■作者：人工GPT

■编辑：郑烨

▽

今年国家网信对《网络数据安全风险评估方法》（报批稿）组织国标试点工作，目的是建立一套机制，在数据业务过程中更多识别数据处理相关活动的风险。

个人对这块工作参与较多，有一定的实践案例经验，对三类评估的优缺点进行分析，进行简要整理。

从风险评估类型看，分为「 自评估 」、「 检查评估 」和「 第三方评估 」。

「 检查评估 」通常是上级主管部门、业务主管部门或国家有关主管（监管）部门发起，依据有关政策法规与标准，对评估对象的数据安全风险进行的评估活动。

「 自评估 」是由数据处理者自身发起，组成机构内部评估小组组织开展风险评估活动。这种方式是企业自发起的，不需要额外费用，由企业的安全人员、数据人员、技术人员等组成内部评估团队，对要评估企业的业务、系统、运行环境等比较熟悉，内部沟通相对较通畅。

• 内部评估人员专业能力和综合能力可能受到质疑，缺乏有对数据、安全、技术、开发、运维等综合能力的人；
• 内部发起的检查，管理团队觉得省钱可能导致被检查的团队重视程度不够，员工劳心劳力，达不到实际效果；
• 内部检查发现的漏洞，很难推动整改跟进，经常的情形是检查归检查，漏洞整改跟进不够，或者临时整改漏洞后，下次再检查时漏洞再现。

「 第三方评估 」是企业委托第三方评估团队组织开展活动。第三方评估的好处是评估团队经验相对丰富，评估案例多，对评估过程和评估项的理解更好。在评估实施过程中，客户管理方对被评估方之间可以借助第三方团队进行缓和评估的紧张气氛，避免直接冲突。

即从风险视角看，数据业务全过程的风险管控，需要一套全面、有效的方法和参考基准线进行风险识别，其中除了安全管理、安全技术外，对数据处理活动、个人信息｜隐私信息保护都是额外增加的内容。

通俗地说，要懂业务、懂数据、懂IT、懂安全，对评估的对象要比较清晰，这难度确实有点大。但是通畅业务系统上线前，需要进行等级保护测评、密码测评、安全测评等工作，因此，参与全过程测评的第三方团队或者业务系统的主要集成商满足这个条件。

即参与系统等保、密码测评的安全服务团队作为第三方评估，他们需要在网络安全基础上进阶到数据处理活动、数据安全部分内容，也能比较完美的执行好数据安全风险评估。另外，系统的总集成方，因为从头到尾参与项目的建设过程，对平台的数据、安全等比较熟悉，比较适合承担数据安全风险评估的角色。

  本文作者 

人工GPT

一个研究版、人肉版的学习机器人，缓慢有序的消化和理解知识，分享新想法。

注：根据网信上海发布的风险评估案例进行整理分析，形成详细版本的分析清单，且附注个人专业理解。

《数据安全风险评估36个案例手工分析版清单》EXCEL完整版，请前往知识星球下载