网络数据安全风险评估实施指引（一）

近日，全国信息安全标准化技术委员会发布了《网络安全标准实践指南 网络数据安全风险评估实施指引》（TC260-PG-20231A v1.0-202305），旨在响应《数据安全法》要求，落实重要数据处理过程风险评估，衔接已发布的《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）、《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022）和正在编纂的《信息安全技术 数据安全风险评估方法》等国家标准。

该实践指南给出了网络数据安全风险评估思路、工作流程和评估内容，可用于指导数据处理者、第三方机构开展数据安全评估，也可为有关主管监管部门组织开展检查评估提供参考。
网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估。旨在：

掌握数据安全总体状况；

发现数据安全隐患；

提出数据安全管理和技术防护措施建议；

提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
评估流程：
网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。

首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素；

然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患；

最后梳理问题清单，分析数据安全风险、视情评价风险，并给出整改建议。