数据安全风险评估是对数据和数据处理活动安全进行风险识别、风险分析和风险评价的整个过程，核心围绕数据及数据处理活动，聚焦可能影响数据保密性、完整性、可用性和数据处理合理性的安全风险，最终目的是掌握数据安全总体状况、发现安全隐患、提出防护措施建议，提升数据防攻击、防破坏、防窃取、防泄露、防滥用能力。

 从核心要素来看，数据与数据处理活动是评估的核心——数据流转会涉及多项处理活动，而处理活动也可能关联不同类型数据。评估方式主要分为三类：数据处理者自行发起的“自评估”、委托专业机构实施的“第三方评估”，以及主管监管部门组织的“检查评估”。

数据安全风险评估的核心价值在于明确数据处理者的数据种类、规模、分布及处理活动基本情况，摸清数据安全底数；精准识别可能危害国家安全、公共利益或个人/组织合法权益的风险，尤其聚焦共享、交易、委托处理、境外提供重要数据等高风险场景；推动完善数据安全保护措施，提升整体防护能力，确保满足相关法律法规及监管要求。

以下场景需按规定开展评估：重要/核心数据处理者、处理1000万人以上个人信息的主体，需每年评估；重要数据提供、委托处理、共同处理前需评估；数据范围、处理活动、环境等发生重大变更或评估时效过期，需重新评估；企业合并、分立、解散、破产或数据转移时需评估；大型网络平台、赴境外上市企业需按规定定期评估；新技术应用、重要系统上线前，或可能危害国家安全/公共利益的处理活动，建议开展评估。

（一）评估核心流程

国标明确规定，数据安全风险评估需遵循“评估准备→信息调研→风险识别→风险分析与评价→评估总结”5个阶段，每个阶段均有明确产出物要求，最终形成正式的数据安全风险评估报告。

 （二）费用测算核心依据

通过对国内多地政策标准及近期中标项目的调研，数据安全风险评估费的测算主要呈现以下特征：

1、国内政策标准与计费模式

国内多地已出台政务信息化项目相关规范，计费模式主要分为两类：

（1）按工作量计取

《广东省政务服务数据管理局关于印发省级政务信息化服务预算编制规范和标准（试行）》（粤财行〔2019〕82号）和《长沙市财政评审中心政府投资信息化项目评审指南》（长财评综〔2023〕12号）中均以“数量×工作量×人月单价”的方式测算费用。其中长沙标准明确服务单元数量为数据库数量，通过细化各评估子项（如现场调研、数据安全评估等）的人天工作量，形成可量化的计算体系；广东标准则因服务单元数量界定不清晰，实操性稍弱。

 图：《广东省政务服务数据管理局关于印发省级政务信息化服务预算编制规范和标准（试行）》（粤财行〔2019〕82号）

 图：《长沙市财政评审中心政府投资信息化项目评审指南》（长财评综〔2023〕12号）

（2）无明确测算规则

《佛山市政务信息化项目概算编制指南（2023年版）》在概算总表中设立“专项安全测评服务”费用科目，但未明确专项安全测评的具体内容与方法，实际执行中需采购方与服务方协商确定。

 图：《佛山市政务信息化项目概算编制指南（2023年版）》

2、市场中标项目采购特征

近期公开中标项目呈现鲜明市场导向特征：

（1）打包招标：多数项目采用“一体化采购”模式，将数据安全风险评估与网络安全等级保护测评、商用密码应用评估捆绑招标。例如深圳税务2025年相关服务项目、新疆自治区不动产登记信息管理平台评估项目等，均以“等保+密评+数据安全评估”组合形式采购，服务费整体打包核算。

（2）单独招标：少数项目单独列支数据安全风险评估费用，如宁夏回族自治区疾病预防控制中心软件开发项目（总投资386.5万元），单独计取7万元评估费；北京市财政局2025年度财政数据安全风险评估项目，单独招标金额14.55万元。

 3、现存问题与优化建议

当前数据安全风险评估费测算存在两大核心问题：一是政策标准不统一，各地计费模式、核心参数差异大，缺乏全国性统一指导标准，导致预算编制无章可循；二是市场透明度不足，多数项目打包招标，评估费用未单独核算披露，难以形成清晰市场价格参考。

针对上述问题，建议从两方面优化：一是国家层面整合各地实践经验，以新国标为基础推动标准统一化，明确核心计费模式、参数定义，形成全国统一的预算编制指引，为不同规模、类型的项目（如政务数据、行业专用系统）提供差异化计费模板，兼顾通用性与特殊性；二是鼓励采购项目单独列明评估费用构成，提升市场价格透明度，营造良性竞争环境。

随着新国标落地与行业实践深化，未来需持续强化政策引导与市场监管，推动计费方式标准化，为数字经济高质量发展筑牢安全屏障。