●  評估內(nèi)容

重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標(biāo)準(zhǔn)，對數(shù)據(jù)處理活動的目的和方式、業(yè)務(wù)場景、安全保障措施、風(fēng)險(xiǎn)影響等要素，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，重點(diǎn)評估以下內(nèi)容：

●  評估有效期

重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評估，評估結(jié)果有效期為一年，以評估報(bào)告首次出具日期計(jì)算。在有效期內(nèi)出現(xiàn)以下情形之一的，重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)及時對發(fā)生變化及其影響的部分開展風(fēng)險(xiǎn)評估：

●  評估方式

重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作能力的第三方評估機(jī)構(gòu)開展評估。評估過程應(yīng)當(dāng)建立至少包括組織管理、業(yè)務(wù)運(yùn)營、技術(shù)保障、安全合規(guī)等人員的專業(yè)評估團(tuán)隊(duì)，制定完備的評估工作方案，配備有效的技術(shù)評測工具。

●  第三方評估機(jī)構(gòu)要求

鼓勵熟悉工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全工作，滿足資質(zhì)要求的認(rèn)證機(jī)構(gòu)開展第三方評估機(jī)構(gòu)的能力認(rèn)證。

工業(yè)領(lǐng)域企業(yè)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估可以參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施指引》（TC260-PG-20231A）開展。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評估內(nèi)容框架

圍繞工業(yè)領(lǐng)域企業(yè)數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術(shù)、個人信息保護(hù)等方面開展評估。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評估流程

主要包括評估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識別、綜合分析、評估總結(jié)五個階段，以下為各階段的具體工作及主要產(chǎn)出物。

●  企業(yè)數(shù)據(jù)安全評估實(shí)施步驟

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評估手段

開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估時，可綜合采用人員訪談、文檔查驗(yàn)、安全核查、技術(shù)測試等手段。

●  數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告

數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評估環(huán)境，以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風(fēng)險(xiǎn)分析、評估結(jié)論及應(yīng)對措施等。