在数字化浪潮汹涌澎湃的今天,数据安全已成为国家安全的重要组成部分。为了加强工业和信息化领域的数据安全保护,防范和化解数据安全风险,工业和信息化部近日正式印发了《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《细则》),为相关领域的数据安全风险评估提供了明确的指导和规范。
随着信息技术的飞速发展,数据已成为推动经济社会发展的重要资源。然而,数据泄露、滥用、篡改等安全问题也愈发突出,给国家安全和公民权益带来了严重威胁。在此背景下,工信部出台《细则》,旨在通过科学、系统、全面的数据安全风险评估,及时发现和消除潜在的数据安全风险隐患,为工业和信息化领域的健康发展提供坚实保障。
《细则》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。《细则》自2024年6月1日起施行。
适用范围:《细则》明确适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。一般数据处理者可参照本细则开展数据安全风险评估。
评估对象:主要包括重要数据和核心数据处理者对其数据处理活动的安全风险评估,涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素。
工业和信息化部:统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。
地方行业监管部门:负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。
评估原则:强调数据安全风险评估的及时性、客观性和有效性,要求形成真实、完整、准确的评估报告,并对评估结果负责。
评估要求:重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。
评估内容:重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
数据处理目的、方式、范围是否合法、正当、必要;
数据安全组织架构、岗位配备和职责履行情况;
审查执行情况、草案报告
数据安全技术防护能力建设及应用情况;
数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况;
涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。
评估流程:包括评估的启动、准备、实施、报告和跟踪等各个环节,确保评估工作的有序进行。
评估报告应当包括以下内容:
保密义务:行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。明确行业监管部门及委托支撑机构的工作人员在数据安全风险评估中的保密义务。
参照规定:对一般数据处理者数据处理活动开展的数据安全风险评估可参照本细则实施。涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
《细则》的发布和实施,将对工业和信息化领域的数据安全产生深远影响。
提升数据安全保护水平:通过科学的风险评估,及时发现和消除数据安全风险隐患,提高数据保护的针对性和有效性。
规范数据处理活动:明确数据处理者的责任和义务,规范数据处理活动,防止数据滥用和泄露等安全问题的发生。
促进数据共享和流通:在确保数据安全的前提下,推动数据资源的共享和流通,促进数字经济的健康发展。
增强公众信任度:通过加强数据安全保护,提高公众对工业和信息化领域数据安全的信任度,为相关领域的可持续发展创造良好环境。
推动技术创新和发展:激励企业加大在数据安全技术方面的研发投入,促进数据安全技术的不断创新和进步,更好地适应日益复杂的数据安全形势。
《工业和信息化领域数据安全风险评估实施细则(试行)》的发布和实施,是工信部在加强数据安全保护方面的重要举措。我们有理由相信,在《细则》的指引下,工业和信息化领域的数据安全将得到更加有效的保障和推动。