数字经济时代，数据作为重要的新型生产要素，在不断流通的过程中，充分释放数据价值的同时，也面临着诸多安全风险与挑战，数据安全风险评估是做好数据安全建设的重要一环。近日，工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》（以下简称《实施细则》），进一步明确了工信数据安全评估制度的重要概念和机制，标志着工信领域数据安全风险评估制度距离真正实施又进一步。

1、评估谁：评估对象和范围

评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动（第二条）。

评估要素为数据处理活动的目的和方式、管理体系、技术工具、人员能力、风险影响等，并按照以上要素细化了具体评估内容，包括：

2、谁监管：主管部门和管理机制

由工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用。

地方行业监管部门，包括省级工信主管部门、省级通信局和无线电管理机构，依据职责分别负责监管本地区工业、电信、无线电领域的重要数据和核心数据处理者开展风险相关评估工作。

3、谁评估：评估实施机构

一是对数据处理活动的评估。即数据处理者自行或委托第三方机构，对其相关数据处理活动进行风险评估，评估频次为每年一次，评估报告应于评估完成后的10日内，向行业监管部门报送或更新。
二是监督检查评估。特指第三方评估机构受行业监管部门委托，协助行业监管部门履行其风险评估监管职责。

工业和信息化领域数据面临诸多风险

在大数据时代，数据泄漏、数据滥用、数据篡改等各类安全风险的存在，让政府单位和企业在数据安全风险评估方面变得紧迫和必要。道普信息数据安全风险评估专家指出，如何精准识别基于数据自身的风险，成为数据安全治理与防护的前提条件。

1.数据合规安全风险

网络安全责任制、等级保护、关基保护、密码应用、个人信息保护等各监管要求对运营单位的数据安全提出了更高要求，在满足时一些运营单位存在着技术方法和管理措施不聚焦、等保密码关保等合规验证工作重复、无法形成动态管理机制等风险。

2.数据泄露和信息安全威胁风险

黑客入侵和网络攻击频繁发生，企业面临着盗窃、勒索和恶意软件等多种风险。

3.数据出境安全风险

数据出境的风险重点来源于数据出境的合规类风险。

4.数据分类分级风险

海量、分布广泛、 结构各异的数据给单位对自身数据资产的梳理造成了困难，而建立在数据资产梳理基础之上的分类分级工作的实施则更无从谈起。

5.数据流动监测风险

业务对数据流动性要求日益增加，使得数据流动路径变长，给监测带来困难。

6.数据方向性风险

数据建设方向不明确，缺乏规划和治理。

第三方评估成为进行风险评估的重要途径

面对日益加剧的数据安全威胁，数据安全风险评估是实施数据安全建设，确保数据安全风险可控的基础工作，评估的结果也是形成数据安全治理策略的重要依据。

《实施细则》第七条明确：数据安全风险评估方式包括两种，一是自评估；二是委托第三方评估。而从实践情况来看，因受专业技术能力、对法规标准理解、人员队伍素质等方面因素的影响，第三方评估实际上往往会成为评估工作的主要承担者。

道普信息数据安全风险评估专家表示，借助专业的第三方评估服务，基于数据分类分级的风险评估模型，通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面，从组织建设、制度流程、技术工具、人员能力4个维度，对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估，发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。

评估准备

数据安全风险评估准备的内容，主要包括：评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。

风险识别

主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。

风险分析

通过采取适当的方法与工具，可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度，从而得到数据安全风险值。

风险评价

企业在执行完数据安全风险分析后，通过风险值计算方法，会得到风险值的分布状况，对风险等级进行划分，一般会划分为：高、中、低三个等级。依据风险评价中风险值的等级，明确风险评估结果内容。

数据安全风险评估作为数据安全建设的基础和前提，在发现数据安全威胁和风险方面意义重大。道普信息数据安全风险评估专家强调，借助专业的第三方评估实施数据安全风险评估，提供有价值的数据安全整改建议和提升举措，全面、有效保障数据的安全性，促进数据开发利用，保护个人、组织的合法权益，推进数字经济做强做优做大，维护国家安全和发展利益。