官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

近日， 为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全应急处置工作制度化、规范化开展，工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全事件应急预案（试行）》，并向全社会发布征求意见稿。

主要内容

《应急预案》根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度，将数据安全事件分为特别重大、重大、较大和一般四个级别。《应急预案》提出，数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”，落实数据处理者的数据安全主体责任。

《应急预案》共八章三十九条，主要内容包括：

（一）关于总则（第 1.1 至 1.6 节）。一是明确编制目的、 依据和适用范围。二是明确事件定义和分级方法。三是提出 应急处置工作应当坚持统一领导、分级负责等原则。

（二）关于组织体系（第 2.1 至 2.4 节）。明确工业和信 息化部、地方行业主管部门、数据处理者、应急支撑机构以 及专家组的工作职责，建立统一指挥、协同配合工作机制。

（三）关于监测与预警（第 3.1 至 3.5 节）。一是建立数 据安全风险监测发现、研判分析以及报告机制。二是按照紧 急程度、发展态势、数据规模、关联影响和现实危害等，明 确数据安全风险预警等级。三是规定预警信息发布、响应以 及解除等方面具体措施要求。

（四）关于事件应急响处置（第 4.1 至 5.2 节）。一是事 前建立数据安全事件监测和报告机制，明确数据处理者应急 处置要求。二是事中按照事件级别和响应等级，明确数据安 全事件应急处置采取的措施和具体要求。三是事后加强总 结，明确涉事数据处理者应当评估形成总结报告。

（五）关于预防措施（第 6.1 至 6.5 节）。一是提出预防 保护、应急演练、宣传培训、手段建设等措施，提升日常数 据安全意识和防护、应对能力。二是明确要加强国家重大活 动期间数据安全风险监测、威胁研判和事件处置，强化风险 防范与应对措施。

（六）关于保障措施（第 7.1 至 7.7 节）。提出落实责任、奖惩问责、经费保障、队伍建设、工作协同、物资保障、国际合作等有关保障措施要求，提升工业和信息化领域数据安全事件综合应对能力。

外媒报道

据路透社12月15日报道，中国有关部门15日发布了一个包含“四级分类”的应急预案(征求意见稿)，以应对数据安全事件。此举凸显了中国政府对境内大规模数据泄露和黑客攻击的担忧。

在该草案出台之际，中国与美国及其盟友的地缘政治紧张局势不断加剧。中国工信部公开征求对《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》的意见。该案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度，将数据安全事件分为特别重大、重大、较大和一般四个级别。

根据该案，数据遭到篡改、破坏、泄露或者非法获取、非法利用，造成特别重大经济损失，损失10亿元人民币(含)以上的情形；发生特别严重个人信息安全事件，涉及1亿人(含)以上个人信息或者1000万人(含)以上敏感个人信息的情形，均为特别重大数据安全事件，应发布红色预警。

此外，工业和信息化领域数据处理者一旦发生数据安全事件，应当立即先行判断，对自判为较大以上事件的，应当立即向地方行业监管部门报告，不得迟报、谎报、瞒报、漏报。

原文链接

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html