近日,工业和信息化部发布了《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》),该细则自2024年6月1日起正式生效施行。工信部曾于2023年10月就《实施细则》公开征求了社会意见,与征求意见稿相比,《实施细则》正式稿完善了工信领域数据安全制度体系,展现了工信数据安全风险评估制度的全貌。
一、《实施细则》内容解读
此次发布的《实施细则》对在数据安全风险评估中“谁监管”、“谁评估”、“评估谁”三个方面做了详尽回答,对于重要数据和核心数据处理者在数据安全风险评估方面的要求进行了明确规定。
(一)、主管部门和监管职责
《实施细则》在监管主体分为部、省两级行业监管部门,包括:工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。
《实施细则》第三条规定:工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。各地方行业监管部门依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。此外,数据处理这自评估报告的接受和审查,主要有省级监管部门负责,其中涉及跨主体处理核心数据等的情况,审查后还需报工信部复核(第十一条)。
(二)、评估实施主体
对于工信数据安全风险评估工作的具体实施,除了数据处理者自行开展外,《实施细则》还规定了委托评估的重要机制。对于评估实施主体的规定,可分为三个方面。
一是数据处理者自行或者委托第三方机构,对其相关数据处理活动开展风险评估,《实施细则》第五条明确了8项重点评估内容。此外,第六条、第十条还规定了重要数据和核心数据处理者每年至少开展一次数据安全风险评估,应当在评估工作完成后的10个工作日内,向本地区行业监管部门报送评估报告等要求。
二是监督检查评估,是指行业监管部门遴选通过能力认证的第三方评估机构,并委托其协助行业监管部门对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查(第十四条)。
三是对于第三方评估机构的管理。《实施细则》第十二条、第十三条规定了“能力认证”和建立“评估支撑机构库”两种机制,以及明确了第三方评估机构应当履行的义务。
(三)、评估对象和范围
《实施细则》第二条明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动。风险评估面向的数据处理者的范围,仍然是《工业和信息化领域数据安全管理办法(试行)》中确定的范围。按其规定,数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”,包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。
二、数据安全,一站式守护
随着近年来信息技术的蓬勃发展,企业数据安全评估和运维面临着诸多挑战。《实施细则》的发布进一步明确和细化了工信数据安全评估制度的机制和要求,标志着工信领域数据安全风险评估制度正式启动。
对此,心合网络作为专业的网络安全解决方案和服务提供商,积极响应国家数据安全政策,凭借不断完善和优化的数据安全风险评估方案,为企业提供了全方位的数据护航服务。
在数据安全风险评估过程中,在信息调研基础上围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估,同时能够提供详实的数据处理活动分析、风险识别、安全风险分析,为评估团队提供科学、准确的决策支持。
针对各个评估对象,通过多种评估手段识别可能存在的数据安全风险隐患。已开展的检测评估工作报告,可在分析评估结果真实性、有效性基础上视情采纳。心合网络具备多项专业数据安全技术,如访问控制、监测预警、数据脱敏、数据防泄漏、安全审计等,全面满足数据安全管控需求,有效避免各类风险。
通过制定评估目标、制定评估方案、组建评估团队、风险识别、综合分析、评估总结等全流程一站式服务,帮助数据处理者进一步提高数据安全和个人信息保护能力,有效地加强企业数据安全防护。
随着工信部《实施细则》的施行,相信在政府和企业的共同努力下,我国的数据安全将得到更有效的保障,同时也为数字经济的健康发展提供了坚实支撑。心合网络也将继续致力于信息安全领域的技术创新和服务升级,为更多企业提供优质、高效的数据安全解决方案和产品。
胡志强
专业APP隐私合规,网站定级备案
tel:13736378928