域名綜合信息查詢...
  • 綜合
  • Whois
×
歷史記錄

幫助中心

公開征求對《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)(征求意見稿)》的意見
更新時間:2023-10-09  瀏覽次數(shù):8098次

為貫徹落實《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,指導(dǎo)地方行業(yè)主管部門、工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展風(fēng)險評估工作,我們研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)(征求意見稿)》?,F(xiàn)向社會公開征求意見,如有意見或建議,請于2023年11月8日前反饋。

  傳真:010-66069561

  郵箱:zhanghong miit.gov.cn

  地址:北京市西城區(qū)西長安街13號工業(yè)和信息化部網(wǎng)絡(luò)安全管理局(郵編:100804)。請在信封上注明“《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)(征求意見稿)》意見反饋”。

 

  工業(yè)和信息化部網(wǎng)絡(luò)安全管理局

  2023年10月9日

  工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)

 ?。ㄕ髑笠庖姼澹?/span>


  第一條【目的依據(jù)】根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)、政策文件有關(guān)要求,引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)安全風(fēng)險評估工作,提升數(shù)據(jù)安全管理水平,維護(hù)國家安全和發(fā)展利益,制定本細(xì)則。

  第二條【適用范圍】本細(xì)則適用于中華人民共和國境內(nèi)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展的數(shù)據(jù)安全風(fēng)險評估活動。

  一般數(shù)據(jù)處理者可參照本細(xì)則開展數(shù)據(jù)安全風(fēng)險評估。

  第三條【管理機構(gòu)】工業(yè)和信息化部統(tǒng)一管理、監(jiān)督和指導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估工作,組織開展相關(guān)評估標(biāo)準(zhǔn)制修訂及推廣應(yīng)用。

  各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門,各省、自治區(qū)、直轄市通信管理局和無線電管理機構(gòu)(以下統(tǒng)稱地方行業(yè)監(jiān)管部門)依據(jù)職責(zé)分別負(fù)責(zé)監(jiān)督管理本地區(qū)工業(yè)、電信、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險評估工作。

  工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。

  第四條【工作原則】重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照及時、客觀、有效的原則開展數(shù)據(jù)安全風(fēng)險評估,形成真實、完整、準(zhǔn)確的評估報告,并對評估結(jié)果負(fù)責(zé)。

  第五條【評估內(nèi)容】重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標(biāo)準(zhǔn),對數(shù)據(jù)處理活動的目的和方式、業(yè)務(wù)場景、安全保障措施、風(fēng)險影響等要素,開展數(shù)據(jù)安全風(fēng)險評估,重點評估以下內(nèi)容:

 ?。ㄒ唬?shù)據(jù)處理目的、方式、范圍是否合法、正當(dāng)、必要;

 ?。ǘ?shù)據(jù)安全管理制度、流程策略的制定和落實情況;

 ?。ㄈ?shù)據(jù)安全組織架構(gòu)、崗位配備和職責(zé)履行情況;

 ?。ㄋ模?shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)及應(yīng)用情況;

 ?。ㄎ澹?shù)據(jù)處理活動相關(guān)人員的數(shù)據(jù)安全意識、知識技能、從業(yè)背景情況;

 ?。┌l(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件,對國家安全、公共利益的影響范圍、程度等風(fēng)險;

 ?。ㄆ撸┥婕皵?shù)據(jù)提供、委托處理、轉(zhuǎn)移的,數(shù)據(jù)提供方、接收方的安全保障能力、誠信守法和責(zé)任義務(wù)約束情況;

  (八)涉及國家法律法規(guī)中規(guī)定需要申報的數(shù)據(jù)出境安全評估情形,履行數(shù)據(jù)出境安全評估要求落實情況;已通過國家有關(guān)部門組織的數(shù)據(jù)出境安全評估且在有效期內(nèi)的,實際數(shù)據(jù)出境的規(guī)模、范圍、種類、敏感程度等要素與申報事項的符合情況。

  第六條【評估期限】重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風(fēng)險評估,并形成評估報告。數(shù)據(jù)安全風(fēng)險評估結(jié)果有效期為一年,自評估報告首次出具之日起計算。

  在有效期內(nèi)出現(xiàn)以下情形之一的,重要數(shù)據(jù)和核心數(shù)據(jù)處理者對發(fā)生變化及其影響的部分,重新開展數(shù)據(jù)安全風(fēng)險評估,并更新評估報告:

 ?。ㄒ唬M新增跨主體提供、委托處理、轉(zhuǎn)移重要數(shù)據(jù)或者核心數(shù)據(jù)的;

  (二)重要數(shù)據(jù)、核心數(shù)據(jù)安全狀態(tài)發(fā)生變化對數(shù)據(jù)安全造成不利影響的,包括但不限于數(shù)據(jù)處理目的、方式、適用范圍和安全制度策略等發(fā)生重大調(diào)整的;

 ?。ㄈ┌l(fā)生涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件的;

 ?。ㄋ模┬袠I(yè)監(jiān)管部門要求進(jìn)行評估的其他情形。

  第七條【評估方式】重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作經(jīng)驗的第三方評估機構(gòu)開展評估。評估過程應(yīng)當(dāng)建立至少包括組織管理、業(yè)務(wù)運營、技術(shù)保障、安全合規(guī)等人員的專業(yè)化評估團(tuán)隊,制定完備的評估工作方案,配備有效的技術(shù)評測工具。

  第八條【委托評估】重要數(shù)據(jù)和核心數(shù)據(jù)處理者委托第三方評估機構(gòu)開展數(shù)據(jù)安全風(fēng)險評估的,可以通過訂立合同或者其他具有法律效力的文件,明確雙方的權(quán)利和責(zé)任,向第三方評估機構(gòu)提供必需的材料和條件,確保相關(guān)材料的真實性和完整性,并確認(rèn)評估結(jié)果。

  第九條【風(fēng)險控制】重要數(shù)據(jù)和核心數(shù)據(jù)處理者對評估中發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險隱患,及時采取適當(dāng)措施消除或降低風(fēng)險隱患。

  第十條【評估報送】重要數(shù)據(jù)和核心數(shù)據(jù)處理者在評估工作完成后的10個工作日內(nèi),向本地區(qū)行業(yè)監(jiān)管部門報送或更新評估報告。

  中央企業(yè)督促指導(dǎo)所屬企業(yè)履行屬地數(shù)據(jù)安全風(fēng)險評估及評估報告報送要求,并將梳理匯總的企業(yè)集團(tuán)本部、所屬公司的評估報告報送工業(yè)和信息化部。

  根據(jù)工作需要,地方行業(yè)監(jiān)管部門將本地區(qū)本領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者的評估報告報送工業(yè)和信息化部備案。

  第十一條【報告審核】行業(yè)監(jiān)管部門根據(jù)管理需要,可以自行或委托專業(yè)機構(gòu)對評估報告進(jìn)行審核,發(fā)現(xiàn)不符合國家及行業(yè)有關(guān)規(guī)定和標(biāo)準(zhǔn)的,通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者改正。

  涉及跨境提供、轉(zhuǎn)移、委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,或者跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的,地方行業(yè)監(jiān)管部門對評估報告審查后,報工業(yè)和信息化部。工業(yè)和信息化部按照國家有關(guān)規(guī)定進(jìn)行復(fù)核。

  第十二條【評估機構(gòu)認(rèn)定】鼓勵具有工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全工作經(jīng)驗的認(rèn)證機構(gòu)開展第三方評估機構(gòu)的能力認(rèn)證。

  相關(guān)認(rèn)證機構(gòu)配備相應(yīng)的人員和技術(shù)保障能力,建立第三方評估機構(gòu)能力評定制度,明確第三方評估機構(gòu)在管理體系、人員能力、工具設(shè)施、評估領(lǐng)域等方面的規(guī)范要求,跟蹤管理第三方評估機構(gòu)的服務(wù)質(zhì)量,督促第三方評估機構(gòu)獨立、公正、客觀、科學(xué)的開展數(shù)據(jù)安全風(fēng)險評估工作。

  第十三條【評估機構(gòu)義務(wù)】第三方評估機構(gòu)應(yīng)當(dāng)履行下列義務(wù):

  (一)對評估工作中知悉的國家秘密、重要數(shù)據(jù)和核心數(shù)據(jù)的目錄與內(nèi)容、商業(yè)秘密、個人隱私等嚴(yán)格保密;

 ?。ǘ﹪?yán)格按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標(biāo)準(zhǔn),公正、獨立地開展評估并出具評估報告,全面、準(zhǔn)確地反映重要數(shù)據(jù)和核心數(shù)據(jù)處理者的數(shù)據(jù)安全風(fēng)險狀況,提供務(wù)實有效的風(fēng)險整改建議措施;

 ?。ㄈ┏匾獢?shù)據(jù)和核心數(shù)據(jù)處理者明確同意或者法律、行政法規(guī)另有規(guī)定外,不得向其他組織或個人提供其收集掌握的技術(shù)保護(hù)措施、關(guān)鍵崗位人員和安全風(fēng)險等相關(guān)信息。

  第十四條【監(jiān)督檢查】工業(yè)和信息化部根據(jù)技術(shù)能力、人員配備、信譽資質(zhì)等情況,擇優(yōu)遴選通過能力評定的第三方評估機構(gòu),建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估支撐機構(gòu)庫。地方行業(yè)監(jiān)管部門可以參照建立本地區(qū)數(shù)據(jù)安全風(fēng)險評估支撐機構(gòu)庫。

  行業(yè)監(jiān)管部門根據(jù)工作需要,可以自行或委托數(shù)據(jù)安全風(fēng)險評估支撐機構(gòu)庫中的機構(gòu),對重要數(shù)據(jù)和核心數(shù)據(jù)處理者的數(shù)據(jù)處理活動開展專項風(fēng)險評估,或?qū)χ匾獢?shù)據(jù)和核心數(shù)據(jù)處理者的風(fēng)險評估工作落實情況進(jìn)行監(jiān)督檢查。

  重要數(shù)據(jù)和核心數(shù)據(jù)處理者對行業(yè)監(jiān)管部門開展的專項風(fēng)險評估及監(jiān)督檢查予以配合,并對評估發(fā)現(xiàn)的相關(guān)問題及時進(jìn)行改正。

  第十五條【機構(gòu)監(jiān)管】行業(yè)監(jiān)管部門對于違反國家認(rèn)證認(rèn)可相關(guān)規(guī)定的認(rèn)證機構(gòu),將相關(guān)線索移交市場監(jiān)督管理部門處理。

  行業(yè)監(jiān)管部門對第三方評估機構(gòu)的評估活動進(jìn)行監(jiān)督管理,對違反法律法規(guī)、未按行業(yè)規(guī)定和標(biāo)準(zhǔn)開展評估活動、未履行保密義務(wù)的第三方評估機構(gòu),視情按照規(guī)定權(quán)限和程序進(jìn)行約談、通報或指導(dǎo)相關(guān)認(rèn)證機構(gòu)撤銷認(rèn)證。

  第十六條【保密要求】行業(yè)監(jiān)管部門及委托支撐機構(gòu)的工作人員對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密、個人信息、評估工作信息等,負(fù)有保密義務(wù)。

  第十七條【其他規(guī)定參照】涉及軍事、國家秘密信息等數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。

 

文章部分圖片來源于網(wǎng)絡(luò);如有侵權(quán),請聯(lián)系刪除