5月29日，全國信息安全標準化技術委員會秘書處發布了《網絡安全標準實踐指南——網絡數據安全風險評估實施指引》（以下簡稱《實施指引》），作為數據安全領域的一項重磅級指引，其明確了網絡數據安全風險評估思路、工作流程以及評估內容，旨在指導數據處理者、第三方機構開展數據安全評估，并為有關主管監管部門組織開展檢查評估提供參考。

《實施指引》解讀

“評估思路”解讀

《實施指引》指出：“網絡數據安全風險評估堅持預防為主、主動發現、積極防范，對數據處理者數據安全保護和數據處理活動進行風險評估，旨在掌握數據安全總體狀況，發現數據安全隱患，提出數據安全管理和技術防護措施建議，提升數據安全防攻擊、防破壞、防竊取、防泄露、防濫用能力。”

分析《實施指引》的評估思路，可以看出數據安全風險評估是一項圍繞“數據安全保護和數據安全處理活動”開展的重要業務，對于數據處理者和第三方機構來說通常是風險評估，對監管部門來說通常是安全檢查評估。數據安全風險評估遵循預防為主、主動發現、積極防范的原則，評估輸出結果包括安全總體狀況、數據安全隱患、數據安全建議三大方面內容。

“評估內容”解讀

《實施指引》指出：“網絡數據安全風險評估，在信息調研基礎上，圍繞數據安全管理、數據處理活動安全、數據安全技術、個人信息保護等方面開展評估。”

如上圖所示，《實施指引》在評估內容方面提出了4個大類型31個子類型，這些評估內容涵蓋了數據全生命周期處理活動，例如數據收集、數據存儲、數據傳輸等，也涵蓋了數據安全管理細分維度及數據安全技術細分子類，是一套非常全面細化的評估內容集合。

“評估流程”解讀

《實施指引》提出：“數據安全風險評估流程，主要包括評估準備、信息調研、風險識別、綜合分析、評估總結五個階段。”

如上圖所示，《實施指引》不但明確了數據安全風險評估流程由五個階段組成，同時將每個階段的具體工作以及工作主要產物進行了細化。

注：參考來源 www.tc260.org.cn 《網絡安全標準實踐指南-網絡數據安全風險評估實施指引》(V1.0-202305)

天融信數據安全風險評估方案

《實施指引》針對數據安全風險評估業務給出了全面詳細的實施指導，據此，天融信提出數據安全風險評估方案。該方案以建設全面化的數據安全檔案庫、豐富智能化的調研評估知識體系、實用化的評估流程為核心理念，旨在幫助客戶打造數據安全風險評估支撐工具，提升數據安全風險評估效率。

天融信數據安全風險評估方案具備數據安全檔案庫、信息調研知識庫、信息調研流程、風險評估、評估報告五大能力。該方案通過與被評估單位對接建立完整的數據安全檔案庫，依托豐富智能的調研評估知識體系，智能自動生成評估問卷，高效開展自評估與檢查評估工作，及時掌握數據安全風險及隱患，并根據評估報告匯總評估結果，最終給出修復意見，實現數據安全評估的有效支撐。方案特點如下：

線上線下檔案庫

為了保證評估的正確性與準確性，該方案提供線上、線下兩種信息調研方式全面收集相關數據，線下收集數據資產，線上自動探測并與檔案庫信息進行對比，及時發現數據缺失及不一致問題，確保數據安全檔案庫完整、真實有效。

智能化知識體系

該方案提供行業覆蓋面大、適用組織全、數據種類多、業務場景廣的數據安全調研評估知識庫，并將單位信息、調研信息、評估知識項相結合，支持自動化生成評估模板，從而高效開展評估工作。

專業化評估報告

該方案提供專業化評估報告，記錄評估工作的全過程，通過不同維度進行呈現與分析，從而概括評估總體情況、展示評估詳細過程、總結評估最終結果，最終給出專家級修復意見，指導風險處置。

天融信基于多年數據安全實踐經驗，為政府、金融、運營商、能源、醫療、教育等各行業客戶提供了全方位的數據資產梳理方案。通過對數據資產進行分級分類梳理，從業務角度識別不同行業數據，并提煉出相應的數據風險，從而提供相應的數據安全策略保障，并針對各行業業務系統全生命周期進行監控。

天融信數據安全管理能力不僅在多個行業項目中得到了充分驗證，還接連獲得了權威機構的推薦與認可。近日，天融信獲中國計算機行業協會數據安全專業委員會和中國軟件評測中心頒發的數據安全服務能力評定資格雙證最高級別證書。2022年，中國信息通信研究院安全研究所發布數據安全產品能力驗證測評結果，天融信數據安全管理平臺順利通過數據安全管控平臺能力檢驗，榮獲《數據安全產品檢驗證書》。2023年1月，該平臺入選《IDC Perspective: 中國數據安全基礎設施管理平臺市場洞察，2022》典型數據安全基礎設施管理平臺和方案。

加強數據安全治理、保障數據安全已成為數字時代的重大課題。作為率先提出“以數據為中心的安全建設體系”建設思路的網絡安全專業廠商，天融信已構建起數據全生命周期的產品與服務體系。未來也將持續深耕數據安全領域，不斷賦能各行業數字化轉型。