文章总结： 《网络数据安全风险评估办法》将于2026年8月20日实施，要求重要数据处理者每年开展风险评估并20个工作日内报送报告。办法明确了评估主体、第三方机构要求、整改时限及违规后果，天融信提出结合GB/T45577-2025标准和AI技术的风险评估方法论，帮助政务、金融等行业客户实现合规。 综合评分： 89 文章分类： 政策法规,数据安全,安全建设,解决方案,安全运营

60天倒计时⏰数据安全风险评估新规落地，企业如何有序适配？

天融信

2026年6月22日 17:14 北京

在小说阅读器读本章

去阅读

6月18日，国家互联网信息办公室等三部门公布《网络数据安全风险评估办法》（以下简称《办法》），对网络数据安全风险评估的组织实施、主体责任、机构管理、报告报送、结果运用和监督处置等作出系统规定。

《办法》出台标志着网络数据安全风险评估制度更加细化，对于促进数据要素安全有序流动和高效利用具有重要意义。《办法》自2026年8月20日起施行，从正式公布到施行，短短两个月的时间，是仓促响应，还是从容布局？答案，取决于企业对《办法》的理解深度与行动速度。

从原则到细则

法规体系的“最后一公里”

《办法》的出台，并非平地起高楼，而是国家数据安全法规体系迭代完善的关键一环。

向上看，《数据安全法》第三十条规定，重要数据处理者应当定期开展风险评估，但“如何评、谁去评、评完怎么办”缺乏操作细则；《网络数据安全管理条例》第三十三条提出了原则性要求，同样未形成完整的制度闭环。《办法》的诞生，正是将上位法的原则性要求转化为可操作、可执行、可监督的具体制度。

向下看，GB/T 45577-2025《数据安全技术 数据安全风险评估方法》已于2025年11月1日实施。该标准系统描述了数据安全风险评估的基本概念、要素关系、分析原理，给出了实施流程、评估内容、分析评价方法等。根据《办法》第六条，风险评估工作应当参照数据安全风险评估有关国家标准开展。至此，制度规范与技术标准实现双向衔接、有机统一。

制度框架已然清晰完备，对于企业而言，更关心的问题是：谁需要评？多久评一次？评不完、改不好会怎样？《办法》中那些具体的数字与期限——年度、20个工作日、15个工作日、保存3年，才是离企业最近的合规“硬指标”。

四重挑战

企业面临的合规“硬指标”

《办法》正文共二十五条，为网络数据安全风险评估搭建了全景式操作框架。对企业而言，以下四个维度的挑战尤为值得关注。

挑战一：谁需要评？多久评一次？

根据《办法》第五条，重要数据处理者应当每年度开展风险评估。如果重要数据安全状态发生重大变化，可能对数据安全造成不利影响的，应当及时对发生变化及影响的部分开展评估。这意味着，年度评估不再是“选修课”，而是“必修课”，且一旦重要数据的状态发生变化，企业还必须启动动态评估。对于一般数据处理者，《办法》也明确提出鼓励其至少每3年开展一次风险评估。

挑战二：怎么评？自己评还是找人评？

根据《办法》第七条，网络数据处理者可以自行开展风险评估，也可以委托第三方评估机构。自行开展需指定专人负责，委托第三方则需通过合同明确双方权利义务。

但值得关注的是，《办法》第十七条规定，在数据处理活动存在较大安全风险可能危害国家安全和公共利益、发生重要数据或大规模个人信息泄露等情形下，有关部门可以要求数据处理者委托通过认证的评估机构开展风险评估。这意味着，在某些高风险场景下，第三方专业评估是强制选项。

此外，评估机构不得转委托，同一机构及其关联机构不得连续3次以上为同一数据处理者服务，这既是对评估质量的保障，也是对评估独立性的制度设计。

挑战三：评估报告怎么出？给谁？什么时间？

在报告编制方面，《办法》第十五条规定，重要数据处理者应当依法按主管部门规定编制风险评估报告，主管部门没有规定的，可参照数据安全风险评估有关国家标准编制，报告至少保存3年。

在报送时限方面，《办法》第十六条明确，重要数据处理者应当在年度风险评估完成后的20个工作日内报送评估报告；主管部门不明确的，向省级网信部门或国家网信部门报送。

在整改时限方面，《办法》第十八条提出，网络数据处理者须在整改完成后的15个工作日内向有关部门报送整改情况报告。

从评估到整改，整个流程的时间窗口清晰而紧凑。

挑战四：不评估、不整改有什么后果？

根据《办法》第十九条，有关部门对拒不整改或未达要求的，可要求其停止处理重要数据。根据《办法》第二十二条，未按规定开展风险评估的，依据《数据安全法》《网络数据安全管理条例》予以处理。这意味着，不合规的后果不仅是行政处罚，严重时可能直接影响到企业核心业务的数据处理活动。

在新规的规范引导下，企业需围绕评估频次、报送标准、整改时限全维度梳理，持续健全内部合规管理体系。制度有温度，合规有路径，企业只有选对专业合作伙伴，方能平稳度过政策窗口期。

专业赋能

天融信数据安全风险评估实施方法论

天融信遵循GB/T 45577-2025现已形成完备的数据安全风险评估实施方法论。其中，数据安全风险评估服务覆盖从评估准备、信息调研到风险识别、风险分析与评价，直至评估总结的完整闭环；同时将数据安全检查工具箱与AI能力深度结合，以天问大模型作为核心分析引擎，重构评估作业模式。

多维风险评估：数据安全检查工具箱通过旁路部署，综合运用问卷调查、流量分析、漏洞扫描、日志分析及数据接口风险检测等手段全面识别数据安全问题。

AI辅助研判：自研网安垂域大模型——天问基于海量高质量安全数据自主训练，针对风险评估场景中对数据安全检查工具箱采集的各类数据，进行智能化关联分析与深度研判，辅助评估专家快速定位风险点并精准评估风险等级，大幅提升评估效率与准确性。

针对不同行业的业务特点与数据形态，天融信能够精准识别行业特有风险，贴合政策监管细则，提出切实可行的整改建议，帮助企业提升数据安全治理能力。

截至目前，天融信已为政务、运营商、金融、能源、教育、交通、医疗、制造等多个行业客户提供数据安全风险评估服务，形成了涵盖评估、发现、整改、复评全过程的闭环服务模式，积累了丰富的实践经验。

《办法》的出台，不是给企业增加负担，而是帮助其在数字化转型中“系好安全带”。每一次规范的风险评估，都是对企业数据资产的一次全面“体检”，更是防范数据安全风险、提升重要数据保护能力的重要举措。在数据安全这条赛道上，企业唯有从“被动应付”走向“主动掌控”，方能在数据安全与流通利用之间寻求动态平衡，实现安全与发展相辅相成、良性互动。

近期热点

天融信李雪莹：安全底座铺路、智算中枢加速，融合助力数据要素安全高效流通

别再高价买DRAM了！低成本实现内存翻倍方案请查收→

天融信连续11届获CNCERT最高级支撑单位，重点技术领域入选最多！

国家级认可！天融信获评CNNVD「核心+一级」技术支撑单位

关注天融信了解更多信息

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天融信 《60天倒计时⏰数据安全风险评估新规落地，企业如何有序适配？》