文章总结： 本文档制定了数据安全评估管理办法，依据法律法规明确责任分工，坚持谁运营谁负责原则。规定每年或在重大变更时开展评估，流程包括准备、实施、总结、整改及报备。要求对重大隐患系统立即采取管控措施，并建立监督检查机制，对未落实整改的单位进行考核问责，以防范数据安全风险。 综合评分： 86 文章分类： 数据安全,安全建设,政策法规,安全运营

数据安全评估管理办法

原创

weyanxy

微言晓意

2026年1月13日 07:01 北京

数据安全评估是数据安全管理的基础，也是数据安全管理的最要组成部分，行之有效的风险评估能够为数据安全改进提供动力和方向。需要制度全文请扫描文末二维码下载。

第一章  总 则

▼▼传制定目的

为加强数据安全管理工作，规范数据资产管理，综合防范数据安全风险、保障国家安全、社会稳定及用户合法权益，保护公司业务健康发展。

*▼▼参考依据*

根据《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》、《信息技术个人信息安全规范》、《工业和信息化部关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知》等法律法规、行业规定要求。

*▼▼工作方针与原则*

坚持“责任明确、授权合理、流程规范、技管结合”的方针，按照“谁主管，谁负责；谁运营，谁负责；谁使用，谁负责；谁接入，谁负责”的原则，兼顾发展与安全，坚持发展与管理并重，严格落实数据安全评估的各项工作。

*▼▼数据安全评估定义*

本管理办法所称安全评估是指对网络与业务运营中可能引发的各类数据安全风险进行分析评估，明确管理要求和技术措施。

第二章  组织体系

▼▼数据安全评估牵头部门

信息安全部负责牵头制定省内数据安全评估制度；负责制定年度数据安全评估计划，开展公司整体数据安全评估，牵头开展分系统数据安全评估；

负责对各单位数据安全评估工作进行指导、监督、检查；负责接口上级单位数据安全评估工作并进行报备。

*▼▼数据安全评估责任/配合单位*

信息技术部、网络部、市场经营部、政企客户部等负责系统运营支撑的部门是数据安全评估工作的评估责任单位；

市场经营部、政企客户部、客户服务部等业务部门同时也是数据安全评估工作的评估配合单位。

*▼▼风险评估工作机制：*

各分公司网络安全牵头管理部门负责参照公司的数据安全评估管理办法制定本单位的评估机制，开展相关评估工作，并将年度评估计划和评估结果报备公司信息安全部。

第三章  评估内容和启动条件

▼▼风险评估启动条件

按照XX主管部门及相关标准规范要求，参照新技术新业务安全评估方法，定期（至少每年开展一次）及在数据安全管理环境发生重大变更时，对数据安全管理情况开展合规性评估。

对于承载符合本管理办法第三条定义的网络数据的系统，在以下情况发生时，应开展分系统数据安全评估：

• 数据安全相关法律法规发生变化时；
• 涉及客户信息等关键数据的新业务上线前；
• 向第三方提供客户信息等关键数据前；
• 因业务终止等涉及数据的承接、转移及销毁时；
• 其他数据安全管理环境重大变更的情况。

*▼▼风险评估工作内容*

数据安全评估工作包括：评估准备、组织实施、评估总结、风险整改与复核、评估结果报备五个环节。

数据安全评估具体评估方案应依据两部委考核有关数据安全评估要求制定具体的评估标准、评估方法，并跟随上级单位评估要求进行更新。

评估方案的主要内容包括：

• 业务基本情况：包括业务名称、业务功能、技术原理、实现方式、用户规模、平台账号等。
• 安全评估情况：编制细化数据安全评估要点，从机构人员、基本制度、技术能力、重点环节等方面进行评估，评估内容应覆盖数据安全风险情况、数据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。
• 现有安全管理措施：包括安全保护措施、应急管理措施，以及安全管理平台等。
• 安全风险汇总和整改建议等。

第四章  评估准备

由信息安全部负责组成评估团队，团队成员包括信息安全部、评估责任部门、评估配合部门和第三方评估机构等的专家组成。

评估责任部门应向评估团队提供开展评估所需的文档、资料和信息，包括相关管理制度文档、技术文档、已有的安全管理措施、技术保障措施等；评估配合部门应对上述材料进行补充提供。

评估团队根据被评估系统的特点及先期收集的相关信息进行准备工作。

第五章  组织实施

评估工作根据评估方案进行，包括外部评估、现场评估两个阶段。外部评估包括：业务文档收集分析、远程技术检测等。现场评估包括：人员访谈、文档调阅、现场测试等。

外部评估过程中，评估责任单位应提供测试账号、系统访问权限及相关配合；现场评估过程中，业务系统相关的设计、开发、维护、运营支撑部门人员应按需参加访谈并提供相关配合和支撑。

外部技术检测应尽量避免业务高峰期进行，影响业务系统的运行安全。

第六章  评估总结

评估工作完成后，评估组应对评估结果进行总结，并形成报告。评估报告应对标评估方案逐项说明评估结果，如实阐述评估情况，不得故意掩盖评估中发现的问题。

• 评估后认为无安全隐患的评估点，评估责任部门应定期巡巡查，发现和消除潜在安全隐患；
• 评估后认为存在数据安全风险的评估点，评估组应提出整改建议；
• 对于经评估认为存在重大数据安全隐患的系统，原则上应立即采取相关措施，如关闭问题功能模块、限制访问流量，直至停止运行。

评估责任单位如对评估结果存在异议的，应在正式评估报告形成前向评估组申请复核确认。

第七章  风险整改与复核

评估责任单位应依据评估结果制订整改方案，按计划尽快落实整改。对因涉及系统改造等原因无法在短期内完成整改的数据安全风险应采取临时性管控措施，并明确整改方案和完成时间。

如系统存在重大数据安全风险，但因业务需求无法停止运行，应在整改期间进行重点安全监控和审计，防止存在敏感数据泄露风险。

评估责任单位在完成整改工作后，应形成整改报告并提交评估组进行复核。

第八章  评估报备

信息安全部应按照两部委考核数据安全评估要求，向上级主管单位和集团公司上报当年的数据安全评估计划、整体评估报告。

各分公司应于每年第一季度制定本单位数据安全评估计划，在年内组织开展评估工作，于第四季度将评估报告和整改情况向公司信息安全部报备。

第九章  监督检查

信息安全部将在年度组巡、专项检查中定期和不定期对各单位数据安全评估工作开展情况和整改情况进行检查抽查，以确保数据安全评估工作的落实。

对未按照本管理办法开展数据安全评估整改及落实不到位的单位将进行考核通报；对由此引发重大数据安全事件的责任人，将依据《网络安全工作考核问责办法》进行问责处理。

第九章  附  则

各单位要按照国家保密管理工作有关规定，做好相关文件材料的定密和保密等工作。

《数据安全评估管理办法》全文，请扫描下方二维码：

「微言晓意」ima知识库包含各类网络安全资料5100+，扫描下方二维码免费加入：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微言晓意 weyanxy《数据安全评估管理办法》