2024年5月24日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)》,旨在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规、政策文件有关数据安全风险评估的相关要求,进一步细化工业和信息化领域数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平。
明确义务
《工业和信息化领域数据安全管理办法(试行)》第三十一条明确,工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。因此,每年定期开展数据安全风险评估以及报送为工信领域重要数据和核心数据处理者的法定强制性义务,而一般数据处理者则可自行参照《工业和信息化领域数据安全风险评估实施细则(试行)》开展风险评估,对于涉及军事、国家秘密信息等数据处理活动则需依据特定规定。
评估要求
《工业和信息化领域数据安全风险评估实施细则(试行)》就开展风险评估明确了相关要求,具体如下表所示:
风险评估要求
序号 | 要求方面 | 要求内容 |
1 | 频率 | 至少每年一次 |
2 | 方式 | 自行评估或委托具有经验的第三方评估 |
3 | 评估组织建设与技术支持 | 建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。 |
4 | 有效期 | 自评估报告首次出具之日起一年 |
5 | 评估内容 | 数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等,并重点评估 1、数据处理目的、方式、范围是否合法、正当、必要 2、数据安全管理制度、流程策略的制定和落实情况 3、数据安全组织架构、岗位配备和职责履行情况 4、数据安全技术防护能力建设及应用情况 5、数据处理活动相关人员的数据安全意识、知识技能、从业背景情况 6、发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险 7、涉及数据提供、委托处理、转移的,数据提供方、接收方的安全保障能力、诚信守法和责任义务约束情况 8、涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的 规模、范围、种类、敏感程度等要素与申报事项的符合情况 |
6 | 重新评估触发条件及范围 | 1、拟新增跨主体提供、委托处理、转移重要数据或者核心数据的 2、重要数据、核心数据安全状态发生变化对数据安全造成不利影响的 3、发生涉及重要数据、核心数据的安全事件的 4、行业监管部门要求进行评估的 |
相关数据处理者应依据《工业和信息化领域数据安全风险评估实施细则(试行)》相关要求及时开展数据安全风险评估,并完成上报工作。
报送流程
《工业和信息化领域数据安全风险评估实施细则(试行)》明确,各重要数据、核心数据处理者需在评估完成后的10个工作日内向所属地所属行业主管部门报送风险评估报告,并由地方行业主管部门根据工作需要报送工信部备案。中央企业所属企业除报送地方行业主管部门外,还需上报至中央企业,由中央企业汇总报送至工信部。同时,对于涉及跨境提供、转移、委托处理重要数据和核心数据的或者跨主体提供、转移、委托处理核心数据的,《工业和信息化领域数据安全风险评估实施细则(试行)》明确地方行业主管部门审核后还需报工信部按照国家有关规定进行复核,相关报送流程如下图所示:
工业和信息化领域数据安全风险评估报送流程
扫码进星球下载公众号文件
■
审核:晓洁
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...