數(shù)據(jù)要素是數(shù)字經(jīng)濟的核心生產(chǎn)要素，數(shù)據(jù)安全是事關(guān)國家安全和經(jīng)濟社會發(fā)展的重大問題。近年來，我國數(shù)據(jù)安全保障體系建設(shè)穩(wěn)步推進，但隨著數(shù)據(jù)規(guī)模不斷擴大、數(shù)據(jù)價值不斷提高、數(shù)據(jù)應(yīng)用場景和參與主體日益多樣化、數(shù)據(jù)安全的外延不斷擴展，數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)偽造和隱私保護等風(fēng)險也與日俱增。如何有效防范數(shù)據(jù)安全風(fēng)險與事件，是全球數(shù)字經(jīng)濟發(fā)展下的重點問題。

《數(shù)據(jù)安全法》（2021年9月1日實施）

第二十二條　國家建立集中統(tǒng)一、*權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。

第三十條　重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等。

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（工信部 2022年12月8日發(fā)布）

第三十一條  工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度，開展評估機構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范，指導(dǎo)評估機構(gòu)開展數(shù)據(jù)安全風(fēng)險評估、出境安全評估等工作。

地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全評估工作。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機構(gòu)，每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險評估，及時整改風(fēng)險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風(fēng)險評估報告。

第六十六條 （風(fēng)險評估與審計）

銀行保險機構(gòu)應(yīng)當(dāng)每年開展一次數(shù)據(jù)安全風(fēng)險評估?！?.

網(wǎng)絡(luò)安全等級保護測評是滿足《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條“國家實行網(wǎng)絡(luò)安全等級保護制度”的要求；

商用密碼應(yīng)用安全性評估是滿足《中華人民共和國密碼法》第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”的要求；

數(shù)據(jù)安全風(fēng)險評估是滿足《中華人民共和國數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等”的要求。

網(wǎng)絡(luò)安全等級保護測評和商用密碼應(yīng)用安全性評估針對已定級的等級保護對象開展，等級保護對象的范圍包括“應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件”，根據(jù)國家標(biāo)準(zhǔn)分別對等級保護對象的安全防護現(xiàn)狀、密碼技術(shù)應(yīng)用情況開展測評。

數(shù)據(jù)安全風(fēng)險評估圍繞數(shù)據(jù)和數(shù)據(jù)處理活動開展，可以是單位的全部數(shù)據(jù)，也可以選取重點等級保護對象開展。數(shù)據(jù)處理活動包括已經(jīng)開展的數(shù)據(jù)處理活動，如數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用等，也可以針對即將開展的數(shù)據(jù)處理活動進行評估，綜合評價即將開展的數(shù)據(jù)處理活動是否滿足合規(guī)要求和安全防護要求，如數(shù)據(jù)共享、數(shù)據(jù)交易、數(shù)據(jù)出境等。

網(wǎng)絡(luò)安全等級保護測評，對等級保護對象開展測評，圍繞等級保護對象可能遭受的安全風(fēng)險開展，遭受的風(fēng)險包括惡意攻擊、軟硬件故障和管理不到位等安全風(fēng)險。

商用密碼應(yīng)用安全性評估，對等級保護對象開展測評，主要圍繞密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等棄用、錯用、誤用等風(fēng)險。

數(shù)據(jù)安全風(fēng)險評估，對數(shù)據(jù)流動過程和數(shù)據(jù)處理過程的風(fēng)險進行評估，數(shù)據(jù)遭受的風(fēng)險包括數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險，還關(guān)注數(shù)據(jù)處理活動的合規(guī)性，對違法違規(guī)獲取數(shù)據(jù)、違法違規(guī)出售數(shù)據(jù)、違法違規(guī)購買數(shù)據(jù)、違法違規(guī)出境數(shù)據(jù)等數(shù)據(jù)合規(guī)性風(fēng)險進行評估。