赛博观点|电信和互联网企业开展数据安全风险评估的实践要点(数据评估风险评估数据处理互联网)

《实施细则》的制定是为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，适用于对中国境内工信领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估，其要点包括：

二、数据安全风险评估的落地实践

（图片来自网络侵删）

《实施细则》提出数据安全风险评估的相关要求，同时工业和信息化部发布了YD/T 3956-2024《电信领域数据安全风险评估规范》，取代原有标准YD/T 3956-2021，为电信领域重要数据处理者开展数据处理活动的数据安全风险评估提供具体操作指引，“浦江护航”专项行动关于数据安全风险评估任务的落实亦是参照YD/T 3956-2024《电信领域数据安全风险评估规范》开展。

YD/T 3956-2024《电信领域数据安全风险评估规范》总览

数据安全风险评估的实施过程一般包括组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告等内容。
实施风险评估包括数据处理活动分析、合规性评估及安全风险分析三部分，具体流程见下图：

评估团队至少包括组织管理、业务运营、技术保障、安全合规等人员；原则上应具备不少于5名专业评估人员，包括1名评估团队组长、4名评估团队成员，其中至少4人应熟悉数据安全风险评估的方法和流程，掌握依据数据安全风险评估相关标准规范开展风险评估的能力，并取得工业和信息化领域数据安全风险评估相关技能评价证书。

数据安全风险评估范围应覆盖数据处理者全部重要数据和核心数据， 以及一定比例的一般数据。

明确评估范围后，评估团队可根据实际需要制定风险评估工作方案，评估方案包括：评估范围、评估依据、评估团队基本信息、工作计划、使用的评估工具情况、保障条件等。

评估过程可以综合运用人员访谈、资料查验、人工核验、工具测试等方法。

实施风险评估的第一步，是对重要数据和一般数据分别进行数据处理活动分析，形成数据处理活动分析表。

完成数据处理活动分析后，针对每个重要数据/核心数据、一般数据处理活动分别开展合规性评估：

完成合规性评估后，进一步开展数据处理活动的安全风险分析。
分别进行风险源识别和安全影响分析，得出对应的安全事件发生的可能性级别及安全影响级别，再根据综合风险研判矩阵，得出最终的数据处理活动安全风险等级。

完成初评后，若存在安全风险，建议企业对识别出的风险开展整改工作，完成整改后，评估团队进行整改结果复核。

评估报告应当包括YD/T3956所要求的数据处理者基本情况、评估团队基本情况、数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等，以及《实施细则》所要求包含的重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境。

从“浦江护航”通知文件的要求可以看出，相比2023年，2024年专项行动上海管局将强化评估报告的质量审查，指导建立数据安全专家评审组，开展报告评审工作，对评估不合规的报告予以退回，并加强相关企业的数据安全管理情况督查检查；对未落实评估责任的单位依法依规予以通报和处罚。
一方面，加强对评估报告的整体质量评审，除对评估不合规的报告予以退回，还将通过现场检查等方式核验企业所提交的评估报告的真实性、准确性；另一方面，加强评估人员专业资质要求，依据YD/T 3956-2024《电信领域数据安全风险评估规范》要求，不管是第三方评估机构的评估人员或企业自评估的内部评估人员，评估人员需具备数据安全风险评估的专业能力，持有工业和信息化领域数据安全风险评估相关技能证书。

今年，数据安全风险评估所参照的评估规范、评估要求与2023年有较大不同，我们建议，企业内部管理层应当提升对“浦江护航”行动任务的认识，尤其应充分了解数据安全相关法律责任，在组织内部自上而下协调各部门人员积极配合，结合企业实际业务和数据处理情况，组建专业化评估团队并制定工作方案，以便尽快开展相关工作。
此外，企业还可依托外部第三方机构的专业服务开展工作，赛博研究院作为上海市通信管理局选定的首批“数据安全评估服务机构”及网络和数据安全专业支撑单位，具备扎实的研究能力及显著的专业优势，欢迎企业就数据安全风险评估在内的浦江护航行动专业问题进行垂询。

作者 |刘境棠 “浦江护航\"数据安全专家组成员

赛博研究院咨询总监