随着信息技术的飞速发展和工业化进程的不断推进,工业和信息化领域的数据应用已经成为推动经济增长和社会进步的重要引擎。然而,随之而来的是日益复杂和多样化的数据安全威胁,给企业和社会带来了严峻的挑战和压力。
为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,保障国家关键信息基础设施的安全稳定,推动数字经济的健康发展,工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》有关要求,印发了《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《细则》),自 2024 年 6 月 1 日起正式施行,。
《细则》适用于对中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。
《细则》指导数据处理者进行数据安全评估工作
《细则》指出,重要数据和核心数据处理者应当按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,展数据安全风险评估,重点评估以下内容:
(一)数据处理目的、方式、范围是否合法、正当、必要;
(二)数据安全管理制度、流程策略的制定和落实情况:(三)数据安全组织架构、岗位配备和职责履行情况;
(四)数据安全技术防护能力建设及应用情况:
(五)数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
(七)涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况:
(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况:
重要数据和核心数据处理过程中,相关负责人应当及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等,并对最后的评估结果负责。
数据评估周期方面,《细则》也作出明确指示,要求重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,且以评估报告首次出具日期计算。数据完成评估后,重要数据和核心数据处理者应当在评估工作完成后的 10 个工作日内,向本地区行业监管部门报送评估报告。
《细则》强调,重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作能力的第三方评估机构开展评估,但第三方机构在评估过程建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具,并且必须能够保护国家机密严格遵守国家法律法规。
《细则》明确相关机构监管职责
《细则》指出,工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用,各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。
当地方行业监管部门发现不符合法律法规和有关规定的,应当及时通知重要数据和核心数据处理者依法子以改正。地方行业监管部门于 12 月 25 日前,将本地区本年度评估报告接收和审核情况报送工业和信息化部。后续,工业和信息化部视情对评估报告组织抽查审核。
行业监管部门同时还要对第三方评估机构的评估活动进行监督管理,对违反法律法规、未按行业规定和标准开展评估活动未履行保密义务的第三方评估机构,视情按照规定权限和程序进行约谈、通报,认证机构应根据通报信息,对不符合认证要求的第三方评估机构依法暂停直至撤销其相应认证证书。
一旦发现有违反《细则》的行为,行业监管部门按照相关法律法规,根据情节严重程度给予行政处罚,构成犯罪的,依法追究刑事责任,涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022