信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》

为贯彻落实《数据安全法》关于数据安全风险评估的要求，全国信息安全标准化技术委员会秘书处编制了《网络安全标准实践指南——网络数据安全风险评估实施指引》，用于指导开展网络数据安全风险评估工作。

网络数据安全风险评估思路、内容及流程

1、风险评估思路

《指南》中指出，网络数据安全风险评估思路要坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据防泄露、防破坏、防窃取、防泄露、防滥用能力。

2、风险评估内容

网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。

3、风险评估流程

《指南》还明确，网络数据安全风险评估具体的工作流程主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。

首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险，并给出整改建议。

网络数据安全风险评估实施指引-网络数据安全深度评估

传统的数据安全评估主要有等保测评、风险评估、渗透测试这三种表现方式，这几种安全评估方式更多倾向于合规性审计和安全问题存在性的验证，对于网络安全本质的探究反而被有意识的弱化。

（内容来自：信安标委网站）