工业和信息化领域数据安全风险评估实施细则、算力基础设施高质量发展行动计划.docx
《工业和信息化领域数据安全风险评估实施细则、算力基础设施高质量发展行动计划.docx》由会员分享,可在线阅读,更多相关《工业和信息化领域数据安全风险评估实施细则、算力基础设施高质量发展行动计划.docx(25页珍藏版)》请在第一文库网上搜索。
1、附件1工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)第一条【目的依据】根据中华人民共和国数据安全法中华人民共和国网络安全法工业和信息化领域数据安全管理办法(试行)等法律法规、政策文件有关要求,引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,制定本细则。第二条【适用范围】本细则适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。一般数据处理者可参照本细则开展数据安全风险评估。第三条【管理机构】工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准
2、制修订及推广应用。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。工业和信息化部及地方行业监管部门统称为行业监管部门。第四条【工作原则】重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。第五条【评估内容】重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、
3、风险影响等要素,开展数据安全风险评估,重点评估以下内容:(一)数据处理目的、方式、范围是否合法、正当、必要;(二)数据安全管理制度、流程策略的制定和落实情况;(三)数据安全组织架构、岗位配备和职责履行情况;(四)数据安全技术防护能力建设及应用情况;(五)数据处理活动相关人员的数据安全意识、知识技能、从业背景情况;(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;(七)涉及数据提供、委托处理、转移的,数据提供方、接收方的安全保障能力、诚信守法和责任义务约束情况;(A)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数
4、据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的规模、范围、种类、敏感程度等要素与申报事项的符合情况。第六条【评估期限】重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。在有效期内出现以下情形之一的,重要数据和核心数据处理者对发生变化及其影响的部分,重新开展数据安全风险评估,并更新评估报告:(一)拟新增跨主体提供、委托处理、转移重要数据或者核心数据的;(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和
5、安全制度策略等发生重大调整的;(S)发生涉及重要数据、核心数据的安全事件的;(四)行业监管部门要求进行评估的其他情形。第七条【评估方式】重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。第八条【委托评估】重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估的,可以通过订立合同或者其他具有法律效力的文件,明确双方的权利和责任,向第三方评估机构提供必需的材料和条件,确保相关材料的真实性和完整性,并确认评估结果
6、。第九条【风险控制】重要数据和核心数据处理者对评估中发现的数据安全风险隐患,及时采取适当措施消除或降低风险隐患。第十条【评估报送】重要数据和核心数据处理者在评估工作完成后的10个工作日内,向本地区行业监管部门报送或更新评估报告。中央企业督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部。根据工作需要,地方行业监管部门将本地区本领域重要数据和核心数据处理者的评估报告报送工业和信息化部备案。第十一条【报告审核】行业监管部门根据管理需要,可以自行或委托专业机构对评估报告进行审核,发现不符合国家及行业有关规定和标准的,通知重要数
7、据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的,或者跨主体提供、转移、委托处理核心数据的,地方行业监管部门对评估报告审查后,报工业和信息化部。工业和信息化部按照国家有关规定进行复核。第十二条【评估机构认定】鼓励具有工业和信息化领域数据安全工作经验的认证机构开展第三方评估机构的能力认证。相关认证机构配备相应的人员和技术保障能力,建立第三方评估机构能力评定制度,明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求,跟踪管理第三方评估机构的服务质量,督促第三方评估机构独立、公正、客观、科学的开展数据安全风险评估工作。第十三条【评估机构义务】第三方评估机
8、构应当履行下列义务:(一)对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私等严格保密;(二)严格按照国家法律法规、行业监管部门有关规定以及评估标准,公正、独立地开展评估并出具评估报告,全面、准确地反映重要数据和核心数据处理者的数据安全风险状况,提供务实有效的风险整改建议措施;(三)除重要数据和核心数据处理者明确同意或者法律、行政法规另有规定外,不得向其他组织或个人提供其收集掌握的技术保护措施、关键岗位人员和安全风险等相关信息。第十四条【监督检查】工业和信息化部根据技术能力、人员配备、信誉资质等情况,择优遴选通过能力评定的第三方评估机构,建立工业和信息化领域数据安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 信息化 领域 数据 安全 风险 评估 实施细则 基础设施 质量 发展 行动计划