工信部电子五所卢列文：数据安全风险评估要多从业务角度出发

3月1日下午，以“探索数字安全新生态，引领数字经济新未来”为主题的第二届“云山论剑·广州数字安全大会”在广州白云国际会议中心举行。会上，工业和信息化部电子第五研究所软件与系统研究部（院）高级副院长卢列文以“开展数据安全风险评估，保障数字经济高质量发展”为主题发表了主题演讲，并接受南都记者采访。

*工业和信息化部电子第五研究所软件与系统研究部（院）高级副院长卢列文进行主题演讲。

“数据安全已成为最紧迫和最基础的问题”，卢列文在主题演讲中提到，数字经济时代，数据安全事件频发，及时对网络数据和数据处理活动安全进行风险评估，发现数据安全隐患，提出数据安全管理和技术防护措施建议，对提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力具有重要意义。

他指出，开展数据安全风险评估是企业做好数据安全保护的重要环节，是主管部门落实监管职能的重要抓手，也是各方履行法定义务的必要程序。并强调进行数据安全风险评估的时候，更多要从业务角度，识别各个业务场景，识别数据在整个过程中的流动过程、跨主体传递的过程，借助对象主要是熟悉处理者，最后在评估基础上再采取安全措施，降低风险。

对于数据安全风险评估如何保障政府和企业的数据数据安全，卢列文在接受南都记者采访时表示，数据安全风险评估的本质是发现风险、管理风险、平衡数据价值和数据风险之间的冲突，有效保障数据安全流通和使用。“首先，数据安全风险评估是一种‘安全体检’，帮助政府和企业掌握数据安全总体状况，查找潜在的数据安全风险和漏洞。其次，数据安全风险评估结果为政府和企业制定数据安全策略提供了重要依据，基于风险评估的发现，可以制定针对性的安全措施和政策，从而确保数据的保密性、完整性和可用性。”

他还提到，网络安全等级保护测评、商用密码应用安全性评估和数据安全风险评估的工作目标是一致的，三者在流程上可以协同起来：网络安全等级保护测评是“大而全”、商用密码应用安全性评估更为“专而精”、数据安全风险评估是“聚焦数据”，虽然侧重点不同，但都是网络安全运营者应履行的责任和义务，都是构成国家网络安全体系中的重要环节，都是总体国家安全观的重要体现。

第二届“云山论剑·广州数字安全大会”由中共广州市委网络安全和信息化委员会办公室、广州市政务服务数据管理局、广州市国家保密局、广州市市场监督管理局（知识产权局）指导，广州市白云区人民政府、安恒信息主办，中共广州市白云区委网络安全和信息化委员会办公室、广州市白云区政务服务数据管理局、广州市公安局白云区分局、鹏城实验室承办，广州安恒智慧城市网络安全技术有限公司、南方都市报社联合承办。