2025年9月国家网信办发布了10个网络安全、数据安全、个人信息保护相关执法典型案例，由此可见，数据安全风险评估已从“可选项”变成“生存线”。

一句话：不做数据安全风险评估，等来的不是“提醒函”，而是“千万罚单+业务停摆”。

什么是数据安全风险评估？

数据安全风险评估是单位数据治理体系中的“风险体检官”，严格依据 GB/T 45577—2025《数据安全技术 数据安全风险评估方法》 开展。评估聚焦数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等关键环节，全面覆盖数据收集、存储、使用、加工、传输、提供、公开、删除的全生命周期。

赛辰具有CNAS/CMA/CCRC、信息安全风险评估等资质证书，可提供第三方数据安全风险评估服务。通过数据安全风险评估，被评估方能够系统掌握数据安全现状，精准发现潜在隐患，提升数据防攻击、防泄露、防滥用的能力。评估不仅满足等保、关基、审计 等外部监管要求，更为其数据治理与安全决策提供坚实依据，助力被评估方实现数据安全的全局掌控、风险可度量、改进可持续。

数据安全风险评估的政策要求

我国已把“数据安全风险评估”写进法律、行政法规和 几十部行业规章，形成“通用国标 + 行业细则”双轨机制。

一、法律层“三驾马车”

《数据安全法》（2021）

第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

首次以法律形式明确“重要数据处理者应当定期开展数据安全风险评估”，并“向主管部门报送评估报告”。该条款奠定了评估工作的强制性渊源，也是 GB/T 45577—2025 落地的依据。

《个人信息保护法》（2021）

第五十六条　个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第 55、56 条要求“处理个人信息达到国家网信部门规定数量的主体”必须进行事前风险评估并留存记录；对敏感个人信息、自动化决策、跨境提供等场景提出更高要求，与标准第 8.6 章“个人信息保护风险识别”一一对应。

《网络安全法》（2017）

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改....

第 21、38 条把“风险检测评估”纳入等级保护制度和关键信息基础设施安全保护义务，为关基行业开展评估提供了衔接点。

二、行政法规与部门规章

《工业和信息化领域数据安全风险评估实施细则（试行）》工信部网安〔2024〕82号

第六条 重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

中华人民共和国国务院令?第790号《网络数据安全管理条例》

第三十三条  重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告，有关主管部门应当及时通报同级网信部门、公安机关。

国家互联网信息办公室令 第11号《数据出境安全评估办法》

第三条  数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。

明确“风险自评估+安全评估”两步走，自评估报告与申报材料一并提交省级网信部门，未通过安全评估不得出境。该办法与 GB/T 45577—2025 附录 A.2.5“数据提供安全”评估项相似。

国家互联网信息办公室令第13号《个人信息出境标准合同办法》（网信办 2023）

第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。

对“非关基且未达百万量级”的个人信息出境场景，以“标准合同+备案”方式替代安全评估，但很多省市要求备案材料仍需附“风险评估报告”，评估逻辑与国标保持一致。

中华人民共和国国务院令 第745号《关键信息基础设施安全保护条例》

第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

要求关基运营者每年至少组织 1 次“数据安全专项检测”，检测结论纳入等级保护测评报告；检测内容引用 GB/T 45577—2025 附录 A.3 全部技术条款。

中国人民银行令〔2025〕第3号《中国人民银行业务领域数据安全管理办法》

第四十二条  重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。除法律、行政法规已明确应当评估的内容外，风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况，与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况，以及中国人民银行要求的其他评估内容。

三、各行业细则

国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》

第二十一条 各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范，涉及的管理制度每年至少修订一次，建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估，及时掌握数据安全状态。加强数据安全教育培训，组织安全意识教育和数据安全管理制度宣传培训。

交通运输部《交通运输数据安全风险评估指南》（JT/T 1547—2025）

为贯彻落实国家数据安全有关要求，指导交通运输行业开展数据安全风险评估工作，交通运输部组织相关单位开展了行业标准《交通运输数据安全风险评估指南》的制定工作，适用于交通运输行业数据处理者和第三方评估机构开展数据安全风险评估工作，以及行业管理部门开展数据安全检查。

上海《青浦区卫生健康行业数据安全管理实施细则（试行）》（青卫健信息〔2025〕2 号）

第十二条  （风险评估）本区医疗卫生机构应对本单位实施的卫生健康数据处理活动每年定期开展风险评估，并向区卫生健康委报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展卫生健康数据处理活动的情况，面临的数据安全风险及其应对措施等。

陕西省教育厅关于印发《陕西省教育数据管理办法》的通知 陕教规范〔2021〕5号

第三十六条  各级各类教育单位应当制定数据分级分类安全保护、风险评估、日常监控等管理制度，健全数据共享和开放的安全审查机制，定期组织开展安全测评和风险评估，确保数据的真实性、保密性、完整性、可用性，保障数据安全。

《深圳经济特区数据条例》

第七十九条  市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构，按照法律、法规规定和相关标准要求，对数据处理者开展数据安全管理认证以及数据安全评估工作，并对其进行安全等级评定。

深圳《深圳市卫生健康委员会关于印发深圳市卫生健康数据管理办法的通知》深卫健规〔2023〕3号

第四十三条 责任单位应当严格落实数据安全主体责任，制定数据安全管理制度和数据安全应急预案，定期开展数据安全测评、风险评估和应急演练，保障卫生健康数据安全。

四、国家标准与行业规范

GB/T 45577—2025《数据安全技术 数据安全风险评估方法》

统一了评估流程、风险等级矩阵、报告模板、工具集，成为各部门执法、企业自评、第三方机构服务的“通用语言”。

GB/T 43697—2024《数据分类分级指南》

与 45577 配套使用，解决“数据级别—风险危害程度—处置措施”映射问题。

GB/T 35273—2020《个人信息安全技术规范》

对评估中“个人信息保护”环节提供细化控制点。

单位只要同时满足“重要数据”“百万量级个人信息”“关基运营者”“数据出境”任一标签，就必须把 GB/T 45577—2025 评估流程嵌入自身 GRC（治理、风险与合规）体系，并建立“年度例行评估 + 场景触发式专项评估 + 重大变更即时评估”的长效机制。只有把评估结果真正转化为风险处置、预算投入、绩效考核和董事会汇报的闭环管理，才能实现“风险可度量、改进可持续、合规可预期”的目标，在日益趋严的监管环境下赢得业务发展的主动权。

结语：

数据安全风险评估已从“推荐性最佳实践”升级为“法定刚性义务”，从“可选项”变成“生存线”。找具有CNAS/CMA/CCRR/信息安全风险评估资质的第三方检测机构（如：赛辰）进行数据安全风险评估是明智的选择！

数据安全风险评估介绍