文章总结： 《网络数据安全风险评估办法》将于2026年8月20日施行，要求重要数据处理者每年开展风险评估并保存报告3年。办法构建了法律-条例-办法-标准的四层合规架构，突出避免重复检查、允许自评、评估机构轮换三大亮点。企业需在60天内完成数据资产盘点、确认报送渠道、选择评估路径、建立长效机制四个关键动作。 综合评分： 85 文章分类： 政策法规,数据安全,安全建设,解决方案,安全运营

一年一评、保存3年，数据安全评估进入硬合规时代

长亭安全观察

2026年6月22日 17:00 北京

在小说阅读器读本章

去阅读

6月18日，国家网信办、工信部、公安部联合公布《网络数据安全风险评估办法》（以下简称《办法》），自8月20日起施行。从公布到施行，留给企业的合规准备时间只有两个月。

这是继《数据安全法》《网络数据安全管理条例》之后，数据安全治理领域又一块关键的制度拼图。

出台背景：从有法可依到有章可循

《数据安全法》第三十条规定，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《网络数据安全管理条例》第三十三条进一步将“定期”细化为“每年度”，重要数据处理者应当每年度对其网络数据处理活动开展风险评估。然而，怎么评、谁来评、评完怎么办，这些操作层面的问题一直缺乏统一规范。各行业自行摸索，标准不一。

《办法》的出台填补了这道空白。从更大的政策背景看，“十五五”规划明确提出实施数据分类分级管理、提升数据安全保护能力，《办法》正是这一顶层设计在操作层面的落地。三部门联合发文本身也传递了一个信号：数据安全监管正从单部门推动走向多部门协同。

制度承接：四层架构串起合规路径

《办法》在我国法规体系中的定位清晰：上位法是《数据安全法》《网络安全法》《网络数据安全管理条例》，下位支撑是两项国家标准：GB/T 45577-2025《数据安全技术 数据安全风险评估方法》和 GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》。

这套“法律定原则、条例定框架、办法定流程、标准定方法”的四层架构，让企业合规有了完整的操作路径。法律说要做评估，条例说每年做，办法说怎么做、怎么报、怎么查，标准给出具体方法论和机构能力要求。对企业来说，合规从模糊的“把安全做好”，变成了有时间表、有格式、有渠道的具体动作。

三大亮点：监管思路的务实落地

亮点一，避免交叉重复检查。《办法》第四条建立了年度检查计划报送和协调机制，国家网信部门统一汇总并协调各部门计划，从源头减少多头检查。第十七条第二款进一步规定，对同一安全事件或风险，不得重复要求企业委托评估。这一点直接回应了企业长期以来的监管痛点。

亮点二，自评与第三方并行，不搞一刀切。《办法》第七条允许企业自行评估，只要求指定专人负责。这种务实的弹性设计，没有强制引入外部评估机构，降低了中小企业的合规成本。

亮点三，评估机构的轮换机制与独立性保障。同一评估机构及其关联方不得连续三次以上对同一企业开展年度评估。禁止转委托。发现重大风险须及时通知企业。显然，这三条规则意在防止“默契评估”，防止合规流于形式。

重点义务：谁来做、做什么、怎么做

义务主体。核心对象是重要数据处理者，每年一次评估属强制要求。一般数据处理者鼓励每三年开展一次，属弹性义务。关键前提是企业需要先完成数据分类分级，判定自身是否属于重要数据处理者。不确定的，从严准备是务实的默认选项。

具体动作。评估完成后20个工作日内报送报告，报告至少保存3年。重要数据安全状态发生重大变化时，须及时评估变化部分。评估方法参照 GB/T 45577-2025 规定的流程：资产识别、威胁识别、脆弱性识别、风险分析、风险评价。

违规后果。未按规定开展评估的，依据《数据安全法》予以行政处罚。发现处理活动危害国家安全或公共利益的，可责令整改；拒不整改或未达到整改要求的，可要求停止处理重要数据。

企业应对：60天内的4个关键动作

距8月20日施行仅剩约两个月。对于尚未建立评估体系的企业，建议按以下优先级推进：

第一，盘点数据资产，完成重要数据判定。梳理数据流向、存储位置、访问权限，对照行业重要数据目录判断自身定位。这是所有后续合规动作的基础。

第二，确认报送渠道。主管部门不明确的，向省级网信部门或国家网信部门报送。提前沟通确认，避免报错对象。

第三，选择评估路径。内部有专业团队的可以自评，否则尽早签约通过认证的评估机构。考虑到法规施行后可能出现评估需求集中释放、机构供不应求的局面，建议7月中旬前锁定合作方。

第四，建立长效机制。将年度风险评估嵌入合规日历，设置每年固定节点启动评估；建立评估机构轮换的长期规划；建立数据安全状态重大变化的监测触发机制。

从更根本的层面看，《办法》推动的不只是一项新义务。它把数据安全从“出了事再查”的事后补救，扭转为制度化、常态化的事前管理。对于企业而言，合规是底线，真正的收益在于：持续的风险评估能够帮助团队系统性地发现和收敛数据安全盲区。

*本文资讯内容编自网络公开报道

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全观察 《一年一评、保存3年，数据安全评估进入硬合规时代》