【工信部】工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)
編輯:admin | 發(fā)布時(shí)間:admin|閱讀量:98工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)
第一條 根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民 共和國(guó)網(wǎng)絡(luò)安全法》等法律,按照《工業(yè)和信息化領(lǐng)域數(shù)據(jù) 安全管理辦法(試行)》有關(guān)要求,為引導(dǎo)工業(yè)和信息化領(lǐng) 域數(shù)據(jù)處理者規(guī)范開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,提升數(shù)據(jù)安 全管理水平,維護(hù)國(guó)家安全和發(fā)展利益,制定本細(xì)則。
第二條 本細(xì)則適用于對(duì)中華人民共和國(guó)境內(nèi)工業(yè)和信 息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動(dòng)開(kāi)展的 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。
第三條 工業(yè)和信息化部統(tǒng)一管理、監(jiān)督和指導(dǎo)工業(yè)和 信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,組織開(kāi)展相關(guān)評(píng)估標(biāo)準(zhǔn) 制修訂及推廣應(yīng)用。
各省、 自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵 團(tuán)工業(yè)和信息化主管部門,各省、 自治區(qū)、直轄市通信管理 局和無(wú)線電管理機(jī)構(gòu)( 以下統(tǒng)稱地方行業(yè)監(jiān)管部門)依據(jù)職 責(zé)分別負(fù)責(zé)監(jiān)督管理本地區(qū)工業(yè)、電信、無(wú)線電重要數(shù)據(jù)和 核心數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。
工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管 部門。
第四條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照及時(shí)、客觀、
有效的原則開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,形成真實(shí)、完整、準(zhǔn)確 的評(píng)估報(bào)告,并對(duì)評(píng)估結(jié)果負(fù)責(zé)。
第五條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國(guó)家法律法 規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評(píng)估標(biāo)準(zhǔn),對(duì)數(shù)據(jù)處理活動(dòng) 的目的和方式、業(yè)務(wù)場(chǎng)景、安全保障措施、風(fēng)險(xiǎn)影響等要素, 開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,重點(diǎn)評(píng)估以下內(nèi)容:
( 一)數(shù)據(jù)處理目的、方式、范圍是否合法、正當(dāng)、必 要;
( 二)數(shù)據(jù)安全管理制度、流程策略的制定和落實(shí)情況;
( 三)數(shù)據(jù)安全組織架構(gòu)、 崗位配備和職責(zé)履行情況;
( 四)數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)及應(yīng)用情況;
( 五)數(shù)據(jù)處理活動(dòng)相關(guān)人員是否熟悉數(shù)據(jù)安全相關(guān)政 策法規(guī)、是否具備數(shù)據(jù)安全知識(shí)技能、是否接受數(shù)據(jù)安全相 關(guān)教育培訓(xùn)等情況;
( 六)發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非 法獲取、非法利用等安全事件,對(duì)國(guó)家安全、公共利益的影 響范圍、程度等風(fēng)險(xiǎn);
(七)涉及數(shù)據(jù)提供、委托處理、轉(zhuǎn)移的,數(shù)據(jù)獲取方 或受托方的安全保障能力、責(zé)任義務(wù)約束和履行情況;
( 八)涉及國(guó)家法律法規(guī)中規(guī)定需要申報(bào)的數(shù)據(jù)出境安 全評(píng)估情形,履行數(shù)據(jù)出境安全評(píng)估要求情況。
第六條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開(kāi)展一次
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,評(píng)估結(jié)果有效期為一年, 以評(píng)估報(bào)告首 次出具日期計(jì)算。評(píng)估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、 評(píng)估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類和數(shù)量、開(kāi)展數(shù)據(jù)處理 活動(dòng)的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境, 以及數(shù)據(jù)處理活動(dòng)分 析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等。
在有效期內(nèi)出現(xiàn)以下情形之一的,重要數(shù)據(jù)和核心數(shù)據(jù) 處理者應(yīng)當(dāng)及時(shí)對(duì)發(fā)生變化及其影響的部分開(kāi)展風(fēng)險(xiǎn)評(píng)估:
( 一)新增跨主體提供、委托處理、轉(zhuǎn)移核心數(shù)據(jù)的;
( 二)重要數(shù)據(jù)、核心數(shù)據(jù)安全狀態(tài)發(fā)生變化對(duì)數(shù)據(jù)安 全造成不利影響的,包括但不限于數(shù)據(jù)處理目的、方式、適 用范圍和安全制度策略等發(fā)生重大調(diào)整的;
( 三)發(fā)生涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件的;
( 四)重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化 的;
( 五)行業(yè)監(jiān)管部門要求進(jìn)行評(píng)估的其他情形。
第七條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托 具有工業(yè)和信息化數(shù)據(jù)安全工作能力的第三方評(píng)估機(jī)構(gòu)開(kāi) 展評(píng)估。評(píng)估過(guò)程應(yīng)當(dāng)建立至少包括組織管理、業(yè)務(wù)運(yùn)營(yíng)、 技術(shù)保障、安全合規(guī)等人員的專業(yè)化評(píng)估團(tuán)隊(duì),制定完備的 評(píng)估工作方案,配備有效的技術(shù)評(píng)測(cè)工具。
第八條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者委托第三方評(píng)估機(jī) 構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的,可以通過(guò)訂立合同或者其他具
有法律效力的文件,明確雙方的權(quán)利和責(zé)任,向第三方評(píng)估 機(jī)構(gòu)提供必需的材料和條件,確保相關(guān)材料的真實(shí)性和完整 性,并確認(rèn)評(píng)估結(jié)果。
第九條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者對(duì)評(píng)估中發(fā)現(xiàn)的數(shù) 據(jù)安全風(fēng)險(xiǎn)隱患,應(yīng)當(dāng)及時(shí)采取適當(dāng)措施消除或降低風(fēng)險(xiǎn)隱 患。
第十條 重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)在評(píng)估工作完 成后的 10 個(gè)工作日 內(nèi), 向本地區(qū)行業(yè)監(jiān)管部門報(bào)送評(píng)估報(bào) 告。
中央企業(yè)督促指導(dǎo)所屬企業(yè)履行屬地?cái)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng) 估及評(píng)估報(bào)告報(bào)送要求,并將梳理匯總的企業(yè)集團(tuán)本部、所 屬公司的評(píng)估報(bào)告報(bào)送工業(yè)和信息化部。
地方行業(yè)監(jiān)管部門將本地區(qū)本領(lǐng)域重要數(shù)據(jù)和核心數(shù) 據(jù)處理者的評(píng)估結(jié)果報(bào)送工業(yè)和信息化部。
第十一條 地方行業(yè)監(jiān)管部門發(fā)現(xiàn)不符合法律法規(guī)和有 關(guān)規(guī)定的,應(yīng)當(dāng)及時(shí)通知重要數(shù)據(jù)和核心數(shù)據(jù)處理者依法予 以改正。地方行業(yè)監(jiān)管部門于 12 月 25 日前,將本地區(qū)本年 度評(píng)估報(bào)告接收和審核情況報(bào)送工業(yè)和信息化部。工業(yè)和信 息化部視情對(duì)評(píng)估報(bào)告組織抽查審核。
涉及跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的,地方行 業(yè)監(jiān)管部門應(yīng)當(dāng)在數(shù)據(jù)處理者提交評(píng)估報(bào)告的20 個(gè)工作日 內(nèi)完成審查,并報(bào)工業(yè)和信息化部按照國(guó)家有關(guān)規(guī)定進(jìn)行復(fù)
核。
第十二條 鼓勵(lì)熟悉工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全工作, 滿足資質(zhì)要求的認(rèn)證機(jī)構(gòu)開(kāi)展第三方評(píng)估機(jī)構(gòu)的能力認(rèn)證。
相關(guān)認(rèn)證機(jī)構(gòu)配備相應(yīng)的人員和技術(shù)保障能力,建立第 三方評(píng)估機(jī)構(gòu)能力認(rèn)證制度,明確第三方評(píng)估機(jī)構(gòu)在管理體 系、人員能力、工具設(shè)施、評(píng)估領(lǐng)域等方面的規(guī)范要求,跟 蹤管理第三方評(píng)估機(jī)構(gòu)的服務(wù)質(zhì)量,督促第三方評(píng)估機(jī)構(gòu)獨(dú) 立、公正、客觀、科學(xué)地開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。
第十三條 第三方評(píng)估機(jī)構(gòu)應(yīng)當(dāng)履行下列義務(wù):
( 一)對(duì)評(píng)估工作中知悉的國(guó)家秘密、重要數(shù)據(jù)和核心 數(shù)據(jù)的目錄與內(nèi)容、商業(yè)秘密、個(gè)人隱私, 以及與數(shù)據(jù)處理 者簽署的保密協(xié)議中約定的保密信息等嚴(yán)格保密;
( 二)嚴(yán)格按照國(guó)家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定 以及評(píng)估標(biāo)準(zhǔn),公正、獨(dú)立地開(kāi)展評(píng)估并出具評(píng)估報(bào)告,全 面、準(zhǔn)確、客觀地反映重要數(shù)據(jù)和核心數(shù)據(jù)處理者的數(shù)據(jù)安 全風(fēng)險(xiǎn)狀況,提供務(wù)實(shí)有效的風(fēng)險(xiǎn)整改建議措施;
( 三)除重要數(shù)據(jù)和核心數(shù)據(jù)處理者書面同意或者法 律、行政法規(guī)另有規(guī)定外,不得向其他組織或個(gè)人提供評(píng)估 中收集掌握的相關(guān)信息。
第十四條 工業(yè)和信息化部根據(jù)技術(shù)能力、人員配備、 信譽(yù)資質(zhì)等情況,擇優(yōu)遴選通過(guò)能力認(rèn)證的第三方評(píng)估機(jī) 構(gòu),建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估支撐機(jī)構(gòu)庫(kù)。
地方行業(yè)監(jiān)管部門可以參照建立本地區(qū)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 支撐機(jī)構(gòu)庫(kù)。
行業(yè)監(jiān)管部門根據(jù)工作需要,可以自行或組織數(shù)據(jù)安全 風(fēng)險(xiǎn)評(píng)估支撐機(jī)構(gòu)庫(kù)中的機(jī)構(gòu),對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)處理 者的數(shù)據(jù)處理活動(dòng)開(kāi)展專項(xiàng)風(fēng)險(xiǎn)評(píng)估,或?qū)χ匾?/span>數(shù)據(jù)和核心 數(shù)據(jù)處理者的風(fēng)險(xiǎn)評(píng)估工作落實(shí)情況進(jìn)行監(jiān)督檢查。
重要數(shù)據(jù)和核心數(shù)據(jù)處理者對(duì)行業(yè)監(jiān)管部門發(fā)起的專 項(xiàng)風(fēng)險(xiǎn)評(píng)估及監(jiān)督檢查應(yīng)當(dāng)予以配合,并對(duì)評(píng)估發(fā)現(xiàn)的相關(guān) 問(wèn)題及時(shí)進(jìn)行改正。
第十五條 行業(yè)監(jiān)管部門對(duì)于違反國(guó)家認(rèn)證認(rèn)可相關(guān)規(guī) 定的認(rèn)證機(jī)構(gòu),將相關(guān)線索移交市場(chǎng)監(jiān)督管理部門處理。
行業(yè)監(jiān)管部門對(duì)第三方評(píng)估機(jī)構(gòu)的評(píng)估活動(dòng)進(jìn)行監(jiān)督 管理,對(duì)違反法律法規(guī)、未按行業(yè)規(guī)定和標(biāo)準(zhǔn)開(kāi)展評(píng)估活動(dòng)、 未履行保密義務(wù)的第三方評(píng)估機(jī)構(gòu),視情按照規(guī)定權(quán)限和程 序進(jìn)行約談、通報(bào),認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)通報(bào)信息,對(duì)不符合認(rèn) 證要求的第三方評(píng)估機(jī)構(gòu)依法暫停直至撤銷其相應(yīng)認(rèn)證證 書。
第十六條 有違反本實(shí)施細(xì)則行為的, 由行業(yè)監(jiān)管部門 按照相關(guān)法律法規(guī),根據(jù)情節(jié)嚴(yán)重程度給予行政處罰;構(gòu)成 犯罪的,依法追究刑事責(zé)任。
第十七條 行業(yè)監(jiān)管部門及委托支撐機(jī)構(gòu)的工作人員對(duì) 在履行職責(zé)中知悉的國(guó)家秘密、商業(yè)秘密、個(gè)人信息、評(píng)估
工作信息等,負(fù)有保密義務(wù)。
第十八條 對(duì)一般數(shù)據(jù)處理者數(shù)據(jù)處理活動(dòng)開(kāi)展的數(shù)據(jù) 安全風(fēng)險(xiǎn)評(píng)估可參照本細(xì)則實(shí)施。涉及軍事、國(guó)家秘密信息 等數(shù)據(jù)處理活動(dòng),按照國(guó)家有關(guān)規(guī)定執(zhí)行。
第十九條 本細(xì)則自 2024 年 6 月 1 日起施行。