数字化转型浪潮下,为紧跟时代步伐,谋求智能化、高效率发展,各企业“囤积”大量数据资产。这些资产助力企业快速转型同时,蕴藏了大量数据安全风险,特别是工业和信息化领域的企业,生产经营高度依赖智能化设备,一旦出现数据安全问题,势必影响企业良好运转。
因此,目前很多工业和信息化领域的企业都在谋求开展数据安全风险评估工作,但如何开展数据安全风险评估也是许多企业发展的“痛点”。
在这种情况下,工业和信息化部在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作的纲领下,研究起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。
明确数据处理者职责和数据安全管理机构
《征求意见稿》第三条指出工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。其余各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。
对于企业重要数据资产,征求意见稿》第五条和第四条明确要求重要数据和核心数据处理者按照应当按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。
数据处理者开展数据安全风险评估的准则
数据安全风险评估工作复杂多变,涉及部门众多,数据处理者很难轻易做到完全独立做好数据安全风险评估工作。《征求意见稿》第七条中表示重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估,评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。
对于数据安全风险评估过程中可能存在的安全隐患,数据处理者要做好准备,及时采取适当措施消除或降低风险隐患。注意,《征求意见稿》强调在评估工作完成后的 10 个工作日内,应当立刻向本地区行业监管部门报送或更新评估报告。
此外,《征求意见稿》第六条同时提出了重要数据的评估期限,规定重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。在评估有效期出现涉及重要数据、核心数据的安全事件等情况时,要重新开展数据安全风险评估工作。
相关部门做好数据安全风险报告评估及监管
对于数据处理者提交的数据安全风险评估报告,《征求意见稿》第十一条提出行业监管部门根据管理需要,自行或委托专业机构对评估报告进行审核,发现不符合国家及行业有关规定和标准的,通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的,或者跨主体提供、转移、委托处理核心数据的,地方行业监管部门对评估报告审查后,报工业和信息化部,工业和信息化部按照国家有关规定进行复核。
行业监管部门对于违反国家认证认可相关规定的认证机构,将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理,对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构,视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。
最后,《征求意见稿》第十六条和第十七条对涉密做出了明确要求,规定行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。对于涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。