最近，《数据安全技术数据安全风险评估方法》（GB/T 45577-2025）由国家市场监督管理总局、国家标准化管理委员会发布的2025年第10号《中华人民共和国国家标准公告》正式发布，于2025年11月1日起正式实施。明确了，数据安全风险评估的基本概念、要素关系、分析原理，给出了数据安全风险评估的实施流程、评估内容、分析评价方法等

此前，国家市场监督管理总局、国家标准化管理委员会发布了《数据安全技术数据安全评估机构能力要求》（GB/T 45389-2025），数据安全评估机构的能力要求，旨在为评估组织提供指导。内容涵盖了人员配置、技术支持、操作流程及服务质量等方面的要求。

有这个标准，说明后期的数据安全评估类工作，也必将是准入制，不可能随意一个安全机构都能开展。就像信息安全风险评估、

从标准，我们看到有能力要求分别为基础条件、管理、技术、人力资源、产地与设备资源等能力要求。而技术能力涵盖了三个方向，分别是数据安全风险评估的技术能力、个人信息保护影响评估的技术能力、数据出境安全评估的技术能力，这三个能力又分别有不同的标准或文件来约束和实现。

如图所示：

数据安全评估三类，其共同的上位法律是《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规，具体到数据安全风险评估的背后，是国家标准《数据安全技术数据安全风险评估方法》（GB/T 45577-2025）；个人信息保护影响评估的背后，是国家标准《GB/T 39335-2020 信息安全技术个人信息安全影响评估指南》、数据出境安全评估的背后则有《数据出境安全评估办法》、《信息安全技术数据出境安全评估指南》（草案阶段）。

此前，在与个别专家以及部分数据安全厂商交流时，他们把数据安全评估与数据安全风险评估等同了，这个理解是存在错误的。数据安全评估是一个大的类，下设三个小类。而每类工作对于责任单位来说，都意味着预算资金的投入。

设备和工具类型

序号	类型	示例
1	检测类	如App安全检测分析工具、数据资产识别工具、恶意代码检测工具等
2	监测类	如API风险监测工具、数据审计工具等
3	分析类	如符合性分析工具、元数据分析工具、算法评估分析工具、网络协议分析工具、网络流量分析工具等
4	扫描类	如漏洞扫描工具、内存恶意代码残留扫描工具等
5	测试类	如渗透测试工具等