在数字化转型浪潮席卷全球的今天，网络数据已成为驱动经济社会发展的关键生产要素。然而，随着数据跨界流转的加速，数据安全风险也随之激增，给数字经济的健康发展蒙上了一层阴影。为积极响应国家关于加强数据安全能力建设的号召，上海市委网信办携手中国电子技术标准化研究院及上海市信息安全测评认证中，于2023年8月至12月期间，精心组织并成功实施了网络数据安全风险评估试点工作，不仅为数据安全治理树立了新标杆，更以实际行动助力数字经济行稳致远。

截至目前，上海网信部门已对外发布了12个网络数据安全风险评估的优秀案例。这些案例不仅涵盖了金融、医疗、教育、政务等多个关键领域，为业界提供了宝贵的经验借鉴。

一、国家政策持续加码推动风险评估

步入大数据时代，数据已成为驱动经济增长的新石油，但随之而来的数据泄露、滥用、篡改等安全风险如同暗流涌动，威胁着社会经济的健康发展。各行业面临的数据安全挑战日益严峻，使得开展高效、精准的数据安全风险评估显得尤为紧迫和必要，它不仅是合规的基石，更是维护国家安全和社会稳定的关键环节。《中华人民共和国数据安全法》（以下简称《数据安全法》）明确提出建立数据安全风险评估机制要求。

当前，我国数据安全评估制度在加紧建设形成中，呈现出国家顶层设计与行业探索同步推进的现状。

在国家标准层面，2023 年 5 月发布了《网络安全标准实践指南——网络数据安全风险评估实施指引》（以下简称《指引》），以《指引》为底本的国家标准《信息安全技术 数据安全风险评估方法》 目前也处于报批阶段，待正式发布。

在行业探索方面，工业和信息化部于 2022 年 12 月印发了《工业和信息化领域数据安全管理办法（试行）》，明确工业和信息化部指导、鼓励具备相应资质的机构，依据相关标准开展行业数据安全检测、认证工作；制定行业数据安全评估管理制度，开展评估机构管理工作；制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、出境安全评估等工作。中国通信标准化协会也正在加快组织研究制定工业、电信领域数据安全风险评估规范等行业标准。全国金融标准化技术委员会陆续发布了 JR/T 0223-2021《金融数据安全 数据生命周期安全规范》《金融数据安全 数据安全评估规范（征求意见稿）》等标准。

总之，我国以《数据安全法》为上位法依据，构建了数据安全风险评估制度体系。

二、数据安全仍面临诸多风险

随着数据跨界流转速度的加快，网络攻击、信息泄露等安全事件频发，不仅制约着数字经济的蓬勃生机，更直接威胁到国家安全和社会秩序。

数据安全合规挑战

我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的网络和数据安全法规保障体系，必须确保数据处理活动符合法律法规要求，否则将面临法律制裁和信誉损失。

数据分类分级挑战

数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后，无法有效支撑数据分类分级工作；传统数据分类分级工具在敏感数据的宽度、精度识别率不高；面向海量数据的数据资产分类分级，专业人员数量缺口巨大。

数据流动监测挑战

业务对数据流动性要求日益增加，使得数据流动路径变长，给监测带来困难。

数据泄露和信息安全威胁挑战

在数字经济时代，数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生，企业面临着盗窃、勒索和恶意软件等多种风险。

三、风险评估成为保障数据安全的重要途径

面对日益加剧的数据安全威胁，数据安全风险评估是实施数据安全建设，确保数据安全风险可控的基础工作，评估的结果也是形成数据安全治理策略的重要依据。它不仅能够帮识别潜在威胁，提前布局防御措施，还能优化数据管理流程，提升整体安全态势。

道普信息数据安全风险评估专家表示，借助专业的第三方评估服务，基于数据分类分级的风险评估模型，通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面，从组织建设、制度流程、技术工具、人员能力4个维度，对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估，发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。

评估准备

数据安全风险评估准备的内容，主要包括：评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。

风险识别

主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。

风险分析

通过采取适当的方法与工具，可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度，从而得到数据安全风险值。

风险评价

企业在执行完数据安全风险分析后，通过风险值计算方法，会得到风险值的分布状况，对风险等级进行划分，一般会划分为：高、中、低三个等级。依据风险评价中风险值的等级，明确风险评估结果内容。

上海网络数据安全风险评估的优秀案例不仅为各类机构提供了可操作、可复制的安全管理模板，更为我国数据安全能力建设贡献了宝贵的本土经验。展望未来，我们应以此为契机，深化数据安全意识，推动建立更加完善、高效的数据安全风险评估机制，不断提升数据安全防护能力与水平，共同守护数字世界的安宁与繁荣。在数据的海洋里，让我们携手并进，为数字经济的可持续发展保驾护航。