【
仪表网 行业政策】5月24日,工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》(以下称《细则》),旨在提升数据安全管理水平,维护国家安全和发展利益。
本《细则》适用于对中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。
重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估
标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
(一)数据处理目的、方式、范围是否合法、正当、必要;
(二)数据安全管理制度、流程策略的制定和落实情况;
(三)数据安全组织架构、岗位配备和职责履行情况;
(四)数据安全技术防护能力建设及应用情况;
(五)数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
(七)涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况;
(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。
重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。
在有效期内出现以下情形之一的,重要数据和核心数据处理者应当及时对发生变化及其影响的部分开展风险评估:
(一)新增跨主体提供、委托处理、转移核心数据的;
(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的;
(三)发生涉及重要数据、核心数据的安全事件的;
(四)重要数据和核心数据目录备案内容发生重大变化的;
(五)行业监管部门要求进行评估的其他情形。
工业和信息化部根据技术能力、人员配备、信誉资质等情况,择优遴选通过能力认证的第三方评估机构,建立工业和信息化领域数据安全风险评估支撑机构库。
行业监管部门根据工作需要,可以自行或组织数据安全风险评估支撑机构库中的机构,对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。
重要数据和核心数据处理者对行业监管部门发起的专项风险评估及监督检查应当予以配合,并对评估发现的相关问题及时进行改正。
全部评论