●  評(píng)估內(nèi)容

重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評(píng)估標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)處理活動(dòng)的目的和方式、業(yè)務(wù)場景、安全保障措施、風(fēng)險(xiǎn)影響等要素，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，重點(diǎn)評(píng)估以下內(nèi)容：

●  評(píng)估有效期

重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果有效期為一年，以評(píng)估報(bào)告首次出具日期計(jì)算。在有效期內(nèi)出現(xiàn)以下情形之一的，重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)對(duì)發(fā)生變化及其影響的部分開展風(fēng)險(xiǎn)評(píng)估：

●  評(píng)估方式

重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作能力的第三方評(píng)估機(jī)構(gòu)開展評(píng)估。評(píng)估過程應(yīng)當(dāng)建立至少包括組織管理、業(yè)務(wù)運(yùn)營、技術(shù)保障、安全合規(guī)等人員的專業(yè)評(píng)估團(tuán)隊(duì)，制定完備的評(píng)估工作方案，配備有效的技術(shù)評(píng)測(cè)工具。

●  第三方評(píng)估機(jī)構(gòu)要求

鼓勵(lì)熟悉工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全工作，滿足資質(zhì)要求的認(rèn)證機(jī)構(gòu)開展第三方評(píng)估機(jī)構(gòu)的能力認(rèn)證。

工業(yè)領(lǐng)域企業(yè)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估可以參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》（TC260-PG-20231A）開展。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容框架

圍繞工業(yè)領(lǐng)域企業(yè)數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)安全、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面開展評(píng)估。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估流程

主要包括評(píng)估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識(shí)別、綜合分析、評(píng)估總結(jié)五個(gè)階段，以下為各階段的具體工作及主要產(chǎn)出物。

●  企業(yè)數(shù)據(jù)安全評(píng)估實(shí)施步驟

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估手段

開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估時(shí)，可綜合采用人員訪談、文檔查驗(yàn)、安全核查、技術(shù)測(cè)試等手段。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動(dòng)的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境，以及數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等。