一、2026年政策直击 数据安全评估四大核心信号
信号一:《网络数据安全风险评估办法》即将落地,评估成法定动作
重要数据处理者:必须每年开展一次风险评估,评估完成后10个工作日内报送报告 一般数据处理者:至少每3年开展一次风险评估 报告保存要求:风险评估报告至少保存3年 评估结果互认:风险评估、等保测评、数据安全管理认证等内容重合的可互相采信,避免重复评估
信号二:金融业打响第一枪,2026年“四个一批”全面铺开
主体责任机制:落实数据安全工作“一把手责任制”,按照“谁管业务、谁管业务数据、谁管数据安全”原则压实责任 分类分级管理:金融机构需对敏感数据、核心数据、重要数据进行全量梳理和定级 风险监测处置:聚焦超范围授权、异常访问、数据异常流动、第三方合作风险等场景
信号三:工信领域强制年评,地方行动全面展开
重要数据和核心数据处理者每年至少开展一次数据安全风险评估 规上工业企业实现数据分类分级全覆盖 新增数据安全分类分级重点企业不少于50家
信号四:执法风向转变——从“纸面合规”到“工程合规”
工程化:漏洞是否修复、端口是否暴露、日志是否留存、事件后是否复盘整改——这些都是可客观验证的事实 场景化:首次运行弹窗、隐私政策可达性、权限调用、注销与删除闭环等,成为App合规检测的“高频检查点” 链条化:外包运维、第三方系统、供应链合作、跨境传输等成为问责叙事的一部分
二、评估机构与人员资质已成“硬门槛”
金融机构:应对2026年“四个一批”专项检查,需组建持证评估团队 第三方评估机构:申请机构服务能力认证,人员必须持证 企业合规/安全人员:从“被动应对”到“主动掌控”,提升职业竞争力 工信领域企业:满足重要数据年评要求,落实主体责任 咨询顾问/律师:拓展数据安全评估服务能力,抢占合规蓝海市场
三、2026年CCRC-DSA(数据安全评估师)认证安排
月份 | 第一阶段 | 第二阶段 | 考试时间(线上) |
3月 | 3月14-15日 | 3月21-22日 | 3月23日 |
4月 | 4月25-26日 | 5月9-10日 | 5月11日 |
6月 | 6月27-28日 | 7月4-5日 | 7月6日 |
8月 | 8月29-30日 | 9月5-6日 | 9月7日 |
10月 | 10月31-11月1日 | 11月7-8日 | 11月9日 |
12月 | 12月19-20日 | 12月26-27日 | 12月28日 |