2025年4月25日，國家市場監(jiān)督管理總局發(fā)布《GB/T 45577-2025 數(shù)據(jù)安全技術 數(shù)據(jù)安全風險評估方法》（下文簡稱《方法》），并將于11月1日正式實施，文件適用于指導數(shù)據(jù)處理者、第三方評估機構開展數(shù)據(jù)安全風險評估，也可供有關主管監(jiān)管部門實施數(shù)據(jù)安全檢查評估時參考。作為我國數(shù)據(jù)安全領域的重要國家標準，它為企事業(yè)單位數(shù)據(jù)安全風險評估提供了全流程指南，從合規(guī)的要求到技術落地，從風險識別到整改處置的要求，全面覆蓋了數(shù)據(jù)的全部生命周期。

《方法》規(guī)定，數(shù)據(jù)安全風險評估主要圍繞數(shù)據(jù)和數(shù)據(jù)處理活動,聚焦可能影響數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理活動合理性的安全風險，掌握數(shù)據(jù)安全總體狀況，發(fā)現(xiàn)數(shù)據(jù)安全隱患，提出數(shù)據(jù)安全管理和技術防護措施建議,提升數(shù)據(jù)安全防攻擊、防破壞、防竊取、防泄露、防濫用能力。 

風險評估過程中，首先通過信息調研識別數(shù)據(jù)處理者、業(yè)務和信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動、安全措施等相關要素,然后從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術、個人信息保護等方面識別風險，最后梳理風險源清單，分析數(shù)據(jù)安全風險、視情評價數(shù)據(jù)安全風險，并給出整改建議。數(shù)據(jù)安全風險評估的方式，主要包括自評估、委托第三方評估和檢查評估。

該標準對于處理重要數(shù)據(jù)和個人信息的機構而言提出了較為嚴格的要求，它明確規(guī)定了4類應開展評估的剛性場景：

1.關鍵數(shù)據(jù)處理者（機構或企業(yè)）：重要數(shù)據(jù)/核心數(shù)據(jù)處理者、處理超1000萬個人信息的數(shù)據(jù)處理者，每年必須開展評估；

2.高風險數(shù)據(jù)活動：提供/委托/共同處理重要數(shù)據(jù)前、數(shù)據(jù)出境、系統(tǒng)重大變更（如并購、系統(tǒng)下線）時；

3.特殊主體：大型網(wǎng)絡平臺、政務數(shù)據(jù)處理者、境外上市企業(yè)，需額外關注供應鏈數(shù)據(jù)安全和跨境流動的合規(guī)性；

4.法律強制場景：違反數(shù)據(jù)安全法、個人信息保護法等規(guī)定時，評估將成為整改必備環(huán)節(jié)；

其中，高校目前在新技術應用（如生成式AI、物聯(lián)網(wǎng)）、日常業(yè)務開展以及重要系統(tǒng)上線前，雖目前未被強制要求，但主動評估可以提前規(guī)避風險，逐步完善自身的數(shù)據(jù)安全合規(guī)和風險管控能力。