中文
工業(yè)和信息化部發(fā)布的《工業(yè)和信息化領(lǐng)域數據安全風(fēng)險評估實(shí)施細則(試行)》(以下簡(jiǎn)稱(chēng)《實(shí)施細則》)于6月1日起施行,這是繼《工業(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》《工業(yè)領(lǐng)域數據安全標準體系建設指南》《工業(yè)領(lǐng)域數據安全能力提升實(shí)施方案(2024-2026年)》之后的再次重磅發(fā)布。
《實(shí)施細則》是將《工業(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》第三十一條【工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動(dòng)至少開(kāi)展一次風(fēng)險評估,及時(shí)整改風(fēng)險問(wèn)題,并向本地區行業(yè)監管部門(mén)報送風(fēng)險評估報告】進(jìn)行了具體細化。
● 評估內容
重要數據和核心數據處理者按照國家法律法規、行業(yè)監管部門(mén)有關(guān)規定以及評估標準,對數據處理活動(dòng)的目的和方式、業(yè)務(wù)場(chǎng)景、安全保障措施、風(fēng)險影響等要素,開(kāi)展數據安全風(fēng)險評估,重點(diǎn)評估以下內容:
● 評估有效期
重要數據和核心數據處理者每年至少開(kāi)展一次數據安全風(fēng)險評估,評估結果有效期為一年,以評估報告首次出具日期計算。在有效期內出現以下情形之一的,重要數據和核心數據處理者應當及時(shí)對發(fā)生變化及其影響的部分開(kāi)展風(fēng)險評估:
● 評估方式
重要數據和核心數據處理者可以自行或者委托具有工業(yè)和信息化數據安全工作能力的第三方評估機構開(kāi)展評估。評估過(guò)程應當建立至少包括組織管理、業(yè)務(wù)運營(yíng)、技術(shù)保障、安全合規等人員的專(zhuān)業(yè)評估團隊,制定完備的評估工作方案,配備有效的技術(shù)評測工具。
● 第三方評估機構要求
鼓勵熟悉工業(yè)和信息化領(lǐng)域數據安全工作,滿(mǎn)足資質(zhì)要求的認證機構開(kāi)展第三方評估機構的能力認證。
工業(yè)領(lǐng)域企業(yè)開(kāi)展數據安全風(fēng)險評估可以參考《網(wǎng)絡(luò )安全標準實(shí)踐指南—網(wǎng)絡(luò )數據安全風(fēng)險評估實(shí)施指引》(TC260-PG-20231A)開(kāi)展。
● 數據安全風(fēng)險評估內容框架
圍繞工業(yè)領(lǐng)域企業(yè)數據安全管理、數據處理活動(dòng)安全、數據安全技術(shù)、個(gè)人信息保護等方面開(kāi)展評估。
● 數據安全風(fēng)險評估流程
主要包括評估準備、信息調研、風(fēng)險識別、綜合分析、評估總結五個(gè)階段,以下為各階段的具體工作及主要產(chǎn)出物。
● 企業(yè)數據安全評估實(shí)施步驟
● 數據安全風(fēng)險評估手段
開(kāi)展數據安全風(fēng)險評估時(shí),可綜合采用人員訪(fǎng)談、文檔查驗、安全核查、技術(shù)測試等手段。
● 數據安全風(fēng)險評估報告
數據安全風(fēng)險評估報告應當包括數據處理者基本情況、評估團隊基本情況、重要數據的種類(lèi)和數量、開(kāi)展數據處理活動(dòng)的情況、數據安全風(fēng)險評估環(huán)境,以及數據處理活動(dòng)分析、合規性評估、安全風(fēng)險分析、評估結論及應對措施等。
昂楷科技作為數據安全治理專(zhuān)業(yè)廠(chǎng)商,組建了專(zhuān)業(yè)的數據安全風(fēng)險評估服務(wù)團隊,已經(jīng)為全國近百家用戶(hù)提供了數據安全風(fēng)險評估服務(wù),包括某省生態(tài)環(huán)境廳、某省大數據發(fā)展局、某省醫療保障局,以及某鋼鐵制造企業(yè)、某制藥企業(yè)等。
