工信部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》

發(fā)布時間 2022-12-15

近日,工業(yè)和信息化部印發(fā)了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(下稱《管理辦法》)?!豆芾磙k法》作為工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理頂層制度文件,共八章四十二條,重點解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰來管、管什么、怎么管”的問題。


主要內(nèi)容包括七個方面:一是界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念,明確監(jiān)管范圍和監(jiān)管職責(zé)。二是確定數(shù)據(jù)分類分級管理、重要數(shù)據(jù)識別與備案相關(guān)要求。三是針對不同級別的數(shù)據(jù),圍繞數(shù)據(jù)收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉(zhuǎn)移、委托處理等環(huán)節(jié),提出相應(yīng)安全管理和保護要求。四是建立數(shù)據(jù)安全監(jiān)測預(yù)警、風(fēng)險信息報送和共享、應(yīng)急處置、投訴舉報受理等工作機制。五是明確開展數(shù)據(jù)安全監(jiān)測、認(rèn)證、評估的相關(guān)要求。六是規(guī)定監(jiān)督檢查等工作要求。七是明確相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施。


《管理辦法》對工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動進行安全監(jiān)管,具體可以從處理對象、處理主體、處理活動三方面進行認(rèn)識:從處理主體看,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指能夠在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動中自主決定處理目的、處理方式的各類主體,主要包括工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者以及無線電數(shù)據(jù)處理者。從處理對象看,工業(yè)和信息化領(lǐng)域數(shù)據(jù)主要包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等。從處理活動看,數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監(jiān)管范圍。


《管理辦法》圍繞數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關(guān)鍵環(huán)節(jié),分別針對一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)細(xì)化明確了安全保護要求,主要包括明確細(xì)化了協(xié)議約束、安全評估、審批等管理要求,以及校驗與密碼技術(shù)使用、數(shù)據(jù)訪問控制等技術(shù)保護要求。


《管理辦法》明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少完成一次數(shù)據(jù)安全風(fēng)險評估,可以自行或委托第三方評估機構(gòu)開展,及時整改風(fēng)險問題,并向本地區(qū)行業(yè)監(jiān)管部門報告。評估內(nèi)容包括合規(guī)評估和風(fēng)險研判:合規(guī)評估是指對標(biāo)對表法律法規(guī)和政策文件,評估是否滿足相關(guān)要求,風(fēng)險研判是指通過分析數(shù)據(jù)處理者的安全保障能力、面臨的威脅情況和發(fā)生安全事件后的影響程度等,評估數(shù)據(jù)處理活動的安全風(fēng)險等級。


《管理辦法》明確建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作機制,細(xì)化不同主體的責(zé)任與義務(wù):一是工業(yè)和信息化部統(tǒng)籌行業(yè)數(shù)據(jù)安全應(yīng)急處置管理工作,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織協(xié)調(diào)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作;二是地方行業(yè)監(jiān)管部門負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作,及時上報涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件;三是數(shù)據(jù)處理者制定本單位數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期開展應(yīng)急演練,在發(fā)生數(shù)據(jù)安全事件后及時進行處置,并按要求及時向行業(yè)監(jiān)管部門報告。


《管理辦法》發(fā)布后,工業(yè)和信息化部將從政策宣貫、細(xì)則制定、正向引導(dǎo)、監(jiān)督執(zhí)法等方面抓好落實:一是加強宣貫培訓(xùn)。對《管理辦法》的主要內(nèi)容進行全面、系統(tǒng)解讀,指導(dǎo)行業(yè)數(shù)據(jù)處理者準(zhǔn)確理解、全面把握、認(rèn)真落實相關(guān)要求,提升數(shù)據(jù)安全保護意識和能力。二是制定配套規(guī)范標(biāo)準(zhǔn)。重點推進監(jiān)測預(yù)警、應(yīng)急處置、安全評估等制度機制的實施細(xì)則,為企業(yè)進一步提供深入細(xì)致、操作性強的工作指引。三是加強正向引導(dǎo)。通過行業(yè)自律、貫標(biāo)達標(biāo),典型案例遴選等形式,加強示范引領(lǐng),引導(dǎo)企業(yè)自動對標(biāo)管理要求,自覺提升數(shù)據(jù)安全保護能力。四是加強監(jiān)督執(zhí)法。通過專項行動、監(jiān)督檢查等工作,及時發(fā)現(xiàn)違法違規(guī)行為,并依法進行處罰。


文章來源:網(wǎng)絡(luò)安全管理局