行業(yè)動(dòng)態(tài)

工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)基本問(wèn)題——評(píng)估誰(shuí)?誰(shuí)監(jiān)管?誰(shuí)評(píng)估?

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-10-16    瀏覽次數(shù):
 

近日,工業(yè)和信息化部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《實(shí)施細(xì)則》),進(jìn)一步明確了工信數(shù)據(jù)安全評(píng)估制度的重要概念和機(jī)制,標(biāo)志著工信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度距離真正實(shí)施又進(jìn)一步。

2022年發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(以下簡(jiǎn)稱《管理辦法》),將“工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”確立為工信數(shù)據(jù)安全評(píng)估的一項(xiàng)重要制度(第三十一條)?!秾?shí)施細(xì)則》對(duì)于該項(xiàng)重要制度的完善和發(fā)展,可概括為主要回答了“評(píng)估誰(shuí)”、“誰(shuí)監(jiān)管”、“誰(shuí)評(píng)估”三個(gè)基本問(wèn)題。

Part.1/ 評(píng)估誰(shuí):評(píng)估對(duì)象和范圍

工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的評(píng)估對(duì)象和范圍,無(wú)疑是工信數(shù)據(jù)領(lǐng)域廣大從業(yè)者關(guān)心的首要問(wèn)題之一?!秾?shí)施細(xì)則》明確了風(fēng)險(xiǎn)評(píng)估的對(duì)象為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”開展的數(shù)據(jù)處理活動(dòng)(第二條)。全面理解何為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”,至少須包括以下四層意思。

一是“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”的類別。根據(jù)《管理辦法》第三條規(guī)定,“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無(wú)線電數(shù)據(jù)三類。其中“工業(yè)數(shù)據(jù)”是指“在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過(guò)程中收集和產(chǎn)生的數(shù)據(jù)”;“電信數(shù)據(jù)”是指“在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)”;“無(wú)線電數(shù)據(jù)”是指“在開展無(wú)線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無(wú)線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)”。

二是“重要數(shù)據(jù)和核心數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。這涉及工信數(shù)據(jù)的分級(jí)規(guī)定。按照《管理辦法》有關(guān)條文,對(duì)工信領(lǐng)域數(shù)據(jù)的分級(jí)主要是根據(jù)數(shù)據(jù)遭到篡改、破壞等情況時(shí)的危害程度,《管理辦法》也明文列舉了重要數(shù)據(jù)和核心數(shù)據(jù)的常見(jiàn)判斷標(biāo)準(zhǔn),此不贅述?!秾?shí)施細(xì)則》進(jìn)一步明確,對(duì)于“重要”、“核心”二個(gè)級(jí)別的數(shù)據(jù)須納入風(fēng)險(xiǎn)評(píng)估,而對(duì)于“一般”級(jí)別的數(shù)據(jù),則未做硬性要求,僅規(guī)定可“參照”開展相應(yīng)評(píng)估工作。

三是“數(shù)據(jù)處理者”的范圍。風(fēng)險(xiǎn)評(píng)估面向的數(shù)據(jù)處理者,仍然是《管理辦法》確定的范圍。按其規(guī)定,數(shù)據(jù)處理者是指“數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)和信息化領(lǐng)域各類主體”,包括“工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者和無(wú)線電頻率、臺(tái)(站)使用單位等”四類企業(yè)和機(jī)構(gòu)。

四是“數(shù)據(jù)處理活動(dòng)”的主要種類?!豆芾磙k法》第三條從數(shù)據(jù)處理活動(dòng)生命周期的角度,提出了數(shù)據(jù)處理活動(dòng)的主要類型,即“包括但不限于數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等”活動(dòng)。

Part.2/ 誰(shuí)監(jiān)管:主管部門和管理機(jī)

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的管理部門和管理機(jī)制,《實(shí)施細(xì)則》的相關(guān)規(guī)定可歸納為以下兩個(gè)層次。

首先,兩級(jí)、五類管理機(jī)構(gòu)。從層級(jí)上看,監(jiān)管主體的“兩級(jí)”是指部、省兩級(jí)行業(yè)監(jiān)管部門。五類機(jī)構(gòu)為:工業(yè)和信息化部、省級(jí)工信主管部門、省級(jí)通信管理局、省級(jí)無(wú)線電管理機(jī)構(gòu)、中央企業(yè)。其中,《實(shí)施細(xì)則》將中央企業(yè)單列,負(fù)責(zé)“督促指導(dǎo)所屬企業(yè)履行屬地?cái)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及評(píng)估報(bào)告報(bào)送要求,并將梳理匯總的企業(yè)集團(tuán)本部、所屬公司的評(píng)估報(bào)告報(bào)送工業(yè)和信息化部”??梢?jiàn),除了央企垂直報(bào)送的情況以外,評(píng)估監(jiān)管基本上遵循省級(jí)屬地管轄的原則。

其次,三項(xiàng)管理機(jī)制。一是統(tǒng)籌和立制,工信部負(fù)責(zé),工作形式包括統(tǒng)一監(jiān)管指導(dǎo)和制修訂標(biāo)準(zhǔn)等。二是自評(píng)估報(bào)告的接收和審查,主要由省級(jí)監(jiān)管部門負(fù)責(zé),其中涉及數(shù)據(jù)跨境、跨主體處理等的情況,審查后還需報(bào)工信部復(fù)核。三是監(jiān)督檢查,《實(shí)施細(xì)則》規(guī)定部、省兩級(jí)行業(yè)監(jiān)管部門均可按照工作需要開展,形式包括“專項(xiàng)風(fēng)險(xiǎn)評(píng)估”、“評(píng)估工作落實(shí)情況監(jiān)督檢查”等。

Part.3/ 誰(shuí)評(píng)估:評(píng)估實(shí)施機(jī)構(gòu)

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的具體實(shí)施,除了數(shù)據(jù)處理者自行開展外,《實(shí)施細(xì)則》還規(guī)定了委托評(píng)估的重要機(jī)制。而從實(shí)踐情況來(lái)看,因受專業(yè)技術(shù)能力、對(duì)法規(guī)標(biāo)準(zhǔn)理解、人員隊(duì)伍素質(zhì)等方面因素的影響,數(shù)據(jù)處理者大概率會(huì)采用委托評(píng)估的方式開展此項(xiàng)工作。因此,第三方評(píng)估機(jī)構(gòu)實(shí)際上往往會(huì)成為評(píng)估工作的主要承擔(dān)者?!秾?shí)施細(xì)則》對(duì)于評(píng)估實(shí)施的規(guī)定,可歸納為三個(gè)方面。

一是對(duì)數(shù)據(jù)處理活動(dòng)的評(píng)估。即數(shù)據(jù)處理者自行或委托第三方機(jī)構(gòu),對(duì)其相關(guān)數(shù)據(jù)處理活動(dòng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,具體評(píng)估內(nèi)容包括《實(shí)施細(xì)則》第五條明確的8個(gè)要點(diǎn),評(píng)估頻次為每年一次,評(píng)估報(bào)告應(yīng)于評(píng)估完成后的10日內(nèi),向行業(yè)監(jiān)管部門報(bào)送或更新。

二是監(jiān)督檢查評(píng)估。特指第三方評(píng)估機(jī)構(gòu)受行業(yè)監(jiān)管部門委托,協(xié)助行業(yè)監(jiān)管部門履行其風(fēng)險(xiǎn)評(píng)估監(jiān)管職責(zé),即包括支撐參與前文所述的“專項(xiàng)風(fēng)險(xiǎn)評(píng)估”和“評(píng)估工作落實(shí)情況監(jiān)督檢查”等工作。

三是關(guān)于第三方評(píng)估機(jī)構(gòu)的管理。《實(shí)施細(xì)則》規(guī)定了“能力認(rèn)證”(第十二條)和建立“評(píng)估支撐機(jī)構(gòu)庫(kù)”(第十四條)兩種管理模式。

思考展望

《實(shí)施細(xì)則》初步展現(xiàn)了工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的全貌,對(duì)于業(yè)界學(xué)習(xí)理解制度要求、預(yù)判自身數(shù)據(jù)評(píng)估工作需求、以及提前部署自身評(píng)估工作安排等,都具有重要指導(dǎo)意義。

與此同時(shí),工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作涉及面較廣,很多具體規(guī)定或有待結(jié)合實(shí)際操作進(jìn)一步優(yōu)化完善。如,是否需要明確認(rèn)證機(jī)構(gòu)范圍或?qū)嵭心夸浌芾恚渴欠裥枰獙?duì)納入“評(píng)估支撐機(jī)構(gòu)庫(kù)”的第三方機(jī)構(gòu)接受數(shù)據(jù)處理者委托開展自評(píng)估的行為做出適當(dāng)限制,以確保評(píng)估公正性?是否應(yīng)當(dāng)建立全國(guó)統(tǒng)一的“評(píng)估支撐機(jī)構(gòu)庫(kù)”?是否需要對(duì)行業(yè)監(jiān)管部門啟動(dòng)監(jiān)督檢查或?qū)m?xiàng)評(píng)估的條件做出適當(dāng)明確等等。

法規(guī)完善是一個(gè)循序漸進(jìn)、集思廣益的過(guò)程。綠盟科技作為服務(wù)網(wǎng)絡(luò)安全戰(zhàn)線的科技老兵,將依托自身的長(zhǎng)期研發(fā)積累和產(chǎn)品技術(shù)優(yōu)勢(shì),持續(xù)為工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度提供堅(jiān)實(shí)的落地保障;并將結(jié)合自身在服務(wù)重大工程項(xiàng)目和重大活動(dòng)保障的扎實(shí)經(jīng)驗(yàn),為工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的完善,積極獻(xiàn)計(jì)獻(xiàn)策、發(fā)揮應(yīng)有的支撐貢獻(xiàn)。

 
 

上一篇:【一周安全資訊1014】交通運(yùn)輸部發(fā)布《公路工程設(shè)施支持自動(dòng)駕駛技術(shù)指南》;多地網(wǎng)信辦對(duì)違反數(shù)據(jù)安全法規(guī)企業(yè)作出行政處罰

下一篇:網(wǎng)絡(luò)安全知識(shí):云安全指導(dǎo)