工信部再就数据安全管理办法征求意见 各类数据需分级防护

首页 / 业界 / 政策 /  正文
作者:安全419
来源:安全419
发布于:2022-02-10
安全419了解到,工信部网站2月10日发布消息,再次公开征求对《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)的意见。据悉,根据此前《办法》(征求意见稿)收到的公开意见,工信部进行了修改完善,再次面向社会征求意见。
 
 
根据最新版《办法》,工业和信息化领域数据包括工业数据、电信数据和无线电数据。
 
·工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
·电信数据是指在电信业务经营活动中产生和收集的数据。
·无线电数据是指在开展无线电业务活动中产生和收集 的无线电频率、台(站)等电波参数数据。
 
工业和信息化领域数据处理者是指对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。
 
围绕数据全生命周期安全管理,《办法》指出,工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
 
数据分类分级方法也得到明确,即根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。
 
同时,工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集时间、类型、数量、频度、流向等进行记录。通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
 
针对行业发展,《办法》指出,行业(领域)监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。