可信数据空间中数据安全风险评估的频率与内容？

可信数据空间中，数据安全风险评估的频率需结合法规要求、数据动态属性与业务场景灵活设定——常规场景下，对稳定运行的低敏感数据系统可按季度或半年开展周期性评估；针对高敏感数据（如个人信息、核心商业秘密）、频繁变更的系统（如合作方接入、数据接口迭代）或安全事件后场景，则需实时或按需评估（如系统升级后立即核查、事件处置后回溯分析）。

评估内容紧扣“多方协作、数据流动”的可信特征，聚焦五大核心维度：一是数据资产梳理，明确分类分级（敏感/非敏感）、分布范围（本地/跨主体节点）及权属关系；二是威胁与脆弱性识别，涵盖外部攻击（黑客、供应链风险）、内部风险（权限滥用、误操作）及系统/管理漏洞（加密缺陷、流程缺失）；三是控制措施有效性验证，检查加密、访问控制、脱敏、审计等机制是否适配数据流动场景（如跨主体共享时的权限动态调整是否精准）；四是合规性核查，对照《数据安全法》《个人信息保护法》及行业规范（如金融行业《个人金融信息保护技术规范》），校验全生命周期合规性；五是影响与应急评估，分析风险后果（声誉、经济损失、合规处罚）及响应机制有效性。

此外，需特别关注多方协作中的信任风险（如合作方数据处理能力不足引发的连锁隐患），确保评估既覆盖技术安全，也适配数据空间的动态协同属性。

摘自《可信数据空间合规100问》