近日,国家互联网信息办公室、工业和信息化部、公安部联合发布第24号令,正式公布《网络数据安全(885942)风险评估办法》(以下简称《办法》),自2026年8月20日起施行。作为我国网络数据安全(885942)领域的重磅制度文件,《办法》全面细化了风险评估的主体责任、实施规范、机构管理与监管要求,将上位法中的原则性要求转化为可落地的执行标准,标志着我国网络数据安全(885942)风险评估正式进入有章可循、有规可依的规范化发展阶段。
一、核心要点解读
《办法》共25条内容,围绕“规范评估活动、保障数据安全(885942)、促进数据利用”的核心目标,构建了覆盖全流程的风险评估制度体系,核心要点可归纳为四大维度:
1
分级定责,明确评估频次要求
按照数据分类分级管理逻辑,《办法》差异化设定评估义务:
强制要求
重要数据处理者应当每年度开展风险评估;数据安全(885942)状态发生重大变化、可能造成不利影响的,需及时开展专项评估。
鼓励引导
一般数据处理者鼓励至少每3年开展一次风险评估。
监管层面
行业主管部门按照“谁管业务、谁管数据安全(885942)”原则定期组织本领域评估,国家层面统筹协调检查计划,避免重复检查,且检查不得向被检查单位收取费用。
2
双轨实施,规范机构从业规则
风险评估可通过自行开展或委托第三方机构两种方式实施:自行评估需指定专人负责;委托评估需以合同等法律文件明确双方权责。
针对第三方评估机构,《办法》划定了明确的从业红线:
鼓励评估机构通过认证提升专业能力。
不得转委托评估业务,对评估报告的真实性、有效性、完整性负责。
同一机构及其关联方不得连续3次以上为同一主体开展年度风险评估。
严格履行保密义务,评估结束后按要求处置相关信息,发现重大风险需及时告知委托方。
3
闭环监管,强化报告管理与核验
重要数据处理者需在年度评估完成后20个工作日内向主管部门报送评估报告,报告至少保存3年。监管部门建立报告共享机制,由国家网信部门汇总并与多部门共享,省级以上相关部门可对报告真实性、准确性开展检查核验。
针对存在较大安全风险、发生重大数据安全(885942)事件等情形的主体,监管部门可要求其委托经认证的机构开展评估,同时明确“同一事件或风险不得重复要求评估”,兼顾监管力度与企业负担。
4
标准引领,兼顾通用与行业特性
《办法》明确风险评估工作参照国家标准GB/T 45577-2025《数据安全(885942)技术 数据安全(885942)风险评估方法》开展,保障评估方法的科学性与统一性,同时规定行业主管部门有专项规定的从其规定,适配金融、能源(850101)、政务等不同行业的数据安全(885942)场景特性。
二、迪普科技全链路解决方案助力企业合规落地
面对《办法》提出的常态化评估要求,迪普科技(300768)依托多年网络数据安全(885942)技术积累与行业安全服务实践经验,以GB/T 45577-2025为核心,打造“工具产品+专业服务(884257)+运营闭环”的一体化风险评估解决方案,覆盖评估准备、资产梳理、风险识别、分析评价、整改落地全流程,帮助企业高效完成合规要求,构建持续化风险管控能力。
01
自动化资产盘点,夯实评估基础
数据资产底数清晰是风险评估的前提。迪普科技(300768)数据分类分级与风险评估系统可对企业全域数据资产进行自动扫描、识别与智能打标,完成数据分类分级工作,输出标准化的数据资产清单、数据处理活动清单与数据流图,精准覆盖重要数据、核心数据、个人信息等重点保护对象,解决“资产不清、底数不明”的评估痛点,为后续风险分析提供精准的数据支撑。
02
全维度风险识别,覆盖全生命周期
围绕《办法》与国标要求的评估维度,迪普科技(300768)通过多产品协同实现全域风险自动识别:
以数据安全(885942)管控平台为核心,覆盖数据收集、存储、传输、使用加工、提供、公开、删除全生命周期(883436),检测各环节的安全防护措施有效性。
搭配API风险监测系统、数据安全(885942)检查工具箱,从身份鉴别、访问控制、数据脱敏、防泄漏、安全审计、备份恢复等技术维度,以及管理制度、组织架构、人员管理、外包合作等管理维度开展全面核查。
同步覆盖个人信息保护合规检查,匹配告知同意、最小必要、主体权利等合规要求,自动生成风险源清单与问题清单,实现风险点无遗漏识别。
03
规范化评估,促进数据高质量利用
迪普科技(300768)数据安全(885942)风险评估服务依据GB/T 45577-2025,服务实施涵盖五大核心阶段:
评估服务覆盖重要数据年度评估、重大变更触发评估、数据出境评估等各业务场景,支持与数据分类分级、密码评估、等保测评等工作协同衔接。针对不同重点行业提供差异化方案,针对一般数据处理者提供轻量化评估方案,直接满足监管报送和核验要求,助力客户构建“识别—分析—整改—验证”的数据安全(885942)治理闭环。
04
闭环化整改运营,实现动态管控
风险评估的最终目标是风险消解。迪普科技(300768)数据安全(885942)运营服务方案将网络数据安全(885942)风险评估与API风险监测系统深度打通,针对业务数据流转每项风险点输出可落地的整改建议,结合持续API风险监测能力持续跟踪整改进度,形成“评估-识别-整改-复盘”的完整闭环。
针对数据资产、业务场景、安全环境发生重大变化的场景,方案支持快速触发专项评估,满足《办法》动态评估要求,帮助企业将网络数据安全(885942)风险评估从“年度一次性工作”转化为常态化运营能力。
05
行业化定制适配,满足多元需求
针对运营商、金融、电力能源(850101)等数据安全(885942)强监管行业,迪普科技(300768)可结合行业数据安全(885942)专项监管检查要求,提供定制化的网络数据安全(885942)评估服务与解决方案适配。专业安全咨询服务团队具备丰富的行业化数据安全(885942)风险评估与迎检经验,可协助企业搭建自评估体系、配合第三方机构开展评估,也可支撑行业专项评估工作落地,兼顾通用合规要求与行业特性需求。
《网络数据安全(885942)风险评估办法》的落地实施,将推动全行业数据安全(885942)治理从“被动整改”向“主动预防”转型,风险评估也将成为各单位数据安全(885942)管理的常态化动作。
作为国内领先的网络安全(885459)与数据安全(885942)厂商,迪普科技(300768)将持续紧跟政策导向,深耕技术创新,不断完善数据安全(885942)风险评估相关产品与服务体系,助力各行业企业压实数据安全(885942)主体责任,构建体系化、常态化的数据安全(885942)防护能力,在保障数据安全(885942)的前提下充分释放数据要素(886041)价值,为数字经济(885976)高质量发展筑牢安全屏障。
