《网络数据安全风险评估办法》落地在即——核心要点与中孚信息闭环评估方案

政策篇

办法出台背景与意义

数据已成为关键生产要素，但泄露、滥用等安全事件频发，风险评估长期缺乏专门的操作性规范。在此背景下，国家网信办于2025年12月公开征求意见，2026年6月18日会同工信部、公安部正式发布《网络数据安全风险评估办法》，自8月20日起施行，标志着我国网络数据安全风险评估工作从原则性要求迈向制度化、规范化、常态化的新阶段，为数据处理者开展风险评估、监管部门实施监督检查提供了明确依据，也为数据安全服务产业创造了广阔的市场空间。

解读篇

办法核心框架与要点

《网络数据安全风险评估办法》共二十五条，围绕“谁来评、评什么、怎么评、怎么管”四个核心问题，构建了完整的制度框架。

（一）适用范围与定义

本办法适用于在中华人民共和国境内开展的网络数据安全风险评估活动。风险评估被界定为对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动，覆盖数据处理的全生命周期。

（二）工作机制

在国家数据安全工作协调机制指导下，国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制，负责指导、监督风险评估工作。有关主管部门按照“谁管业务、谁管业务数据、谁管数据安全”的原则，定期组织开展本行业、本领域风险评估。

（三）评估义务主体与频次

重要数据处理者应当每年度开展风险评估；重要数据安全状态发生重大变化的，应当及时对变化部分开展风险评估。鼓励一般数据处理者至少每3年开展一次风险评估。

（四）评估方式与机构管理

网络数据处理者可自行或委托第三方评估机构开展风险评估。评估机构开展评估应遵守法律法规，公正客观作出判断，对报告真实性、有效性、完整性负责。同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。

（五）报告编制与报送

重要数据处理者开展年度风险评估，应依法按照有关主管部门规定编制报告；没有规定的，参照数据安全风险评估有关国家标准编制。报告至少保存3年。重要数据处理者应在年度风险评估完成后20个工作日内报送风险评估报告。

（六）监督检查与法律责任

省级以上网信部门、电信主管部门、公安机关、国家安全机关等有关部门可对风险评估报告真实性、准确性进行检查核验。未按规定开展风险评估的，依据《数据安全法》《网络数据安全管理条例》处理。

实践篇

中孚数据安全风险评估闭环方案

依据GB/T31509-2015、GB/T45577-2025等国家标准，中孚信息自主研发了基于人工智能算法和大语言模型的安全风险评估系统。该系统可自动识别资产与重要数据、智能分析风险点，并依托任务调研、方案编制、现场评估、安全问题分析、报告编制五个步骤开展数据安全风险评估，最终生成规范专业的风险评估报告。

中孚数据安全风险评估系统

01

任务调研

按照国家标准，对数据处理者基本信息、管理体系、业务与信息系统、数据全生命周期处理活动、应用场景及已有安全措施进行全面调研。

02

方案编制

明确评估范围、组建专业团队、根据调研信息自动制订计划与方案，为风险评估奠定组织与实施基础。

03

现场评估

依据国家标准，围绕数据安全管理、数据处理活动、个人信息保护、数据安全技术四大领域31个维度开展风险识别。

04

安全问题分析

基于资产保密性、完整性、可用性赋值及业务场景分析，识别用户差距、安全问题、漏洞扫描问题，结合上次测评问题进行风险识别，将数据安全风险划分为五级严重等级。

05

报告编制

汇总安全问题及风险处置建议，基于预置模板和大语言模型自动生成规范专业的风险评估报告，提出可操作的整改措施。

自动化评估工具利用人工智能算法，自动识别并标识个人隐私、商业秘密、工作秘密、国家秘密等敏感数据，并基于内容分析实现智能分类分级，辅助评估人员快速盘点数据资产、核查脱敏加密状态、扫描资产漏洞及进行安全基线检查。

预置数据安全评估的评估要求、作业指导书、风险知识库保障评估内容全面、方法可落地、结果精准高效。

"

成功案例

中孚信息在2024年、2025年连续两年支撑相关主管部门在医疗卫生、互联网电商、智能驾驶、芯片等行业内选取重点单位开展数据安全风险评估，发现平均每家单位存在30%不符合项，形成医疗卫生、电商等4个行业分析报告、各单位的数据安全风险评估报告及多份渗透测试报告。评估结果为后续开展资产梳理与分类分级、加强加密防护措施等提供了基础依据，持续提升数据安全防护能力，实现“评估-整改-防护”的闭环管理。