行業(yè)動態(tài)

工信部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險評估實施細則(試行)(征求意見稿)》

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2023-10-09    瀏覽次數(shù):
 

數(shù)字化轉(zhuǎn)型浪潮下,為緊跟時代步伐,謀求智能化、高效率發(fā)展,各企業(yè)“囤積”大量數(shù)據(jù)資產(chǎn)。這些資產(chǎn)助力企業(yè)快速轉(zhuǎn)型同時,蘊藏了大量數(shù)據(jù)安全風險,特別是工業(yè)和信息化領(lǐng)域的企業(yè),生產(chǎn)經(jīng)營高度依賴智能化設(shè)備,一旦出現(xiàn)數(shù)據(jù)安全問題,勢必影響企業(yè)良好運轉(zhuǎn)。

因此,目前很多工業(yè)和信息化領(lǐng)域的企業(yè)都在謀求開展數(shù)據(jù)安全風險評估工作,但如何開展數(shù)據(jù)安全風險評估也是許多企業(yè)發(fā)展的“痛點”。

在這種情況下,工業(yè)和信息化部在貫徹落實《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,指導地方行業(yè)主管部門、工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展風險評估工作的綱領(lǐng)下,研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險評估實施細則(試行)(征求意見稿)》。

明確數(shù)據(jù)處理者職責和數(shù)據(jù)安全管理機構(gòu)

《征求意見稿》第三條指出工業(yè)和信息化部統(tǒng)一管理、監(jiān)督和指導工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險評估工作,組織開展相關(guān)評估標準制修訂及推廣應用。其余各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門,各省、自治區(qū)、直轄市通信管理局和無線電管理機構(gòu)依據(jù)職責分別負責監(jiān)督管理本地區(qū)工業(yè)、電信、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估工作。

對于企業(yè)重要數(shù)據(jù)資產(chǎn),征求意見稿》第五條和第四條明確要求重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照應當按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標準,對數(shù)據(jù)處理活動的目的和方式、業(yè)務場景、安全保障措施、風險影響等要素,及時、客觀、有效的原則開展數(shù)據(jù)安全風險評估,形成真實、完整、準確的評估報告,并對評估結(jié)果負責。

數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估的準則

數(shù)據(jù)安全風險評估工作復雜多變,涉及部門眾多,數(shù)據(jù)處理者很難輕易做到完全獨立做好數(shù)據(jù)安全風險評估工作。《征求意見稿》第七條中表示重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作經(jīng)驗的第三方評估機構(gòu)開展評估,評估過程應當建立至少包括組織管理、業(yè)務運營、技術(shù)保障、安全合規(guī)等人員的專業(yè)化評估團隊,制定完備的評估工作方案,配備有效的技術(shù)評測工具。

對于數(shù)據(jù)安全風險評估過程中可能存在的安全隱患,數(shù)據(jù)處理者要做好準備,及時采取適當措施消除或降低風險隱患。注意,《征求意見稿》強調(diào)在評估工作完成后的 10 個工作日內(nèi),應當立刻向本地區(qū)行業(yè)監(jiān)管部門報送或更新評估報告。

此外,《征求意見稿》第六條同時提出了重要數(shù)據(jù)的評估期限,規(guī)定重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風險評估,并形成評估報告。數(shù)據(jù)安全風險評估結(jié)果有效期為一年,自評估報告首次出具之日起計算。在評估有效期出現(xiàn)涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件等情況時,要重新開展數(shù)據(jù)安全風險評估工作。

相關(guān)部門做好數(shù)據(jù)安全風險報告評估及監(jiān)管

對于數(shù)據(jù)處理者提交的數(shù)據(jù)安全風險評估報告,《征求意見稿》第十一條提出行業(yè)監(jiān)管部門根據(jù)管理需要,自行或委托專業(yè)機構(gòu)對評估報告進行審核,發(fā)現(xiàn)不符合國家及行業(yè)有關(guān)規(guī)定和標準的,通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者改正。涉及跨境提供、轉(zhuǎn)移、委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,或者跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的,地方行業(yè)監(jiān)管部門對評估報告審查后,報工業(yè)和信息化部,工業(yè)和信息化部按照國家有關(guān)規(guī)定進行復核。

行業(yè)監(jiān)管部門對于違反國家認證認可相關(guān)規(guī)定的認證機構(gòu),將相關(guān)線索移交市場監(jiān)督管理部門處理。行業(yè)監(jiān)管部門對第三方評估機構(gòu)的評估活動進行監(jiān)督管理,對違反法律法規(guī)、未按行業(yè)規(guī)定和標準開展評估活動、未履行保密義務的第三方評估機構(gòu),視情按照規(guī)定權(quán)限和程序進行約談、通報或指導相關(guān)認證機構(gòu)撤銷認證。

最后,《征求意見稿》第十六條和第十七條對涉密做出了明確要求,規(guī)定行業(yè)監(jiān)管部門及委托支撐機構(gòu)的工作人員對在履行職責中知悉的國家秘密、商業(yè)秘密、個人信息、評估工作信息等,負有保密義務。對于涉及軍事、國家秘密信息等數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。

 
 

上一篇:2023年10月07日聚銘安全速遞

下一篇:網(wǎng)絡(luò)安全知識:什么是社會工程?