工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》

企业资讯 行业 2024-06-04 14:20:46
12938
收藏

导语:2024年6月1日起,工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则(试行)》,正式生效施行。

2024年6月1日起,工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》),正式生效施行。

《实施细则》完善了工信领域数据安全制度体系,展现了工信数据安全风险评估制度的全貌,可称得上是开行业数据风险评估专项管理制度的“先河”。

一 看变化:管理思路的完善

工信部曾于2023年10月就《实施细则》公开征求了社会意见,与征求意见稿相比,《实施细则》正式稿作了多处修改调整。从中,我们也可以分析管理思路变化完善的某些脉络。

一是监管执法严格化

主要体现在统一管理要求、强化“穿透式”纠错、追责方式全覆盖等方面。

在统一管理要求方面,如对于地方评估结果的报送管理,由原来的“根据工作需要”报送,改为了均需报送工信部备案(第十条)。在对认证机构监管纠错方面,强化和进一步明确了在违规认证活动中,认证机构所应承担的“穿透式”纠错主体责任(第十五条)。在追责方式方面,单独增加了第十六条,使得民事、行政、刑事三类追责方式将基于性质和程度不同,实现对违法行为追责的全覆盖。

二是管理要求规范化

主要体现在提高了相关规定科学性、可操作性两方面。

在科学性方面,如第十二条将认证机构的选取标准由原来的“具有工作经验”改为“满足资质要求”,可见其评价标准更加客观、科学。在可操作性方面,如第五条对于数据处理人员安全的要求由原来的“相关人员的数据安全意识、知识技能、从业背景情况”,改为“相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能”,可见要求更加直观、便于操作执行。

三是法规衔接体系化

主要体现在《实施细则》各条款之间,以及《实施细则》与其他法规之间的衔接一致。

在条款衔接方面,《实施细则》有多处修改,如第五条第(七)项修改为“数据获取方或受托方”的安全保障能力要求,即避免与此前条款的重复。在法规之间衔接方面,《实施细则》对于重要数据评估备案、出境管理等规定的修改,都充分体现出其与《数据安全法》《促进和规范数据跨境流动规定》《数据出境安全评估办法》等法律法规的体系化衔接。

二 看内容:评估的三个基本问题

《实施细则》在制度建设方面,可以视为对《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)的细化和完善。其在《管理办法》构建的制度框架下,详细回答了“谁监管”、“谁评估”、“评估谁”三个基本问题。

(一)谁监管:主管部门和管理职责

对于工信数据安全风险评估的管理部门和管理机制,《实施细则》的相关规定可归纳为以下两个层次。

首先,“两级+五类”管理机构。“两级”是指在管理层级上看,监管主体分为部、省两级行业监管部门。“五类”则主要从职责定位上看,包括:工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。其中,《实施细则》将中央企业单列,负责“督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部”。可见,除了央企垂直报送的情况以外,评估监管基本上遵循省级属地管辖的原则。

其次,三项管理机制。一是统筹和立制,工信部负责,工作形式包括统一监管指导和制修订标准等(第三条)。二是数据处理者自评估报告的接收和审查,主要由省级监管部门负责,其中涉及跨主体处理核心数据等的情况,审查后还需报工信部复核(第十一条)。三是监督检查,《实施细则》规定部、省两级行业监管部门均可按照工作需要开展,形式包括“专项风险评估”、“评估工作落实情况监督检查”等(第十四条)。

(二)谁评估:评估实施主体

对于工信数据安全风险评估工作的具体实施,除了数据处理者自行开展外,《实施细则》还规定了委托评估的重要机制。而从实践情况来看,因受专业技术能力、法规标准理解能力、人员队伍素质等多种因素的影响,数据处理者大概率会采用委托评估的方式开展此项工作。因此,第三方评估机构实际上往往会成为评估工作的主要承担者。《实施细则》对于评估实施的规定,可归纳为三个方面。

一是对数据处理活动的自评估。即数据处理者自行或委托第三方机构,对其相关数据处理活动进行风险评估,具体评估内容包括《实施细则》第五条明确的8项要点;此外,第六条、第七条等还规定了评估频次为每年一次,评估报告应于评估完成后的10日内,向本地区行业监管部门报送或更新等要求。

二是监督检查评估。特指第三方评估机构受行业监管部门委托,协助行业监管部门履行其风险评估监管职责,即包括支撑参与“专项风险评估”和“评估工作落实情况监督检查”等(第十四条)工作。

三是关于第三方评估机构的管理。《实施细则》规定了“能力认证”(第十二条)和建立“评估支撑机构库”(第十四条)两种管理机制,据此预计,后续或将采用目录管理等具体管理形式。

(三)评估谁:评估对象和范围

哪些处理者和哪些数据属于评估的对象,这无疑是工信数据领域广大从业者关心的关键核心问题之一。《实施细则》明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动(第二条)。如何全面理解此规定,笔者认为至少须包括以下四层意思。

一是“工业和信息化领域数据”的类别。根据《管理办法》第三条规定,“工业和信息化领域数据”包括工业数据、电信数据和无线电数据三类。其中“工业数据”是指“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”;“电信数据”是指“在电信业务经营活动中产生和收集的数据”;“无线电数据”是指“在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据”。

二是“重要数据和核心数据”的判断标准。这涉及工信数据的分级规定。《管理办法》对工信领域数据的分级主要是根据数据遭到篡改、破坏等情况的影响程度,也明文列举了重要数据和核心数据的常见判断标准,此不赘述(详见《管理办法》第二章 第十条、第十一条)。《实施细则》则进一步明确,对于“重要”、“核心”两个级别的数据须纳入风险评估,而对于“一般”级别的数据,则未做硬性要求,仅规定可“参照”开展相应评估工作(第十八条)。

三是“数据处理者”的范围。风险评估面向的数据处理者,仍然是《管理办法》确定的范围。按其规定,数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”,包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。

四是“数据处理活动”的主要种类。《管理办法》第三条从数据处理活动生命周期的角度,提出了数据处理活动的主要类型,即“包括但不限于数据收集、存储、使用、加工、传输、提供、公开等”活动。

三 看发展:完善思考

《实施细则》进一步明确和细化了工信数据安全评估制度的机制和要求,标志着工信领域数据安全风险评估制度正式启动。对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等,都具有重要指导意义。

与此同时,工信数据安全风险评估工作涉及面较广,很多具体规定或有待结合实际操作进一步优化完善。如,《实施细则》提出了“满足资质要求的认证机构开展第三方评估机构的能力认证”(第十二条),但对于认证机构应满足哪些“资质要求”,仅提出了原则性规定,也不便于推进落实。

再如,对于地方建设“评估支撑机构库”的规定(第十四条),仅规定了“参照建立本地区数据安全风险评估支撑机构库”,但在“地区机构库”与“工信部机构库”二者的关系问题上,诸如服务范围如何区分、涵盖机构名单是否可相同等具体情况,也期待做出进一步细化。

文章来源:网络安全罗盘

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务