工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）关于数据安全风险评估的相关要求，我们研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》（以下简称《实施细则》），指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作。有关情况说明如下：

一、编制背景

数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。《管理办法》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向本地区行业监管部门报送风险评估报告”的具体细化要求。为进一步细化行业数据安全风险评估规则，规范风险评估活动，有效提升重要数据和核心数据保护水平，我们研究起草了《实施细则》。

二、主要内容

《实施细则》共十七条，确定了部省两级数据安全风险评估工作体系，细化了重要数据和核心数据处理者的评估义务，明确了行业主管部门监督管理评估活动的机制流程。主要内容包括：

（一）关于适用范围及管理职责（第一至四条）。界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估，明确工业和信息化部、地方行业监管部门的职责分工，并确立风险评估工作原则。

（二）关于评估对象和内容（第五条）。明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素，并按照以上要素细化了具体评估内容。

（三）关于评估机制要求（第六至十条）。提出了评估期限、重新申报评估的情形、可采取的评估方式，并对委托评估、评估协作、风险控制和评估报告报送等作出要求。

（四）关于审核、监督和管理制度（第十一至十五条）。明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求，并提出建立支撑行业监管工作的第三方评估机构库。

（五）关于保密等其他要求（第十六至十七条）。明确行业监管部门及委托支撑机构的工作人员的保密义务，提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行。