2025年4月25日，國家市場監(jiān)督管理總局發(fā)布《GB/T 45577-2025 數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》（下文簡稱《方法》），并將于11月1日正式實(shí)施，文件適用于指導(dǎo)數(shù)據(jù)處理者、第三方評估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，也可供有關(guān)主管監(jiān)管部門實(shí)施數(shù)據(jù)安全檢查評估時(shí)參考。作為我國數(shù)據(jù)安全領(lǐng)域的重要國家標(biāo)準(zhǔn)，它為企事業(yè)單位數(shù)據(jù)安全風(fēng)險(xiǎn)評估提供了全流程指南，從合規(guī)的要求到技術(shù)落地，從風(fēng)險(xiǎn)識別到整改處置的要求，全面覆蓋了數(shù)據(jù)的全部生命周期。

《方法》規(guī)定，數(shù)據(jù)安全風(fēng)險(xiǎn)評估主要圍繞數(shù)據(jù)和數(shù)據(jù)處理活動,聚焦可能影響數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理活動合理性的安全風(fēng)險(xiǎn)，掌握數(shù)據(jù)安全總體狀況，發(fā)現(xiàn)數(shù)據(jù)安全隱患，提出數(shù)據(jù)安全管理和技術(shù)防護(hù)措施建議,提升數(shù)據(jù)安全防攻擊、防破壞、防竊取、防泄露、防濫用能力。 

風(fēng)險(xiǎn)評估過程中，首先通過信息調(diào)研識別數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動、安全措施等相關(guān)要素,然后從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面識別風(fēng)險(xiǎn)，最后梳理風(fēng)險(xiǎn)源清單，分析數(shù)據(jù)安全風(fēng)險(xiǎn)、視情評價(jià)數(shù)據(jù)安全風(fēng)險(xiǎn)，并給出整改建議。數(shù)據(jù)安全風(fēng)險(xiǎn)評估的方式，主要包括自評估、委托第三方評估和檢查評估。

該標(biāo)準(zhǔn)對于處理重要數(shù)據(jù)和個(gè)人信息的機(jī)構(gòu)而言提出了較為嚴(yán)格的要求，它明確規(guī)定了4類應(yīng)開展評估的剛性場景：

1.關(guān)鍵數(shù)據(jù)處理者（機(jī)構(gòu)或企業(yè)）：重要數(shù)據(jù)/核心數(shù)據(jù)處理者、處理超1000萬個(gè)人信息的數(shù)據(jù)處理者，每年必須開展評估；

2.高風(fēng)險(xiǎn)數(shù)據(jù)活動：提供/委托/共同處理重要數(shù)據(jù)前、數(shù)據(jù)出境、系統(tǒng)重大變更（如并購、系統(tǒng)下線）時(shí)；

3.特殊主體：大型網(wǎng)絡(luò)平臺、政務(wù)數(shù)據(jù)處理者、境外上市企業(yè)，需額外關(guān)注供應(yīng)鏈數(shù)據(jù)安全和跨境流動的合規(guī)性；

4.法律強(qiáng)制場景：違反數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等規(guī)定時(shí)，評估將成為整改必備環(huán)節(jié)；

其中，高校目前在新技術(shù)應(yīng)用（如生成式AI、物聯(lián)網(wǎng)）、日常業(yè)務(wù)開展以及重要系統(tǒng)上線前，雖目前未被強(qiáng)制要求，但主動評估可以提前規(guī)避風(fēng)險(xiǎn)，逐步完善自身的數(shù)據(jù)安全合規(guī)和風(fēng)險(xiǎn)管控能力。