企业数据安全领航者
近日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则(试行)》),明确了数据安全风险评估的适用对象、做什么、如何做、评估频次、评估报告的提交与管理等关键环节。《实施细则(试行)》于2024年6月1日正式生效施行。
接下来太极风控与您一起来详细解析条款内容:
《细则》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。
1
适用范围与对象
适用范围:《细则》明确适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。一般数据处理者可参照本细则开展数据安全风险评估。
评估对象:主要包括重要数据和核心数据处理者对其数据处理活动的安全风险评估,涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素。
2
管理机构与职责
工业和信息化部:统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。
地方行业监管部门:负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。
3
评估原则与要求
评估原则:强调数据安全风险评估的及时性、客观性和有效性,要求形成真实、完整、准确的评估报告,并对评估结果负责。
评估要求:重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。
4
评估内容与流程
评估内容:重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
评估流程:包括评估的启动、准备、实施、报告和跟踪等各个环节,确保评估工作的有序进行。
评估报告应当包括以下内容:
5
保密义务与参照规定
保密义务:行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。明确行业监管部门及委托支撑机构的工作人员在数据安全风险评估中的保密义务。
参照规定:对一般数据处理者数据处理活动开展的数据安全风险评估可参照本细则实施。涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
数据安全主体单位应对措施
通过加强数据安全防护手段、完善数据安全体系建设,提升工信企业在数据安全管理、数据全生命周期管理、合规与技术等方面的能力与水平,满足相关部门的标准要求,避免数据安全风险。企业可以采取的具体措施有:
建立和完善数据安全管理体系
企业应根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等相关法律法规的要求,建立和完善数据安全管理体系,包括数据安全政策、程序和操作指南等,确保数据处理活动的合法性、正当性和必要性。
进行数据分类和分级管理
企业应按照《办法(试行)》的要求,对所处理的数据进行分类和分级,明确一般数据、重要数据和核心数据的界定,并根据数据的敏感程度采取相应的安全保护措施。
针对数据分类分级,企业可以部署「太极·简」S3 BackUp数据资产安全管理平台,通过数据分类分级功能,把数据划分为核心数据、重要数据、一般数据,帮助企业快速构建数据分类分级保护制度,保障数据在各个业务场景流转过程中的安全性。
加强数据安全教育和培训
企业应定期对员工进行数据安全相关的教育和培训,提高员工的数据安全意识和技能,确保员工能够按照企业的数据安全管理制度和操作规程开展工作,并依法完成数据安全风险评估。
在员工安全意识提升培训方面,太极风控独创的TH1B数据安全管控理念,为企业制定安全培训规范提供了指引方向,对提高企业员工数据的安全保护意识有重要的指导意义。
建立数据安全事件应急响应机制
企业应制定数据安全事件应急预案,建立应急响应团队,定期开展应急演练,确保在数据安全事件发生时能够及时有效地进行处置。
加强与第三方评估机构的合作
对于没有能力自行开展数据安全风险评估的企业,可以委托具有工业和信息化数据安全工作能力的第三方评估机构进行评估。在选择第三方评估机构时,应注意其资质和服务质量,并与其妥善签订协议,确保评估工作的独立性、客观性和科学性。
随着各项政策法规、监管条例不断施行,合法合规的行业底线越来越清晰,对用户、厂商、监管者来讲都是一个较大的课题。尤其对企业来讲,更需在深刻了解国家监管要求的基础上不断改善自己的安全防护能力,从而适应日趋复杂的数据安全风险环境,为自身企业长远发展打好安全基础。
地址:天津滨海高新区华苑产业园区开华道22号普天创新园西塔4层
邮箱: office@yeetrc.com
服务热线: 4008-088-622
传真: 022-23778788