數據要素是數字經濟的核心生(shēng)産要素，數據安全是事關國家安全和經濟社會發展的重大(dà)問題。近年來，我(wǒ)國數據安全保障體(tǐ)系建設穩步推進，但随着數據規模不斷擴大(dà)、數據價值不斷提高、數據應用場景和參與主體(tǐ)日益多樣化、數據安全的外(wài)延不斷擴展，數據洩露、數據濫用、數據篡改、數據僞造和隐私保護等風險也與日俱增。如何有效防範數據安全風險與事件，是全球數字經濟發展下(xià)的重點問題。

《數據安全法》（2021年9月1日實施）

第二十二條　國家建立集中(zhōng)統一(yī)、*權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工(gōng)作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分(fēn)析、研判、預警工(gōng)作。

第三十條　重要數據的處理者應當按照規定對其數據處理活動定期開(kāi)展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開(kāi)展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

《工(gōng)業和信息化領域數據安全管理辦法（試行）》（工(gōng)信部 2022年12月8日發布）

第三十一(yī)條  工(gōng)業和信息化部制定行業數據安全評估管理制度，開(kāi)展評估機構管理工(gōng)作。制定行業數據安全評估規範，指導評估機構開(kāi)展數據安全風險評估、出境安全評估等工(gōng)作。

地方行業監管部門分(fēn)别負責組織開(kāi)展本地區數據安全評估工(gōng)作。

工(gōng)業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構，每年對其數據處理活動至少開(kāi)展一(yī)次風險評估，及時整改風險問題，并向本地區行業監管部門報送風險評估報告。

第六十六條 （風險評估與審計）

銀行保險機構應當每年開(kāi)展一(yī)次數據安全風險評估。…..

網絡安全等級保護測評是滿足《中(zhōng)華人民共和國網絡安全法》第二十一(yī)條“國家實行網絡安全等級保護制度”的要求；

商(shāng)用密碼應用安全性評估是滿足《中(zhōng)華人民共和國密碼法》第二十七條“法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商(shāng)用密碼進行保護，自行或者委托商(shāng)用密碼檢測機構開(kāi)展商(shāng)用密碼應用安全性評估”的要求；

數據安全風險評估是滿足《中(zhōng)華人民共和國數據安全法》第三十條“重要數據的處理者應當按照規定對其數據處理活動定期開(kāi)展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開(kāi)展數據處理活動的情況，面臨的數據安全風險及其應對措施等”的要求。

網絡安全等級保護測評和商(shāng)用密碼應用安全性評估針對已定級的等級保護對象開(kāi)展，等級保護對象的範圍包括“應用、服務、信息技術資(zī)産或其他信息處理組件”，根據國家标準分(fēn)别對等級保護對象的安全防護現狀、密碼技術應用情況開(kāi)展測評。

數據安全風險評估圍繞數據和數據處理活動開(kāi)展，可以是單位的全部數據，也可以選取重點等級保護對象開(kāi)展。數據處理活動包括已經開(kāi)展的數據處理活動，如數據采集、數據存儲、數據使用等，也可以針對即将開(kāi)展的數據處理活動進行評估，綜合評價即将開(kāi)展的數據處理活動是否滿足合規要求和安全防護要求，如數據共享、數據交易、數據出境等。

網絡安全等級保護測評，對等級保護對象開(kāi)展測評，圍繞等級保護對象可能遭受的安全風險開(kāi)展，遭受的風險包括惡意攻擊、軟硬件故障和管理不到位等安全風險。

商(shāng)用密碼應用安全性評估，對等級保護對象開(kāi)展測評，主要圍繞密碼算法、密碼協議、密碼産品、密鑰管理等棄用、錯用、誤用等風險。

數據安全風險評估，對數據流動過程和數據處理過程的風險進行評估，數據遭受的風險包括數據洩露、數據破壞、數據丢失等數據安全風險，還關注數據處理活動的合規性，對違法違規獲取數據、違法違規出售數據、違法違規購買數據、違法違規出境數據等數據合規性風險進行評估。