數(shù)字化轉型浪潮下��,為緊跟時代步伐�����,謀求智能化��、高效率發(fā)展���,各企業(yè)“囤積”大量數(shù)據(jù)資產(chǎn)�����。這些資產(chǎn)助力企業(yè)快速轉型同時�,蘊藏了大量數(shù)據(jù)安全風險�,特別是工業(yè)和信息化領域的企業(yè),生產(chǎn)經(jīng)營高度依賴智能化設備�,一旦出現(xiàn)數(shù)據(jù)安全問題,勢必影響企業(yè)良好運轉����。
因此���,目前很多工業(yè)和信息化領域的企業(yè)都在謀求開展數(shù)據(jù)安全風險評估工作��,但如何開展數(shù)據(jù)安全風險評估也是許多企業(yè)發(fā)展的“痛點”��。
在這種情況下�,工業(yè)和信息化部在貫徹落實《數(shù)據(jù)安全法》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》����,指導地方行業(yè)主管部門���、工業(yè)和信息化領域數(shù)據(jù)處理者規(guī)范開展風險評估工作的綱領下,研究起草了《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)(征求意見稿)》�。
明確數(shù)據(jù)處理者職責和數(shù)據(jù)安全管理機構
《征求意見稿》第三條指出工業(yè)和信息化部統(tǒng)一管理、監(jiān)督和指導工業(yè)和信息化領域數(shù)據(jù)安全風險評估工作����,組織開展相關評估標準制修訂及推廣應用。其余各省���、自治區(qū)�、直轄市及計劃單列市��、新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門��,各省�、自治區(qū)、直轄市通信管理局和無線電管理機構依據(jù)職責分別負責監(jiān)督管理本地區(qū)工業(yè)����、電信、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估工作��。
對于企業(yè)重要數(shù)據(jù)資產(chǎn),征求意見稿》第五條和第四條明確要求重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照應當按照國家法律法規(guī)��、行業(yè)監(jiān)管部門有關規(guī)定以及評估標準�����,對數(shù)據(jù)處理活動的目的和方式�、業(yè)務場景、安全保障措施�����、風險影響等要素��,及時��、客觀���、有效的原則開展數(shù)據(jù)安全風險評估,形成真實�����、完整����、準確的評估報告����,并對評估結果負責�����。
數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估的準則
數(shù)據(jù)安全風險評估工作復雜多變����,涉及部門眾多,數(shù)據(jù)處理者很難輕易做到完全獨立做好數(shù)據(jù)安全風險評估工作��?!墩髑笠庖姼濉返谄邨l中表示重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作經(jīng)驗的第三方評估機構開展評估,評估過程應當建立至少包括組織管理��、業(yè)務運營�、技術保障、安全合規(guī)等人員的專業(yè)化評估團隊�,制定完備的評估工作方案,配備有效的技術評測工具��。
對于數(shù)據(jù)安全風險評估過程中可能存在的安全隱患��,數(shù)據(jù)處理者要做好準備,及時采取適當措施消除或降低風險隱患�����。注意�,《征求意見稿》強調在評估工作完成后的 10 個工作日內,應當立刻向本地區(qū)行業(yè)監(jiān)管部門報送或更新評估報告����。
此外,《征求意見稿》第六條同時提出了重要數(shù)據(jù)的評估期限��,規(guī)定重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風險評估�����,并形成評估報告����。數(shù)據(jù)安全風險評估結果有效期為一年,自評估報告首次出具之日起計算��。在評估有效期出現(xiàn)涉及重要數(shù)據(jù)�����、核心數(shù)據(jù)的安全事件等情況時���,要重新開展數(shù)據(jù)安全風險評估工作���。
相關部門做好數(shù)據(jù)安全風險報告評估及監(jiān)管
對于數(shù)據(jù)處理者提交的數(shù)據(jù)安全風險評估報告,《征求意見稿》第十一條提出行業(yè)監(jiān)管部門根據(jù)管理需要�����,自行或委托專業(yè)機構對評估報告進行審核��,發(fā)現(xiàn)不符合國家及行業(yè)有關規(guī)定和標準的���,通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者改正�。涉及跨境提供�、轉移、委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的�,或者跨主體提供、轉移�、委托處理核心數(shù)據(jù)的,地方行業(yè)監(jiān)管部門對評估報告審查后����,報工業(yè)和信息化部�����,工業(yè)和信息化部按照國家有關規(guī)定進行復核�����。
行業(yè)監(jiān)管部門對于違反國家認證認可相關規(guī)定的認證機構�����,將相關線索移交市場監(jiān)督管理部門處理��。行業(yè)監(jiān)管部門對第三方評估機構的評估活動進行監(jiān)督管理�����,對違反法律法規(guī)�、未按行業(yè)規(guī)定和標準開展評估活動���、未履行保密義務的第三方評估機構�����,視情按照規(guī)定權限和程序進行約談����、通報或指導相關認證機構撤銷認證�����。
最后���,《征求意見稿》第十六條和第十七條對涉密做出了明確要求�����,規(guī)定行業(yè)監(jiān)管部門及委托支撐機構的工作人員對在履行職責中知悉的國家秘密�����、商業(yè)秘密���、個人信息、評估工作信息等�,負有保密義務。對于涉及軍事�����、國家秘密信息等數(shù)據(jù)處理活動,按照國家有關規(guī)定執(zhí)行��。
