網(wǎng)絡(luò)數(shù)據(jù)安全評估辦法征求意見，你知道要怎么做嗎？

摘要：一文秒懂，輕輕松松！

重磅消息！國家網(wǎng)信辦剛發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估辦法（征求意見稿）》（下文簡稱《辦法）），這是一份給所有企業(yè)的“數(shù)據(jù)安全體檢指南”！既幫大家守住數(shù)據(jù)安全的底線，又能讓數(shù)據(jù)好好發(fā)揮價值，讓數(shù)字經(jīng)濟跑得又穩(wěn)又快。

安言咨詢di一時間便對此《辦法》進行了深入淺出的解讀，以期幫助各行業(yè)各領(lǐng)域有需求的用戶更方便深刻理解《辦法》的he心內(nèi)容，更好做好企業(yè)安全合規(guī)工作。

一、為啥要搞這個“評估辦法”？有啥依據(jù)？

簡單說，he心目的就一個：給數(shù)據(jù)處理全流程“找茬”！早發(fā)現(xiàn)安全隱患、及時處理，讓數(shù)據(jù)既安全（不丟、不泄露、隨時能用），又能合理合規(guī)地創(chuàng)造價值。畢竟現(xiàn)在企業(yè)離了數(shù)據(jù)寸步難行，安全才是發(fā)展的底氣呀。

這份辦法的“靠山”也很硬核，是《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》這些大家常聽的法規(guī)，合規(guī)性jue對靠譜。

適用范圍也明確：只要在國內(nèi)開展數(shù)據(jù)安全風(fēng)險評估，都得按這個來。要是有更高級別的法規(guī)有特殊規(guī)定，就按高級別的來，完全不chong突。

二、總則小科普：誰來管？啥是“風(fēng)險評估”？

先搞懂兩個關(guān)鍵問題，后續(xù)操作不迷路。

? 啥是網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估？ 說白了就是給數(shù)據(jù)和數(shù)據(jù)處理活動“做體檢”：找風(fēng)險、分析風(fēng)險有多嚴重、給風(fēng)險評等級，一套流程下來，數(shù)據(jù)安全狀況摸得明明白白。

? 誰來牽頭干活？ 國家網(wǎng)信部門是“總指揮官”，指導(dǎo)全國的評估工作；省級網(wǎng)信部門是“yi線執(zhí)行者”，具體落地；各個行業(yè)主管部門也得負責(zé)——“管業(yè)務(wù)就得管數(shù)據(jù)安全”，誰的業(yè)務(wù)誰負責(zé)，不推諉！

還有個企業(yè)超愛的規(guī)定：主管部門上門檢查評估，一分錢都不能收！而且每年1月底前，他們得把評估計劃報給國家網(wǎng)信部門，避免重復(fù)檢查，幫企業(yè)省時間、省精力。

三、he心要求：誰要評？多久評？怎么評？

這部分是重點，企業(yè)直接對號入座就行！

1. 先看自己屬于哪類“評估對象”

? 重要數(shù)據(jù)處理者：行業(yè)主管部門認定的“重點關(guān)注戶”。

? 一般數(shù)據(jù)處理者：沒被認定為“重要”，且個人信息數(shù)量沒到1000萬條的企業(yè)，大部分中小企業(yè)都屬于這類。

2. 評估頻率：別錯過時間節(jié)點！

? 重要數(shù)據(jù)處理者：每年至少“體檢”1次！要是數(shù)據(jù)安全狀況變了（比如系統(tǒng)大升級、數(shù)據(jù)量暴增、合作方變更），得立刻再評，不能拖。

? 一般數(shù)據(jù)處理者：鼓勵每3年查一次，早評估早安心，避免后期出問題更麻煩。

3. 評估方法&執(zhí)行方式：怎么方便怎么來（但要合規(guī)）

? 評估得按國家標準來（比如GB/T 45577），不能瞎評，得有依據(jù)。

? 執(zhí)行方式二選一：

? 自己評：指定專人負責(zé)，流程自己把控，省錢又靈活。

? 找第三方：優(yōu)先選有認證的“專業(yè)選手”（有數(shù)據(jù)安全服務(wù)認證資質(zhì)），記得簽合同，說清楚雙方權(quán)利、責(zé)任，還有保密義務(wù)——畢竟數(shù)據(jù)可是商業(yè)機密，不能隨便泄露。

4. 第三方評估機構(gòu)的“紅線”

? 得有正規(guī)資質(zhì)，評的時候要公正客觀，出具的報告必須真實、有效、完整，不能造假。

? 不能再轉(zhuǎn)包給其他機構(gòu)，自己的活自己干。

? 同一機構(gòu)及其關(guān)聯(lián)公司，不能連續(xù)3次給同一家企業(yè)評估，避免“熟了放水”，保證評估公平性。

四、評估報告：編、存、報，一步都不能錯！

報告是評估的“成果憑證”，這些細節(jié)要注意：

1. 怎么編&怎么存？

? 重要數(shù)據(jù)處理者：必須按官方模板來編，不能隨便改。

? 一般數(shù)據(jù)處理者：參考模板就行，靈活調(diào)整。

? 編制時要梳理清楚：數(shù)據(jù)資產(chǎn)有哪些、怎么處理的、有啥安全防護措施，列個清單，一目了然。

? 保存時間：至少存3年！萬一監(jiān)管要查，得拿得出來，別弄丟了。

2. 怎么報&會被查嗎？

? 重要數(shù)據(jù)處理者：做完年度評估，10個工作日內(nèi)必須報給主管部門；不知道該報給誰，就找省級或國家網(wǎng)信部門。

? 主管部門會公布報送渠道和聯(lián)系方式，不用怕找不到地方。

? 監(jiān)管會抽查！省級以上網(wǎng)信部門和相關(guān)部門會核查報告的真實性、準確性，瞎編報告可是要擔(dān)責(zé)的。

五、違規(guī)后果很嚴重！這些紅線不能碰

別以為評估是“走過場”，違規(guī)代價可不低：

1. 整改&強制手段

? 要是查出數(shù)據(jù)處理可能危害guo家安全、公共利益，監(jiān)管會先讓企業(yè)限期整改。

? 不改或改得不合格？直接上“硬措施”——停止處理重要數(shù)據(jù)，he心業(yè)務(wù)都得停，損失可就大了。

2. 風(fēng)險處置&企業(yè)義務(wù)

? 網(wǎng)信部門會及時處理發(fā)現(xiàn)的風(fēng)險，省級網(wǎng)信部門每年3月底前，得把上一年的處置情況上報國家網(wǎng)信辦。

? 企業(yè)要配合評估：給評估人員提供必要權(quán)限（比如訪問系統(tǒng)、日志）、按時完成評估、承擔(dān)評估費用，情況復(fù)雜的可以申請延期，但不能故意拖延。

3. 投訴舉報&處罰

? 不管是企業(yè)還是個人，發(fā)現(xiàn)評估里有違法違規(guī)行為（比如機構(gòu)造假、企業(yè)拒評），都能舉報，相關(guān)部門會依法處理。

? 處罰力度：

? 企業(yè)不按規(guī)定評估：按《數(shù)據(jù)安全法》等法規(guī)處置處罰，可能面臨罰款、影響經(jīng)營。

? 評估機構(gòu)違規(guī)：輕則整改，重則限制或禁止開展評估業(yè)務(wù)，相關(guān)人員追責(zé)，構(gòu)成犯罪的還會坐牢。

六、這些特殊情況，企業(yè)要注意

1. 評估結(jié)果能“復(fù)用”，省成本！

要是企業(yè)之前做過網(wǎng)絡(luò)安全等級保護測評、個人信息保護合規(guī)審計、商用密碼應(yīng)用安全性評估等，和這次評估內(nèi)容有重疊，結(jié)果可以互相采信，不用重復(fù)做，省時間又省 money。

2. 重要數(shù)據(jù)“事前評估”有參考

要是企業(yè)想把重要數(shù)據(jù)共享給合作伙伴、外包給第三方，或者和關(guān)聯(lián)公司一起處理，之前的風(fēng)險評估可以按這個辦法來，提前規(guī)避風(fēng)險，不用再糾結(jié)“怎么評才合規(guī)”。

3. 核心數(shù)據(jù)&涉密數(shù)據(jù)：有特殊要求

? 核心數(shù)據(jù)：安全要求比重要數(shù)據(jù)還高，評估得按國家專門規(guī)定來，這個辦法管不著。

? 涉密數(shù)據(jù)（比如guo防數(shù)據(jù)、ZF內(nèi)部決策信息）：優(yōu)先遵守《保守國家秘密法》，比如評估人員要做背景審查、評估過程物理隔離，安全第一。

七、新規(guī)落地，對企業(yè)到底有啥好處？

這份辦法可不是“給企業(yè)添負擔(dān)”，反而能幫大家解決不少問題：

1. 填補了“無標準”的空白：之前評估標準亂、流程不清晰、責(zé)任沒人擔(dān)，現(xiàn)在有了統(tǒng)一指南，企業(yè)不用再“瞎忙活”。

2. 安全與發(fā)展平衡：重要數(shù)據(jù)強制評、一般數(shù)據(jù)鼓勵評，不搞“一刀切”，既守住關(guān)鍵安全，又不給中小企業(yè)太大壓力。

3. 降本增效：評估結(jié)果互認，避免重復(fù)評估帶來的資源浪費，企業(yè)合規(guī)成本大幅降低。

4. 指引清晰：對企業(yè)來說，知道“該評什么、怎么評、什么時候評”，能系統(tǒng)排查安全隱患，提升數(shù)據(jù)安全管理水平，少踩坑。

5. 監(jiān)管更jing準：對監(jiān)管部門來說，有了明確的監(jiān)管框架，能jing準發(fā)現(xiàn)問題、協(xié)同處置，不用再“盲目檢查”。

對整個行業(yè)來說，新規(guī)實施后，數(shù)據(jù)安全風(fēng)險評估會越來越常態(tài)化、規(guī)范化，數(shù)據(jù)處理活動更合規(guī)，guo家安全、企業(yè)利益、個人信息都能得到保障，數(shù)據(jù)要素價值能充分釋放，數(shù)字經(jīng)濟才能跑得更穩(wěn)、更遠。

目前這份辦法還在征求意見階段，后續(xù)會結(jié)合大家的反饋完善，正式實施后就是網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域的重要監(jiān)管依據(jù)，企業(yè)可得提前準備，別等合規(guī) deadline 到了才著急。早了解、早部署，才能在數(shù)據(jù)安全這條路上走得更順。