【儀表網(wǎng) 行業(yè)政策】5月24日,工業(yè)和信息化部印發(fā)《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)》(以下稱《細則》),旨在提升數(shù)據(jù)安全管理水平,維護國家安全和發(fā)展利益。
本《細則》適用于對中華人民共和國境內(nèi)工業(yè)和信息化領域重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動開展的數(shù)據(jù)安全風險評估。
重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關規(guī)定以及評估標準,對數(shù)據(jù)處理活動的目的和方式、業(yè)務場景、安全保障措施、風險影響等要素,開展數(shù)據(jù)安全風險評估,重點評估以下內(nèi)容:
(一)數(shù)據(jù)處理目的、方式、范圍是否合法、正當、必要;
(二)數(shù)據(jù)安全管理制度、流程策略的制定和落實情況;
(三)數(shù)據(jù)安全組織架構、崗位配備和職責履行情況;
(四)數(shù)據(jù)安全技術防護能力建設及應用情況;
(五)數(shù)據(jù)處理活動相關人員是否熟悉數(shù)據(jù)安全相關政策法規(guī)、是否具備數(shù)據(jù)安全知識技能、是否接受數(shù)據(jù)安全相關教育培訓等情況;
(六)發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件,對國家安全、公共利益的影響范圍、程度等風險;
(七)涉及數(shù)據(jù)提供、委托處理、轉移的,數(shù)據(jù)獲取方或受托方的安全保障能力、責任義務約束和履行情況;
(八)涉及國家法律法規(guī)中規(guī)定需要申報的數(shù)據(jù)出境安全評估情形,履行數(shù)據(jù)出境安全評估要求情況。
重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風險評估,評估結果有效期為一年,以評估報告首次出具日期計算。評估報告應當包括數(shù)據(jù)處理者基本情況、評估團隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風險評估環(huán)境,以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風險分析、評估結論及應對措施等。
在有效期內(nèi)出現(xiàn)以下情形之一的,重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當及時對發(fā)生變化及其影響的部分開展風險評估:
(一)新增跨主體提供、委托處理、轉移核心數(shù)據(jù)的;
(二)重要數(shù)據(jù)、核心數(shù)據(jù)安全狀態(tài)發(fā)生變化對數(shù)據(jù)安全造成不利影響的,包括但不限于數(shù)據(jù)處理目的、方式、適用范圍和安全制度策略等發(fā)生重大調整的;
(三)發(fā)生涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件的;
(四)重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化的;
(五)行業(yè)監(jiān)管部門要求進行評估的其他情形。
工業(yè)和信息化部根據(jù)技術能力、人員配備、信譽資質等情況,擇優(yōu)遴選通過能力認證的第三方評估機構,建立工業(yè)和信息化領域數(shù)據(jù)安全風險評估支撐機構庫。
行業(yè)監(jiān)管部門根據(jù)工作需要,可以自行或組織數(shù)據(jù)安全風險評估支撐機構庫中的機構,對重要數(shù)據(jù)和核心數(shù)據(jù)處理者的數(shù)據(jù)處理活動開展專項風險評估,或對重要數(shù)據(jù)和核心數(shù)據(jù)處理者的風險評估工作落實情況進行監(jiān)督檢查。
重要數(shù)據(jù)和核心數(shù)據(jù)處理者對行業(yè)監(jiān)管部門發(fā)起的專項風險評估及監(jiān)督檢查應當予以配合,并對評估發(fā)現(xiàn)的相關問題及時進行改正。
所有評論僅代表網(wǎng)友意見,與本站立場無關。