【儀表網 行業標準】為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》,指導地方行業主管部門、工業和信息化領域數據處理者規范開展風險評估工作,工業和信息化部網絡安全管理局研究起草了《工業和信息化領域數據安全風險評估實施細則(試行)(征求意見稿)》。現向社會公開征求意見。
數據安全風險評估是做好重要數據和核心數據監管與保護工作的重要一環。《數據安全法》要求“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估”。《管理辦法》提出了“工業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動至少開展一次風險評估,及時整改風險問題,并向本地區行業監管部門報送風險評估報告”的具體細化要求。為進一步細化行業數據安全風險評估規則,規范風險評估活動,有效提升重要數據和核心數據保護水平,研究起草了《實施細則》。
《實施細則》共十七條,確定了部省兩級數據安全風險評估工作體系,細化了重要數據和核心數據處理者的評估義務,明確了行業主管部門監督管理評估活動的機制流程。主要內容包括:
(一)關于適用范圍及管理職責(第一至四條)。界定《實施細則》適用于工業和信息化領域重要數據、核心數據處理者對其數據處理活動的安全風險評估,明確工業和信息化部、地方行業監管部門的職責分工,并確立風險評估工作原則。
(二)關于評估對象和內容(第五條)。明確評估對象為數據處理活動中涉及的目的和場景、管理體系、人員能力、技術工具、風險來源、安全影響等要素,并按照以上要素細化了具體評估內容。
(三)關于評估機制要求(第六至十條)。提出了評估期限、重新申報評估的情形、可采取的評估方式,并對委托評估、評估協作、風險控制和評估報告報送等作出要求。
(四)關于審核、監督和管理制度(第十一至十五條)。明確評估報告審核、評估機構認定、評估機構義務、監督檢查、機構監管等要求,并提出建立支撐行業監管工作的第三方評估機構庫。
(五)關于保密等其他要求(第十六至十七條)。明確行業監管部門及委托支撐機構的工作人員的保密義務,提出涉及軍事、國家秘密信息等數據處理活動參照有關規定執行。
所有評論僅代表網友意見,與本站立場無關。