全等級保護測評、數(shù)據(jù)安全管理認證、個人信息保護合規(guī)審計、商用密碼應用安全性評估等，共同構(gòu)成了網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)的制度體系?！掇k法》制定中充分考慮了這些制度的內(nèi)在邏輯關(guān)系。

一方面，這些制度各司其職、各有側(cè)重。其中，數(shù)據(jù)安全風險評估聚焦風險識別與預判，針對數(shù)據(jù)處理全生命周期開展風險排查，目標是識別數(shù)據(jù)泄露、篡改、濫用等潛在風險，提出管控建議；網(wǎng)絡(luò)安全等級保護測評針對網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)按等級開展安全測評，目標是確保網(wǎng)絡(luò)系統(tǒng)具備符合等級要求的安全防護能力；數(shù)據(jù)安全管理認證聚焦組織管理體系合規(guī)性，由第三方機構(gòu)對組織的數(shù)據(jù)安全管理體系，進行審核認證，目標是驗證組織是否建立了符合國家標準的數(shù)據(jù)安全管理機制并有效運行；個人信息保護合規(guī)審計聚焦個人信息處理合規(guī)性，對個人信息處理活動開展審計，目標是監(jiān)督組織是否遵守個人信息保護相關(guān)法律法規(guī)；商用密碼應用安全性評估聚焦密碼技術(shù)應用合規(guī)性與有效性，針對網(wǎng)絡(luò)與信息系統(tǒng)中商用密碼的應用開展評估，目標是驗證密碼應用是否符合國家標準、是否能有效保障數(shù)據(jù)機密性、完整性和可用性。

另一方面，這些制度遞進支撐、互補聯(lián)動。其中，數(shù)據(jù)安全風險評估是安全決策的核心依據(jù)，貫穿數(shù)據(jù)處理的全流程，形成的評估結(jié)果可為其他評測提供風險導向；網(wǎng)絡(luò)安全等級保護測評是數(shù)據(jù)安全的基礎(chǔ)前提，是數(shù)據(jù)安全風險評估、數(shù)據(jù)安全管理認證有效實施的基礎(chǔ)；數(shù)據(jù)安全管理認證是風險管控的體系保障，它將風險評估、等保測評的“技術(shù)要求”轉(zhuǎn)化為“管理規(guī)范”，形成長效機制；個人信息是數(shù)據(jù)的重要組成部分，個人信息保護合規(guī)審計對數(shù)據(jù)處理者個人信息合規(guī)情況進行監(jiān)督審計，審計結(jié)果為數(shù)據(jù)安全風險評估等提供個人信息侵權(quán)風險校驗；商用密碼應用安全性評估為其他機制提供加密防護支撐，數(shù)據(jù)安全風險評估中識別的泄露、篡改風險，最終需依托密碼技術(shù)實現(xiàn)防護，在數(shù)據(jù)安全管理認證中，密鑰管理制度、密碼設(shè)備運維流程是管理體系的重要組成部分。

值得注意的是，《辦法》明確，上述制度實施時內(nèi)容重合的，相關(guān)結(jié)果可以互相采信，避免重復評估、審計、認證，這將進一步加強這些制度之間的相互支撐和配合。

三、《辦法》是以創(chuàng)新思維提升數(shù)據(jù)治理能力的重大突破

《辦法》在全面總結(jié)以往網(wǎng)絡(luò)數(shù)據(jù)安全制度建設(shè)經(jīng)驗的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管的行業(yè)特點，圍繞新一輪科技革命和產(chǎn)業(yè)變革給數(shù)據(jù)安全帶來的挑戰(zhàn)，進行了大膽創(chuàng)新。

在制度設(shè)計上，實現(xiàn)授權(quán)用權(quán)制權(quán)相統(tǒng)一。為加強和完善評估過程中權(quán)力配置運行的制約和監(jiān)督機制，《辦法》通過“精準授權(quán)、規(guī)范用權(quán)、有效制權(quán)”的邏輯閉環(huán)，實現(xiàn)三者統(tǒng)一。授權(quán)層面，明確“誰主管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”，明確監(jiān)管權(quán)限。同時，僅授權(quán)具備數(shù)據(jù)安全服務(wù)資質(zhì)的認證機構(gòu)開展認證，確保評估行為“有權(quán)必有責”。用權(quán)層面，規(guī)范評估流程與標準，要求按照《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》有關(guān)要求和《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風險評估方法》（GB/T 45577）有關(guān)國家標準開展，實現(xiàn)“用權(quán)受監(jiān)督”。制權(quán)層面，建立評估結(jié)果應用與責任追溯機制，評估發(fā)現(xiàn)的風險需限期整改，對未按要求評估或整改不到位的主體追責，同時監(jiān)管部門對評估活動全程監(jiān)督，形成“制權(quán)有閉環(huán)”。三者相互支撐，既保障評估權(quán)依法依規(guī)行使，又通過風險管控實現(xiàn)數(shù)據(jù)安全與利用的平衡。

在方式方法上，實現(xiàn)內(nèi)部外部監(jiān)督相結(jié)合。為確保評估過程的公正性、專業(yè)性和合規(guī)性，提升評價結(jié)果的可信度和行業(yè)整體服務(wù)質(zhì)量，《辦法》通過“內(nèi)部自控+外部監(jiān)管”的雙重機制，實現(xiàn)內(nèi)外監(jiān)督相統(tǒng)一。內(nèi)部監(jiān)督層面，要求網(wǎng)絡(luò)數(shù)據(jù)處理者指定專人負責，建立健全內(nèi)部質(zhì)量管控體系，對評估過程和結(jié)果進行自我約束。外部監(jiān)督層面，要求網(wǎng)絡(luò)數(shù)據(jù)處理者按照模板完成評估報告并報送主管部門。監(jiān)管部門依法對評估報告真實性和準確性進行抽查核驗。同時暢通社會監(jiān)督渠道，明確任何組織、個人有權(quán)對風險評估中的違法違規(guī)活動向有關(guān)部門進行投訴舉報。內(nèi)部監(jiān)督聚焦評估過程的細節(jié)規(guī)范，外部監(jiān)督強化整體合規(guī)性把控，且外部監(jiān)管發(fā)現(xiàn)的問題可倒逼評估主體優(yōu)化內(nèi)部管控，內(nèi)部自控結(jié)果也為外部監(jiān)督提供核查依據(jù)。這種雙向聯(lián)動既保障評估行為的規(guī)范性，又提升監(jiān)督效能，筑牢數(shù)據(jù)安全評估的合規(guī)防線。

在目標對象上，實現(xiàn)全周期多要素全覆蓋。為有效應對人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)給數(shù)據(jù)安全帶來的挑戰(zhàn)，《辦法》提供了評估報告模板，通過“全生命周期貫穿+多要素整合”，構(gòu)建全覆蓋的評估體系。全周期層面，辦法將評估嵌入數(shù)據(jù)處理各環(huán)節(jié)，包括數(shù)據(jù)收集階段評估來源合法性與合規(guī)性，存儲階段核查加密措施與容災備份能力，使用和加工階段檢測訪問權(quán)限管控與算法推薦情況，傳輸階段驗證傳輸途徑和方式及節(jié)點，刪除階段檢查清除流程與殘留風險，形成“收集－存儲－使用－加工－傳輸－提供－公開－刪除”的閉環(huán)評估鏈。多要素層面，涵蓋技術(shù)、管理、人員、制度等維度。技術(shù)上評估安全防護有效性，管理上審查制度流程與執(zhí)行情況，人員上核查職務(wù)角色與任務(wù)分工等。這種全周期與多要素的深度融合，實現(xiàn)了數(shù)據(jù)安全風險評估的立體化覆蓋，為數(shù)據(jù)安全保障提供全面支撐。

總之，《辦法》的發(fā)布標志著我國網(wǎng)絡(luò)數(shù)據(jù)安全管理進入系統(tǒng)部署、多方協(xié)同的新階段，對提升數(shù)據(jù)安全治理能力，促進數(shù)據(jù)要素安全有序利用具有重要意義。（作者：王志成，中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任）

微信公眾號

掃碼進入手機版