数据要素是数字经济的核心生产要素，数据安全是事关国家安全和经济社会发展的重大问题。近年来，我国数据安全保障体系建设稳步推进，但随着数据规模不断扩大、数据价值不断提高、数据应用场景和参与主体日益多样化、数据安全的外延不断扩展，数据泄露、数据滥用、数据篡改、数据伪造和隐私保护等风险也与日俱增。如何有效防范数据安全风险与事件，是全球数字经济发展下的重点问题。

《数据安全法》（2021年9月1日实施）

第二十二条　国家建立集中统一、*权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

《工业和信息化领域数据安全管理办法（试行）》（工信部 2022年12月8日发布）

第三十一条  工业和信息化部制定行业数据安全评估管理制度，开展评估机构管理工作。制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、出境安全评估等工作。

地方行业监管部门分别负责组织开展本地区数据安全评估工作。

工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向本地区行业监管部门报送风险评估报告。

第六十六条 （风险评估与审计）

银行保险机构应当每年开展一次数据安全风险评估。…..

网络安全等级保护测评是满足《中华人民共和国网络安全法》第二十一条“国家实行网络安全等级保护制度”的要求；

商用密码应用安全性评估是满足《中华人民共和国密码法》第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求；

数据安全风险评估是满足《中华人民共和国数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等”的要求。

网络安全等级保护测评和商用密码应用安全性评估针对已定级的等级保护对象开展，等级保护对象的范围包括“应用、服务、信息技术资产或其他信息处理组件”，根据国家标准分别对等级保护对象的安全防护现状、密码技术应用情况开展测评。

数据安全风险评估围绕数据和数据处理活动开展，可以是单位的全部数据，也可以选取重点等级保护对象开展。数据处理活动包括已经开展的数据处理活动，如数据采集、数据存储、数据使用等，也可以针对即将开展的数据处理活动进行评估，综合评价即将开展的数据处理活动是否满足合规要求和安全防护要求，如数据共享、数据交易、数据出境等。

网络安全等级保护测评，对等级保护对象开展测评，围绕等级保护对象可能遭受的安全风险开展，遭受的风险包括恶意攻击、软硬件故障和管理不到位等安全风险。

商用密码应用安全性评估，对等级保护对象开展测评，主要围绕密码算法、密码协议、密码产品、密钥管理等弃用、错用、误用等风险。

数据安全风险评估，对数据流动过程和数据处理过程的风险进行评估，数据遭受的风险包括数据泄露、数据破坏、数据丢失等数据安全风险，还关注数据处理活动的合规性，对违法违规获取数据、违法违规出售数据、违法违规购买数据、违法违规出境数据等数据合规性风险进行评估。