数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。《工业和信息化领域数据安全管理办法(试行)》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的具体细化要求。
《实施细则》便是贯彻落实上述要求的文件,进一步细化行业数据安全风险评估规则,指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作。纵观全文共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。重点内容梳理如下:
关于适用范围及管理职责
界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动开展的安全风险评估活动。
明确工信化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。地方行业监管部门依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。
关于评估对象和内容
l 数据处理目的、方式、范围是否合法、正当、必要;
l 数据安全管理制度、流程策略的制定和落实情况;
l 数据安全组织架构、岗位配备和职责履行情况;
l 数据安全技术防护能力建设及应用情况;
l 数据处理活动相关人员的数据安全意识、知识技能、从业背景情况;
l 发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
l 涉及数据提供、委托处理、转移的,数据提供方、接收方的安全保障能力、诚信守法和责任义务约束情况;
l 涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的规模、范围、种类、敏感程度等要素与申报事项的符合情况。
关于评估机制要求
《实施细则》提出了评估期限、重新申报评估的情形、可采取的评估方式,并对委托评估、评估协作、风险控制和评估报告报送等作出要求。
重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。
重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估。委托第三方评估机构的,可以通过订立合同明确双方的权利和责任,向第三方评估机构提供必需的材料和条件,确保相关材料的真实性和完整性,并确认评估结果。在评估工作完成后的10个工作日内,向本地区行业监管部门报送或更新评估报告。
关于审核、监督和管理制度
明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求,并提出建立支撑行业监管工作的第三方评估机构库。
关于保密等其他要求
明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行。
京公网安备 11010802033237号
