数据安全评估新规出台 | 天威诚信密评方案助力企业合规落地
近日,国家互联网信息办公室、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起正式施行。
作为我国网络数据安全领域的重要部门规章,《办法》明确了数据安全风险评估的分级实施要求,并在部门规章层面将商用密码应用安全性评估(以下简称 “密评”)与重要数据安全评估作出关联要求,为各行业开展数据安全合规工作提供了清晰的制度指引。
📌 重要数据处理者:每年度1次风险评估。
📌 首次在部门规章层面将密评纳入数据安全评估体系。
📌 2026年8月20日起正式施行。
一、政策核心要点梳理
《办法》针对不同数据处理主体设定了差异化的评估周期,同时对密码技术应用的安全性评估提出明确要求,核心内容可归纳为两方面:
01 分级评估周期清晰划定
重要数据处理者:应当每年度对其网络数据处理活动开展1次风险评估,若数据安全状态发生重大变化,还需及时开展专项评估;
一般数据处理者:鼓励至少每3年开展1次风险评估。
这一规定推动数据安全风险评估向常态化、周期化管理方向发展,进一步压实数据处理者的安全主体责任。
02 密评与数据安全评估作出制度关联
《办法》第二十三条明确规定:涉及重要数据加密等技术措施的,应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。
解读:这是我国在部门规章层面,对密评与数据安全风险评估作出的直接关联要求。意味着重要数据处理者在开展年度数据安全风险评估时,若采用加密技术保护重要数据,需同步开展密评工作,验证密码技术应用的合规性、正确性与有效性,密码技术防护成为数据安全合规体系中的重要组成部分。
二、新规落地,企业常见合规挑战
随着《办法》实施日期临近,涉及重要数据处理的政务、金融、能源、交通、医疗、互联网等行业主体,需同步对接数据安全风险评估与密评的双重合规要求,不少企业用户在落地过程中可能面临以下挑战:
挑战一 合规边界把握难
部分企业难以精准判定自身数据是否属于重要数据范畴,也不易明确数据加密场景下密评的覆盖范围、执行标准与实施流程,容易出现评估缺项、标准适配不足等情况。
挑战二 系统改造适配难
现有业务系统往往存在密码算法迭代不及时、密钥管理不规范、国密技术适配度不足等问题,改造过程中需要兼顾合规要求与业务连续性,对技术能力与项目实施经验要求较高。
挑战三 多项协同成本高
数据安全风险评估与密评对应不同的监管规范与实施体系,企业若分别对接不同机构开展工作,可能出现重复测评、流程衔接不畅、整改周期拉长等问题,相应提升合规成本与管理复杂度。
三、天威诚信密评解决方案,协助企业推进合规落地
作为首批全国性电子认证服务机构,天威诚信深耕行业多年,具备国家密码管理部门认可的相关商用密码服务资质,推出覆盖咨询规划、改造建设、评估配合、运维保障全环节的商用密码应用安全性评估服务方案,可协助企业同步对接数据安全风险评估与密评相关要求,推进密码防护能力建设。
01 多维度对标,贴合合规标准
方案严格依据《密码法》《商用密码管理条例》及 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等标准设计,从六大维度对系统密码应用情况开展系统性核查与适配建设:
物理和环境安全 | 网络和通信安全 |
设备和计算安全 | 应用和数据安全 |
密钥管理安全 | 安全管理体系 |
02 全链路服务,推进合规全流程落地
天威诚信提供从前期咨询到后期运维的连贯服务,协助企业处理密评合规各环节工作。
咨询规划阶段
提供合作测评机构;提供顶层规划设计;梳理密评推进流程。
建设改造阶段
提供产品;指导改造接入;提供第三方产品生态。
运维保障阶段
售后服务;配合密评进行环境搭建;输出管理文档。
03 方案服务特点
标准适配 | 低侵入改造 |
协同提效 | 实践丰富 |
《网络数据安全风险评估办法》的正式实施,进一步完善了我国数据安全监管体系,也凸显了商用密码在数据安全保护中的基础性支撑作用。对于重要数据处理者而言,提前布局密码能力建设、同步落实密评相关要求,既是履行合规义务的必要动作,也是强化数据安全防护能力的重要抓手。
天威诚信将持续深耕商用密码技术与服务领域,以成熟的密评服务方案,助力各行业企业衔接新规要求,以商用密码技术为支撑,强化数据全生命周期的安全防护能力。
