【儀表網 行業政策】5月24日,工業和信息化部印發《工業和信息化領域數據安全風險評估實施細則(試行)》(以下稱《細則》),旨在提升數據安全管理水平,維護國家安全和發展利益。
本《細則》適用于對中華人民共和國境內工業和信息化領域重要數據和核心數據處理者數據處理活動開展的數據安全風險評估。
重要數據和核心數據處理者按照國家法律法規、行業監管部門有關規定以及評估標準,對數據處理活動的目的和方式、業務場景、安全保障措施、風險影響等要素,開展數據安全風險評估,重點評估以下內容:
(一)數據處理目的、方式、范圍是否合法、正當、必要;
(二)數據安全管理制度、流程策略的制定和落實情況;
(三)數據安全組織架構、崗位配備和職責履行情況;
(四)數據安全技術防護能力建設及應用情況;
(五)數據處理活動相關人員是否熟悉數據安全相關政策法規、是否具備數據安全知識技能、是否接受數據安全相關教育培訓等情況;
(六)發生數據遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件,對國家安全、公共利益的影響范圍、程度等風險;
(七)涉及數據提供、委托處理、轉移的,數據獲取方或受托方的安全保障能力、責任義務約束和履行情況;
(八)涉及國家法律法規中規定需要申報的數據出境安全評估情形,履行數據出境安全評估要求情況。
重要數據和核心數據處理者每年至少開展一次數據安全風險評估,評估結果有效期為一年,以評估報告首次出具日期計算。評估報告應當包括數據處理者基本情況、評估團隊基本情況、重要數據的種類和數量、開展數據處理活動的情況、數據安全風險評估環境,以及數據處理活動分析、合規性評估、安全風險分析、評估結論及應對措施等。
在有效期內出現以下情形之一的,重要數據和核心數據處理者應當及時對發生變化及其影響的部分開展風險評估:
(一)新增跨主體提供、委托處理、轉移核心數據的;
(二)重要數據、核心數據安全狀態發生變化對數據安全造成不利影響的,包括但不限于數據處理目的、方式、適用范圍和安全制度策略等發生重大調整的;
(三)發生涉及重要數據、核心數據的安全事件的;
(四)重要數據和核心數據目錄備案內容發生重大變化的;
(五)行業監管部門要求進行評估的其他情形。
工業和信息化部根據技術能力、人員配備、信譽資質等情況,擇優遴選通過能力認證的第三方評估機構,建立工業和信息化領域數據安全風險評估支撐機構庫。
行業監管部門根據工作需要,可以自行或組織數據安全風險評估支撐機構庫中的機構,對重要數據和核心數據處理者的數據處理活動開展專項風險評估,或對重要數據和核心數據處理者的風險評估工作落實情況進行監督檢查。
重要數據和核心數據處理者對行業監管部門發起的專項風險評估及監督檢查應當予以配合,并對評估發現的相關問題及時進行改正。
所有評論僅代表網友意見,與本站立場無關。