數(shù)字化轉(zhuǎn)型浪潮下,為緊跟時代步伐�,謀求智能化�、高效率發(fā)展��,各企業(yè)“囤積”大量數(shù)據(jù)資產(chǎn)�。這些資產(chǎn)助力企業(yè)快速轉(zhuǎn)型同時���,蘊藏了大量數(shù)據(jù)安全風(fēng)險���,特別是工業(yè)和信息化領(lǐng)域的企業(yè),生產(chǎn)經(jīng)營高度依賴智能化設(shè)備�,一旦出現(xiàn)數(shù)據(jù)安全問題,勢必影響企業(yè)良好運轉(zhuǎn)��。
因此�,目前很多工業(yè)和信息化領(lǐng)域的企業(yè)都在謀求開展數(shù)據(jù)安全風(fēng)險評估工作,但如何開展數(shù)據(jù)安全風(fēng)險評估也是許多企業(yè)發(fā)展的“痛點”��。
在這種情況下�,工業(yè)和信息化部在貫徹落實《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,指導(dǎo)地方行業(yè)主管部門�、工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展風(fēng)險評估工作的綱領(lǐng)下,研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)(征求意見稿)》���。
明確數(shù)據(jù)處理者職責(zé)和數(shù)據(jù)安全管理機構(gòu)
《征求意見稿》第三條指出工業(yè)和信息化部統(tǒng)一管理��、監(jiān)督和指導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估工作��,組織開展相關(guān)評估標(biāo)準(zhǔn)制修訂及推廣應(yīng)用��。其余各省��、自治區(qū)��、直轄市及計劃單列市��、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門�,各省、自治區(qū)��、直轄市通信管理局和無線電管理機構(gòu)依據(jù)職責(zé)分別負(fù)責(zé)監(jiān)督管理本地區(qū)工業(yè)�、電信、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險評估工作�。
對于企業(yè)重要數(shù)據(jù)資產(chǎn),征求意見稿》第五條和第四條明確要求重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照應(yīng)當(dāng)按照國家法律法規(guī)���、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評估標(biāo)準(zhǔn),對數(shù)據(jù)處理活動的目的和方式�、業(yè)務(wù)場景、安全保障措施���、風(fēng)險影響等要素�,及時、客觀���、有效的原則開展數(shù)據(jù)安全風(fēng)險評估��,形成真實��、完整�、準(zhǔn)確的評估報告�,并對評估結(jié)果負(fù)責(zé)。
數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險評估的準(zhǔn)則
數(shù)據(jù)安全風(fēng)險評估工作復(fù)雜多變�,涉及部門眾多,數(shù)據(jù)處理者很難輕易做到完全獨立做好數(shù)據(jù)安全風(fēng)險評估工作���?!墩髑笠庖姼濉返谄邨l中表示重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作經(jīng)驗的第三方評估機構(gòu)開展評估��,評估過程應(yīng)當(dāng)建立至少包括組織管理���、業(yè)務(wù)運營���、技術(shù)保障���、安全合規(guī)等人員的專業(yè)化評估團隊,制定完備的評估工作方案���,配備有效的技術(shù)評測工具���。
對于數(shù)據(jù)安全風(fēng)險評估過程中可能存在的安全隱患,數(shù)據(jù)處理者要做好準(zhǔn)備��,及時采取適當(dāng)措施消除或降低風(fēng)險隱患��。注意���,《征求意見稿》強調(diào)在評估工作完成后的 10 個工作日內(nèi)��,應(yīng)當(dāng)立刻向本地區(qū)行業(yè)監(jiān)管部門報送或更新評估報告��。
此外��,《征求意見稿》第六條同時提出了重要數(shù)據(jù)的評估期限��,規(guī)定重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風(fēng)險評估��,并形成評估報告���。數(shù)據(jù)安全風(fēng)險評估結(jié)果有效期為一年,自評估報告首次出具之日起計算��。在評估有效期出現(xiàn)涉及重要數(shù)據(jù)��、核心數(shù)據(jù)的安全事件等情況時��,要重新開展數(shù)據(jù)安全風(fēng)險評估工作���。
相關(guān)部門做好數(shù)據(jù)安全風(fēng)險報告評估及監(jiān)管
對于數(shù)據(jù)處理者提交的數(shù)據(jù)安全風(fēng)險評估報告�,《征求意見稿》第十一條提出行業(yè)監(jiān)管部門根據(jù)管理需要��,自行或委托專業(yè)機構(gòu)對評估報告進行審核���,發(fā)現(xiàn)不符合國家及行業(yè)有關(guān)規(guī)定和標(biāo)準(zhǔn)的�,通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者改正���。涉及跨境提供�、轉(zhuǎn)移��、委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,或者跨主體提供�、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的�,地方行業(yè)監(jiān)管部門對評估報告審查后,報工業(yè)和信息化部���,工業(yè)和信息化部按照國家有關(guān)規(guī)定進行復(fù)核��。
行業(yè)監(jiān)管部門對于違反國家認(rèn)證認(rèn)可相關(guān)規(guī)定的認(rèn)證機構(gòu)�,將相關(guān)線索移交市場監(jiān)督管理部門處理�。行業(yè)監(jiān)管部門對第三方評估機構(gòu)的評估活動進行監(jiān)督管理,對違反法律法規(guī)��、未按行業(yè)規(guī)定和標(biāo)準(zhǔn)開展評估活動���、未履行保密義務(wù)的第三方評估機構(gòu)��,視情按照規(guī)定權(quán)限和程序進行約談�、通報或指導(dǎo)相關(guān)認(rèn)證機構(gòu)撤銷認(rèn)證��。
最后�,《征求意見稿》第十六條和第十七條對涉密做出了明確要求,規(guī)定行業(yè)監(jiān)管部門及委托支撐機構(gòu)的工作人員對在履行職責(zé)中知悉的國家秘密���、商業(yè)秘密���、個人信息�、評估工作信息等��,負(fù)有保密義務(wù)�。對于涉及軍事��、國家秘密信息等數(shù)據(jù)處理活動�,按照國家有關(guān)規(guī)定執(zhí)行。
