中文
工業和信息化部發布的《工業和信息化領域數據安全風險評估實施細則(試行)》(以下簡稱《實施細則》)于6月1日起施行,這是繼《工業和信息化領域數據安全管理辦法(試行)》《工業領域數據安全標準體系建設指南》《工業領域數據安全能力提升實施方案(2024-2026年)》之后的再次重磅發布。
《實施細則》是將《工業和信息化領域數據安全管理辦法(試行)》第三十一條【工業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動至少開展一次風險評估,及時整改風險問題,并向本地區行業監管部門報送風險評估報告】進行了具體細化。
● 評估內容
重要數據和核心數據處理者按照國家法律法規、行業監管部門有關規定以及評估標準,對數據處理活動的目的和方式、業務場景、安全保障措施、風險影響等要素,開展數據安全風險評估,重點評估以下內容:
● 評估有效期
重要數據和核心數據處理者每年至少開展一次數據安全風險評估,評估結果有效期為一年,以評估報告首次出具日期計算。在有效期內出現以下情形之一的,重要數據和核心數據處理者應當及時對發生變化及其影響的部分開展風險評估:
● 評估方式
重要數據和核心數據處理者可以自行或者委托具有工業和信息化數據安全工作能力的第三方評估機構開展評估。評估過程應當建立至少包括組織管理、業務運營、技術保障、安全合規等人員的專業評估團隊,制定完備的評估工作方案,配備有效的技術評測工具。
● 第三方評估機構要求
鼓勵熟悉工業和信息化領域數據安全工作,滿足資質要求的認證機構開展第三方評估機構的能力認證。
工業領域企業開展數據安全風險評估可以參考《網絡安全標準實踐指南—網絡數據安全風險評估實施指引》(TC260-PG-20231A)開展。
● 數據安全風險評估內容框架
圍繞工業領域企業數據安全管理、數據處理活動安全、數據安全技術、個人信息保護等方面開展評估。
● 數據安全風險評估流程
主要包括評估準備、信息調研、風險識別、綜合分析、評估總結五個階段,以下為各階段的具體工作及主要產出物。
● 企業數據安全評估實施步驟
● 數據安全風險評估手段
開展數據安全風險評估時,可綜合采用人員訪談、文檔查驗、安全核查、技術測試等手段。
● 數據安全風險評估報告
數據安全風險評估報告應當包括數據處理者基本情況、評估團隊基本情況、重要數據的種類和數量、開展數據處理活動的情況、數據安全風險評估環境,以及數據處理活動分析、合規性評估、安全風險分析、評估結論及應對措施等。
昂楷科技作為數據安全治理專業廠商,組建了專業的數據安全風險評估服務團隊,已經為全國近百家用戶提供了數據安全風險評估服務,包括某省生態環境廳、某省大數據發展局、某省醫療保障局,以及某鋼鐵制造企業、某制藥企業等。
