数据安全评估体系建设

       数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断，以评估数据安全事件发生的概率和可能造成的损失，并采取相应的措施和建议。

数据安全评估的重要性和背景

1.国家法律法规下的合规需要

       目前数据安全法、个人信息保护法、网络数据安全管理条例（征求意见稿）、数据出境评估办法等文件均对数据安全评估提出了明确要求。数据安全法提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”。个人信息保护法提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”、“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录，（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；.......”。网络数据安全管理条例（征求意见稿）提到“第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。

2.日益严重且多样化的数据安全风险分析需要

     2022年由IBM和Ponemon研究所联合发布的一份全球性的研究报告，分析了550家遭受数据泄露事件的组织的各种成本和影响因素。根据报告，2022年全球数据泄露规模和平均成本均创下历史新高，数据泄露事件的平均成本高达435万美元，比202