11月23日,工业和信息化部向社会公开征求对《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》(以下简称《裁量指引》)的意见,旨在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展。
《裁量指引》作为我国《数据安全法》的配套文件,对工业和信息化领域的数据安全处罚裁量基准和裁量尺度进行了细化,同时也明确了工业和信息化领域数据处理者的数据安全保护义务,为构建数据安全体系提供了合规建设指引。天融信基于自身在数据安全领域多年的实践经验,针对《裁量指引》中的行政处罚情形整理出针对性应对建议,并结合全面的数据安全解决方案,帮助客户持续提升、完善数据安全保障能力。
《裁量指引》对《数据安全法》的相关处罚规定作出进一步衔接细化,并以《数据安全法》为基准,在行政处罚方面提出不履行数据安全保护义务、向境外非法提供数据、不配合监管三类违法行为触发条件。
(一)情形1: 不履行数据安全保护义务
《裁量指引》明确定义了数据处理者在处理数据过程中,未履行数据安全保护义务的二十条违规情形,包括未能建设重要和核心数据目录、未能构建数据安全管理体系及流程、未能建立对数据采取分级保护的能力、未能建立数据安全教育和培训体系、未能建立数据安全应急和风险评估能力等。同时,对于重要数据和核心数据处理者,特别提出了八条数据安全保护义务违规触发条件,细分情形及应对建议详见下表:
(上下滑动查看更多)
不履行数据安全保护义务违规应对建议表 | |
违规细分情形 | 应对建议 |
未定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位具体目录。 | 应基于数据安全治理体系,由外部专家和内部人员利用自动化数据安全分类分级工具,对重要数据和核心数据进行分类分级从而形成单位内的数据目录。 |
未建立数据全生命周期安全管理制度,未针对不同级别数据明确数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等环节的具体分级防护要求和操作规程。 | 应通过数据安全治理,由数据安全专家及数据安全管理人员结合组织数据安全战略目标,建立包规范、指南、方针的1到4级文件(包括数据安全管理制度、数据安全分类分级管理办法、数据安全管理组织架构、数据采集存储安全管理制度等)。 |
未根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展工作。 | 应通过数据安全治理,基于数据安全专家对内部业务流程的安全合规评估,结合企业实际数据安全管理情况,构建数据安全管理制度并细化管理人员权限及流程。 |
未合理确定数据处理活动的操作权限,严格实施人员权限管理。 | 应通过数据安全治理,对业务系统开展业务操作流程评估,评估内容包括数据操作权限、业务流程合规评估等,由数据安全专家和业务管理者共同制定数据处理活动的操作权限,建立数据全生命周期操作管理。 |
未根据应对数据安全事件的需要,制定应急预案,并开展应急演练。 | 应通过数据安全治理评估,基于数据安全专家和业务管理团队,开展数据安全应急保障体系建设,建立《数据安全应急预案》,提升整体应急保障能力。 |
未定期对从业人员开展数据安全教育和培训。 | 应通过数据安全治理评估,建立企业人员数据安全培训机制,定期组织外部数据安全专家给企业内部人员开展数据安全意识宣贯和数据安全保障能力培训。 |
未开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。 | 应通过数据安全管理平台,利用相关信息安全产品对数据安全风险进行监测,并采集多种安全产品日志,结合外部数据安全风险情报进行实时的数据安全风险分析。 |
发现可能造成较大及以上数据安全事件的风险后,未按照风险信息报送与共享工作机制向所在地行业监管部门报告并及时处置。 | 应通过数据安全治理评估机制,建立数据安全风险评估机制,利用数据安全管控平台与监管单位进行数据对接,实现重大数据安全风险上报机制。 |
数据安全事件发生后,未按照应急预案开展应急处置。 | 应通过数据安全治理机制,建立数据安全应急处置预案,通过数据安全管控平台及数据安全产品对数据安全事件开展应急处置。 |
未合理确定数据处理活动的操作权限,严格实施人员权限管理。 | 应通过数据安全治理,对业务系统开展业务操作流程评估,评估内容包括数据操作权限、业务流程合规评估等,由数据安全专家和业务管理者共同制定数据处理活动的操作权限,建立数据全生命周期操作管理。 |
数据安全事件发生后,未按照规定向所在地行业监管部门报告。 | 应建立基于数据安全管控平台的数据安全事件报送机制,平台可以与监管单位进行风险数据对接,当发生数据安全事件后及时向所在地行业监管部门进行上报。 |
数据安全事件发生后,未按照规定及时告知用户,并提供减轻危害措施。 | 应通过数据安全治理建立个人信息保护机制,确保个人信息所有者的合法权益,在发生数据安全事件发生后能够及时告知用户,在履行告知权益的同时提供减轻危害的措施。 |
未在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月。 | 应建立包括基于数据库审计系统、行为审计系统及日志审计系统的审计机制,通过以上系统记录并保存数据全生命周期过程中的数据处理、权限管理、个人操作等不少于180天的日志。 |
工业和信息化领域重要数据和核心数据处理者未建立覆盖本单位相关部门的数据安全工作体系,未明确数据安全负责人和管理机构,未建立常态化沟通与协作机制。 | 工业和信息化领域重要数据和核心数据处理者应基于数据安全治理体系,建立数据安全管理体系,形成包括《数据安全管理要求》、《数据安全管理组织架构》等数据安全管理文档,形成数据安全管理机制。 |
工业和信息化领域重要数据和核心数据处理者未明确数据处理关键岗位和岗位职责,未要求关键岗位人员签署数据安全责任书。 | 工业和信息化领域重要数据和核心数据处理者应基于数据安全治理体系,建立《数据生命周期安全管理制度》,明确数据处理岗位和岗位职责,建立关键数据岗位人员管理机制。 |
工业和信息化领域重要数据和核心数据处理者未建立数据内部登记、审批等工作机制,未对重要数据和核心数据的处理活动进行严格管理并留存记录。 | 工业和信息化领域重要数据和核心数据处理者应基于数据安全治理体系建立《数据安全管理流程》,具备完善的数据使用登记、审批等工作机制,并通过数据库审计系统、日志审计系统对重要数据和核心数据的处理活动进行严格管理并留存记录。 |
工业和信息化领域重要数据和核心数据处理者未按照有关规定做好重要数据和核心数据目录备案管理。 | 工业和信息化领域重要数据和核心数据处理者,应基于数据安全治理体系,由外部专家和内部人员利用自动化数据安全分类分级工具,对重要数据和核心数据进行分类分级,形成单位内的数据目录。 |
涉及重要数据和核心数据的安全事件,未第一时间向所在地行业监管部门报告,事件处置完成后未在规定期限内形成总结报告,每年未向本地区行业监管部门报告数据安全事件处置情况。 | 重要数据和核心数据处理者,应通过数据安全管理平台与监管单位进行数据对接,建立数据安全事件上报机制,在发生数据安全事件时及时向所在地行业监管部门报告,并在事件发生后限期生成事件处置总结报告,每年向本地区行业监管部门上报数据安全事件处置情况。 |
工业和信息化领域重要数据和核心数据处理者未按照规定对其数据处理活动每年至少开展一次风险评估,及时整改风险。 | 工业和信息化领域重要数据和核心数据处理者,应通过数据安全治理体系,建立数据安全风险评估机制,并利用数据安全风险评估系统,每年至少开展一次风险评估,生成评估结论及进行有效整改。 |
工业和信息化领域重要数据和核心数据处理者报送的风险评估报告未包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 | 工业和信息化领域重要数据和核心数据处理者,应通过数据安全风险评估系统,生成数据安全风险评估报告,报告内具有重要数据种类、数量、开展数据处理活动情况、面临数据安全风险及应对措施的详细描述。 |
对于核心数据跨主体提供、转移、委托处理,未按照有关规定进行评估、保护、报批等。 | 应通过数据安全治理体系及数据安全管控平台建立核心数据管理机制,对核心数据在跨主体提供、转移、委托处理过程中进行评估、保护和报批。 |
(二)情形2: 向境外非法提供数据
《裁量指引》明确定义了关键信息基础设施运营者和其他工业和信息化领域数据处理者向境外非法提供数据的违规情形,主要包括:未将中国收集和产生的数据存储在我国境内;未按照我国监管数据处理者要求进行数据出境安全评估;未经工业和信息化部批准向境外工业、电信、无线电执法机构提供我国工业和信息化领域数据。细分情形及应对建议详见下表:
(上下滑动查看更多)
向境外非法提供数据违规应对建议表 | |
违规细分情形 | 应对建议 |
工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储,或者因业务需要,确需向境外提供的,未按照有关规定进行数据出境安全评估。 | 工业和信息化领域中的关键信息基础设施运营者,应将境内产生的数据存储在境内,通过数据安全出境评估工具建立自动化评估体系,在数据出境前进行数据出境安全评估。 |
其他工业和信息化领域数据处理者,在中华人民共和国境内收集和产生的重要数据和核心数据,未按照法律、行政法规等要求在境内存储,或者确需向境外提供的,未依法依规进行数据出境安全评估。 | 其他工业和信息化领域数据处理者,应将境内产生的数据存储在境内,通过数据安全出境评估工具建立自动化评估体系,在数据出境前进行数据出境安全评估。 |
(三)情形3: 不配合监管
《裁量指引》明确了工业和信息化领域数据处理者在数据安全监督检查过程中可能触发的四种不配合监管违规情形。这些违规情形包括:未对组织运作、技术系统、算法原理、数据处理程序等进行解释说明;未开放安全相关数据访问并提供必要技术支持;拒绝在检查期间提供有关材料及信息;以及在检查期间提交虚假材料或试图隐匿、销毁、转移证据。
治理评估
在治理评估方面,天融信结合数据处理者的数据安全战略,可为其提供包括治理评估、能力建设、审计核查、持续改进的数据安全能力,并帮助数据处理者了解自身现有数据安全合规现状,为后续管理体系、技术体系的持续改进提供依据。
组织及管理体系建设
在组织和管理体系建设方面,天融信依托自身数据安全咨询服务,将客户在治理评估过程中的信息充分整合,帮助工业和信息化领域数据处理者形成健全数据安全管理能力,包含数据安全组织架构、管理制度、规范和流程等,从而满足数据安全合规要求,实现对自身数据的安全管理。
数据安全保障能力建设
在数据安全保障能力建设方面,天融信可为数据处理者构建全方位、立体化的数据安全防护体系。围绕数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等各个环节,天融信均可提供严密的安全防护措施,结合数据脱敏、数据备份、访问控制、加密传输、安全审计等多种技术手段,确保数据处理者在应用环境中实现最大程度的数据保护,从而将数据安全风险降至最低。
持续改进
在持续改进阶段,天融信可为工业和信息化数据处理者提供情报支撑、安全服务、运维维护及应急响应能力等方面的协助。一方面,确保数据处理者在数据安全管理过程中,能够充分掌握数据安全风险态势,形成健全的数据安全风险机制及应急响应机制。另一方面,天融信可协助相关单位形成有效的数据安全风险上报机制,全面满足工业和信息化部关于数据安全的合规要求。
天融信深度结合工业企业数字化发展业务场景与安全需求,形成的数据安全解决方案已为多个工业领域提供数据安全服务。在“直通乌镇”全球互联网大赛中,天融信“工业互联网数据安全一体化解决方案项目”从1000余个项目中脱颖而出实力上榜,也侧面印证了天融信在工业互联网安全领域优秀创新与应用能力。
《裁量指引》将为工业和信息化领域数据安全合规监管提供明确、可靠的法律依据。这不仅标志着我国数据安全法律体系的日益完善,同时也意味着合规监管工作正朝着实质性落地的方向稳步推进。天融信始终关注国家政策动态,积极赋能企业数据安全体系建设,未来将持续助力各行业数据安全的发展及实践,为维护国家数据安全贡献企业力量。
相关阅读
3、
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...