2026-04-16 05:18:09 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统梳理了我国网络安全与网络数据安全风险评估规范体系，重点解析了GB/T20984-2022《信息安全技术信息安全风险评估方法》和GB/T45577—2025《数据安全技术数据安全风险评估方法》两大核心国家标准。文档明确了网络安全评估侧重信息系统整体安全态势，数据安全评估聚焦数据处理活动全生命周期风险管控，并详细阐述了评估流程、法律依据、实施机制及与等级保护测评等制度的协同互认关系。 综合评分： 75 文章分类： 技术标准,政策法规,数据安全,安全建设,安全运营

cover_image

网络安全和网络数据安全风险评估规范

原创

数字安全助手数字安全助手

数字安全助手

2026年4月13日 11:31 山东

在小说阅读器读本章

去阅读

网络安全与网络数据安全风险评估规范，是当前我国数字经济发展和数据安全保障体系中的核心制度安排，二者既有紧密关联又各有侧重，共同构成了网络安全等级保护制度与数据安全保护制度在风险评估领域的具体落地方案。网络安全风险评估主要着眼于信息系统的整体安全态势，围绕信息的保密性、完整性和可用性三大基本目标，对信息系统的资产、威胁、脆弱性和已有安全措施进行系统的识别、分析和评价。GB/T 20984-2022《信息安全技术信息安全风险评估方法》是我国网络安全风险评估领域的基础性国家标准，于2022年4月15日发布并于同年11月1日正式实施，该标准由国家标准委归口管理，国家市场监督管理总局和中国国家标准化管理委员会联合发布，标准现行有效。该标准明确了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式，适用于指导各类组织开展信息安全风险评估工作。相较于2007版标准，GB/T 20984-2022在内容上增加了对“业务”和“信息系统生命周期”的考量，将风险评估从传统的技术视角拓展到了业务视角和全生命周期管理的维度，评估流程也更加简化和优化，在识别脆弱性的同时强化了对业务影响的分析。网络安全风险评估通常包括资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险计算和分析、风险评价以及风险处置建议等环节，评估手段涵盖安全扫描、手工检查、渗透测试、安全审计、安全策略审核等多种方式，对评估对象的物理环境、网络通信设备、主机系统、应用系统、数据资产等各个层面进行全面检查。

与网络安全风险评估侧重于信息系统的整体安全态势不同，网络数据安全风险评估更加聚焦于数据和数据处理活动本身的安全状况，二者在评估对象、评估目标和评估方法上既存在交集又各有侧重。从概念界定来看，网络安全主要考虑的是“为”的向度，即网络行为是否正常、能否避免或阻止对网络的各种破坏或入侵行为；而数据安全不仅要考虑“为”的向度（行为向度），还要考虑“知”的向度（信息向度），即数据中所隐含的信息是否会被应知范围以外的主体获悉。数据安全保护的是数据本身，数据一旦失窃、篡改，损失往往无可避免，因此事前做好防护、排查威胁是数据安全保障的主要途径；而对于网络安全来说，只要攻击者在达到攻击目的之前及时检测到并阻止，即可视为保障了网络安全。在这一差异的背景下，网络数据安全风险评估得到了法律法规层面的明确要求，《中华人民共和国数据安全法》第三十条明确规定：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。”《网络数据安全管理条例》经2024年8月30日国务院第40次常务会议通过，由国务院总理李强签署国务院令公布，自2025年1月1日起施行，共9章64条，在进一步细化数据安全管理制度的基础上，要求重要数据的处理者每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告。2025年12月6日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》，向社会公开征求意见，标志着我国在网络数据安全制度体系建设方面迈出了重要一步，从主管部门、网络数据处理者和第三方评估机构三个不同主体的角度进行了系统化规定，标志着数据安全风险管控从原则性要求进入了强制性、标准化、可操作的新阶段。

就法律依据而言，网络数据安全风险评估规范的上位法主要包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》，同时参照国家标准GB/T 45577—2025《数据安全技术数据安全风险评估方法》等技术规范。GB/T 45577—2025由全国网络安全标准化技术委员会归口，于2025年4月25日正式发布，将于2025年11月1日起实施，该标准描述了数据安全风险评估的基本概念、要素关系、分析原理，给出了数据安全风险评估的实施流程、评估内容、分析评价方法等，适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。该标准将数据安全风险评估流程划分为五个阶段，形成“规划-识别-分析-处置-复盘”的闭环框架：评估准备阶段明确评估范围、目标和依据；信息调研阶段识别数据处理者的基本情况、业务和信息系统情况、数据资产情况、数据处理活动情况和已有安全措施情况；风险识别阶段针对各个评估对象采取多种评估手段识别可能存在的数据安全风险隐患；风险分析与评价阶段对识别出的风险隐患进行危害程度分析和发生可能性分析，科学评价风险等级；评估总结阶段梳理问题清单并提出整改建议。在具体评估内容上，该标准围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护四个方面展开，涵盖安全管理制度体系建设、安全组织机构建设、数据分类分级管理、人员安全管理、合作外包管理、安全威胁和应急管理、开发运维管理、云数据安全等管理层面，以及数据收集、存储、传输、使用和加工、提供和公开、删除等全生命周期环节的技术层面，还包括网络安全防护、身份鉴别与访问控制、监测预警、数据脱敏与防泄漏、数据接口安全、数据备份恢复、安全审计等技术保障措施。

在评估的组织方式和实施机制方面，《网络数据安全风险评估办法（征求意见稿）》构建了权责清晰、运行高效的工作体系。在国家层面，明确国家网信部门在国家数据安全工作协调机制指导下，统筹各地区、各部门开展风险评估，加强工作协调和信息共享。各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，定期组织开展本行业、本领域的风险评估，并根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。国家网信部门统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划，避免重复评估、重复检查。在评估主体和评估方式上，网络数据处理者可以自行或者委托第三方评估机构开展风险评估，自行评估应当指定专人负责，委托评估应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务。对于评估机构的管理，经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构，可按照《数据安全技术数据安全评估机构能力要求》（GB/T 45389）等有关国家标准、行业标准对评估机构开展认证。评估机构应当遵守法律法规，公正客观地作出风险判断，对所出具的风险评估报告真实性、有效性、完整性负责，不得再委托其他机构开展风险评估，同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。在评估频率方面，处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估，重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展专项风险评估；鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。

从风险分析的模型和方法论来看，GB/T 20984-2022明确了信息安全风险评估的基本概念和风险要素关系，其核心思想是将风险定义为威胁利用脆弱性对资产造成影响的可能性与影响程度的函数。风险分析原理基于威胁识别、脆弱性识别和资产价值评估，通过定性与定量相结合的方法计算风险值，进而确定风险等级。在网络安全风险评估实践中，评估人员需要首先识别评估范围内的信息资产并对其价值进行赋值，然后识别这些资产可能面临的各类威胁及其发生频率，再识别资产自身存在的脆弱性及其被威胁利用的难易程度，最后结合已有安全措施的有效性，综合计算安全事件发生的可能性和一旦发生所造成的损失程度，最终得出风险值并进行风险等级划分。在数据安全风险评估方面，GB/T 45577—2025描述了数据安全风险评估的基本概念、要素关系和分析原理，将数据安全风险定义为数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。风险识别阶段聚焦于数据安全管理、数据处理活动、数据安全技术和个人信息保护四个方面，重点排查可能影响数据的保密性、完整性、可用性和数据处理合理性的风险隐患。综合采取人员访谈、文档审核、配置检查、技术测试、渗透测试等多种评估手段，从数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期各个环节识别潜在风险，然后对风险发生的可能性和危害程度进行分析和量化评价，最后给出科学的风险等级评定和切实可行的整改建议。

在评估报告管理和后续整改方面，《网络数据安全风险评估办法（征求意见稿）》和《工业和信息化领域数据安全风险评估实施细则（试行）》均有明确规定。重要数据处理者开展年度风险评估应当按照规定模板编制评估报告，一般数据处理者可以参照该模板编制。评估报告应当包含评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境、数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等内容。评估报告应当在年度风险评估完成后的10个工作日内按照有关部门要求报送，报送部门不明确的，向省级网信部门或者国家网信部门报送。针对评估发现的问题，网络数据处理者应当按监管部门要求进行整改，并在整改完成后15个工作日内报送整改报告。评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，在风险评估工作结束后及时删除相关信息。省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚；发现评估机构违反相关规定开展风险评估的，应当责令其进行整改，情节严重的可以限制或者禁止其开展风险评估活动，追究相关人员责任，构成犯罪的依法追究刑事责任。

在制度协同和结果互认方面，网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等制度共同构成了网络数据安全合规的制度体系。《网络数据安全管理条例》明确规定：“个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。”《网络数据安全风险评估办法（征求意见稿）》也将网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等工作进行了衔接，支持相关结果采信，切实为网络数据处理者松绑减负。这种制度协同的设计思路体现了监管科学化和精细化的导向，既避免了重复评估给企业带来的负担，又通过多制度相互支撑形成更为严密的网络数据安全保障网络。

我国网络安全与网络数据安全风险评估规范已经形成了从法律到行政法规、从部门规章到国家标准的完整制度体系，构建了“法律—行政法规—部门规章—国家标准”四位一体的实施路径，构建了国家统筹、行业监管、地方协调、网络数据处理者主责的风险评估工作机制，推动形成“评估发现风险、报告呈现风险、整改化解风险”的网络数据安全风险治理闭环，将风险防控关口前移，促进风险治理从被动应对向主动防控转变、从分散管理向系统治理提升。在具体实施中，各类组织和机构应当根据自身数据处理者类型、所属行业领域、数据资产规模和安全保护需求，结合GB/T 20984-2022和GB/T 45577—2025等技术标准，科学制定风险评估工作方案，合理选择评估方式，规范编制评估报告，认真落实整改措施，切实履行好网络安全和数据安全保护的法定责任。

网络安全和网络数据安全风险评估规范加入星球获取

扫码下载全部

数据安全、个人信息保护

PPT 制度政策标准报告白皮书

加入数据安全群

数据安全证书

■

责编：梓玥

审核：晓洁2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数字安全助手数字安全助手数字安全助手《网络安全和网络数据安全风险评估规范》