數(shù)字化轉(zhuǎn)型浪潮下,為緊跟時(shí)代步伐,謀求智能化��、高效率發(fā)展,各企業(yè)“囤積”大量數(shù)據(jù)資產(chǎn)��。這些資產(chǎn)助力企業(yè)快速轉(zhuǎn)型同時(shí)����,蘊(yùn)藏了大量數(shù)據(jù)安全風(fēng)險(xiǎn)����,特別是工業(yè)和信息化領(lǐng)域的企業(yè),生產(chǎn)經(jīng)營高度依賴智能化設(shè)備�����,一旦出現(xiàn)數(shù)據(jù)安全問題���,勢必影響企業(yè)良好運(yùn)轉(zhuǎn)�����。
因此�,目前很多工業(yè)和信息化領(lǐng)域的企業(yè)都在謀求開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作,但如何開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估也是許多企業(yè)發(fā)展的“痛點(diǎn)”��。
在這種情況下�,工業(yè)和信息化部在貫徹落實(shí)《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,指導(dǎo)地方行業(yè)主管部門�����、工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展風(fēng)險(xiǎn)評估工作的綱領(lǐng)下����,研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施細(xì)則(試行)(征求意見稿)》。
明確數(shù)據(jù)處理者職責(zé)和數(shù)據(jù)安全管理機(jī)構(gòu)
《征求意見稿》第三條指出工業(yè)和信息化部統(tǒng)一管理��、監(jiān)督和指導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作��,組織開展相關(guān)評估標(biāo)準(zhǔn)制修訂及推廣應(yīng)用�。其余各省、自治區(qū)�、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門��,各省、自治區(qū)�、直轄市通信管理局和無線電管理機(jī)構(gòu)依據(jù)職責(zé)分別負(fù)責(zé)監(jiān)督管理本地區(qū)工業(yè)、電信����、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作。
對于企業(yè)重要數(shù)據(jù)資產(chǎn)�����,征求意見稿》第五條和第四條明確要求重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照應(yīng)當(dāng)按照國家法律法規(guī)�����、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標(biāo)準(zhǔn)���,對數(shù)據(jù)處理活動(dòng)的目的和方式��、業(yè)務(wù)場景、安全保障措施�、風(fēng)險(xiǎn)影響等要素,及時(shí)�、客觀、有效的原則開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估����,形成真實(shí)���、完整、準(zhǔn)確的評估報(bào)告���,并對評估結(jié)果負(fù)責(zé)��。
數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估的準(zhǔn)則
數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作復(fù)雜多變����,涉及部門眾多��,數(shù)據(jù)處理者很難輕易做到完全獨(dú)立做好數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作����。《征求意見稿》第七條中表示重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作經(jīng)驗(yàn)的第三方評估機(jī)構(gòu)開展評估�,評估過程應(yīng)當(dāng)建立至少包括組織管理、業(yè)務(wù)運(yùn)營�����、技術(shù)保障���、安全合規(guī)等人員的專業(yè)化評估團(tuán)隊(duì)����,制定完備的評估工作方案,配備有效的技術(shù)評測工具�。
對于數(shù)據(jù)安全風(fēng)險(xiǎn)評估過程中可能存在的安全隱患,數(shù)據(jù)處理者要做好準(zhǔn)備���,及時(shí)采取適當(dāng)措施消除或降低風(fēng)險(xiǎn)隱患���。注意,《征求意見稿》強(qiáng)調(diào)在評估工作完成后的 10 個(gè)工作日內(nèi)����,應(yīng)當(dāng)立刻向本地區(qū)行業(yè)監(jiān)管部門報(bào)送或更新評估報(bào)告。
此外��,《征求意見稿》第六條同時(shí)提出了重要數(shù)據(jù)的評估期限��,規(guī)定重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風(fēng)險(xiǎn)評估�,并形成評估報(bào)告��。數(shù)據(jù)安全風(fēng)險(xiǎn)評估結(jié)果有效期為一年����,自評估報(bào)告首次出具之日起計(jì)算����。在評估有效期出現(xiàn)涉及重要數(shù)據(jù)�、核心數(shù)據(jù)的安全事件等情況時(shí),要重新開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作��。
相關(guān)部門做好數(shù)據(jù)安全風(fēng)險(xiǎn)報(bào)告評估及監(jiān)管
對于數(shù)據(jù)處理者提交的數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告�����,《征求意見稿》第十一條提出行業(yè)監(jiān)管部門根據(jù)管理需要�����,自行或委托專業(yè)機(jī)構(gòu)對評估報(bào)告進(jìn)行審核���,發(fā)現(xiàn)不符合國家及行業(yè)有關(guān)規(guī)定和標(biāo)準(zhǔn)的��,通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者改正�。涉及跨境提供�、轉(zhuǎn)移、委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,或者跨主體提供���、轉(zhuǎn)移���、委托處理核心數(shù)據(jù)的,地方行業(yè)監(jiān)管部門對評估報(bào)告審查后�,報(bào)工業(yè)和信息化部,工業(yè)和信息化部按照國家有關(guān)規(guī)定進(jìn)行復(fù)核���。
行業(yè)監(jiān)管部門對于違反國家認(rèn)證認(rèn)可相關(guān)規(guī)定的認(rèn)證機(jī)構(gòu)�,將相關(guān)線索移交市場監(jiān)督管理部門處理��。行業(yè)監(jiān)管部門對第三方評估機(jī)構(gòu)的評估活動(dòng)進(jìn)行監(jiān)督管理��,對違反法律法規(guī)���、未按行業(yè)規(guī)定和標(biāo)準(zhǔn)開展評估活動(dòng)��、未履行保密義務(wù)的第三方評估機(jī)構(gòu)����,視情按照規(guī)定權(quán)限和程序進(jìn)行約談����、通報(bào)或指導(dǎo)相關(guān)認(rèn)證機(jī)構(gòu)撤銷認(rèn)證。
最后�����,《征求意見稿》第十六條和第十七條對涉密做出了明確要求���,規(guī)定行業(yè)監(jiān)管部門及委托支撐機(jī)構(gòu)的工作人員對在履行職責(zé)中知悉的國家秘密��、商業(yè)秘密�、個(gè)人信息���、評估工作信息等�,負(fù)有保密義務(wù)�����。對于涉及軍事��、國家秘密信息等數(shù)據(jù)處理活動(dòng)�����,按照國家有關(guān)規(guī)定執(zhí)行。
