永利·皇宫(中国区)官方网站-登录入口

工业领域数据安全风险评估政策解读连载——政策篇

2024-10-09 来源:澳门永利皇宫官网入口


随着《中华人民共和国数据安全法》、《网络数据安全管理条例》、《网络安全标准实践指南—网络数据安全风险评估实施指引》、《工业和信息化领域数据安全风险评估实施细则》等政策文件的发布和实施,可以看出我国加速制定实施数据安全顶层立法,初步构筑起数据安全监管体系,大力促进数据安全技术创新和产业发展,为促进数据风险评估奠定了安全基石。


《网络数据安全管理条例》(以下简称《管理条例》)已经2024年8月30日国务院第40次常务会议通过,现予公布,自2025年1月1日起施行。《管理条例》中要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。


1728636816491478.png

图1:《管理条例》公布通知

 

当今数据安全风险评估政策和标准出台了众多,工业领域面临复杂的数据安全治理挑战,存在安全风险不可知、不可控的难题。而开展工业数据安全风险评估工作可以帮助企业防范网络攻击和数据泄露、增强安全意识和提高管理能力,促进企业可持续发展。澳门永利皇宫官网入口将对工业领域数据安全风险评估政策解读进行四篇连载,分别是“政策篇、实施篇、方案篇、问答篇”。本文就从政策篇开始进行讲解,“政策篇”的解读可以帮助企业更好地掌握风险评估,了解风险评估在各个法律法规条文的内容,并针对条文和风险评估结合作出相关解读。


各法律、法规、标准对重要数据开展风险评估作出要求,对其按照时间轴排序如下图所示:


1728634466468650.png

图2:数据安全风险评估相关政策时间线

 

一、《中华人民共和国数据安全法》风险评估相关政策解读


国家标准层面 — 2021年6月10日,中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(以下简称《数据安全法》),自2021年9月1日起施行。


1728634422758080.png

图3:《数据安全法》会议通过的通知


作为我国数据安全工作开展的纲领性文件,其明确提出建立数据安全风险评估机制要求。《数据安全法》的发布,不仅将数据安全风险评估上升到了法律层级,还为数字经济的发展提供了法律保障,也显示了国家在数据安全风险评估方面的力度和决心,亦是后续行业层面和标准层面发布法规、标准的基石。

 

《数据安全法》第十八条中提出:“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”

 

解读:从条款中可看出国家鼓励并支持(风险评估认证方和第三方检测)机构开展数据安全评估服务,并支持各组织对数据安全风险评估结果采取防御以及处置措施等进行协作处理,及根据一些标准规范制定评估流程以及评估工具。强调落实、开展数据安全风险评估是各政企事业单位等的工作之一。

 

《数据安全法》第二十二条中提出:“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”


解读:建立数据安全风险评估机制是国家层面的重要工作之一,对其机制尚未明确。对相关报告及内容进行了要求,对于本文中后续会在《工业和信息化领域数据安全风险评估实施细则》中要求报告需包含的内容,并在《网络安全标准实践指南—网络数据安全风险评估实施指引》中对内容进一步作出要求。协调有关部门对数据安全风险信息的获取、分析、研判、预警等工作进行加强。对于不同行业的有关部门有所不同,如下表将列举不同行业的有关部门。


1728636961909702.png

表1:不同行业有关部门列举


《数据安全法》中第三十条中提出:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。”


解读:重要数据要按照规定开展评估,其中重要数据可参考《信息安全技术 重要数据识别指南(征求意见稿)》,该标准在其中对重要数据概念、识别原则、识别因素、描述格式进行了阐释;对教育行业中的重要数据可参考《教育系统核心数据和重要数据识别认定工作指南(试行)》进行识别;对工业领域中的重要数据可参考《工业和信息化领域数据安全管理办法》中的第十条对重要数据进行要求。条款中的定期开展风险评估,并报送风险评估报告,针对工业行业而言可参考《工业和信息化领域数据安全管理办法》和《工业和信息化领域数据安全风险评估实施细则》。


二、《工业和信息化领域数据安全管理办法》风险评估相关政策解读


行业法规层面 — 2022年12月8日,工业和信息化部印发关于《工业和信息化领域数据安全管理办法(试行)(以下简称《管理办法》)》的通知,自2023年1月1日起施行。


1728637073145109.png

图4:印发《管理办法》的通知


作为工业和信息化领域数据安全管理第一部法规文件,文件中明确了工业和信息化领域数据安全风险评估工作目标和方向。《管理办法》是在《数据安全法》的基础上对工业和信息化领域数据安全管理的法规文件,也是后续法规的基础。

 

《管理办法》中第三十一条提出:“工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。地方行业监管部门分别负责组织开展本地区数据安全评估工作。工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。”


解读:《管理办法》中要求定期开展评估作出要求—每年至少一次,是对《数据安全法》中定期开展风险评估在工业和信息化领域层面的细化。《管理办法》还明确了“工业和信息化部、地方行业监管部门”两级监管的机制,其中地方行业监管部门包括(各省、自治区、直辖市通信管理局和无线电管理机构)。两者各自监管的职责和分工如下所示:

 

工业和信息化部统筹工业和电信领域数据安全监管工作:

 

  • 组织制定行业数据安全管理政策制度和标准规范;

  • 编制行业重要数据和核心数据目录;

  • 建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制;

  • 指导地方行业监管部门开展属地监管;

  • 督促全行业数据处理者加强数据安全保护工作。

 

地方行业监管部门分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理:


  • 审核重要数据目录备案;

  • 编制重要数据和核心数据具体目录;

  • 开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作;

  • 结合工作实际,建立更加细化完善的工作机制。


《管理办法》中对工业和信息化领域的重要数据和核心数据进行了划分,详情可参考原文中的第十条和第十一条。《管理办法》中要求的评估报告未能进行细化,仅要求在规定期限内形成总结报告。具体评估报告、认证机构、第三方机构等相关内容参考《工业和信息化领域数据安全风险评估实施细则》之风险评估中相关内容。


三、《工业和信息化领域数据安全风险评估实施细则》风险评估相关政策解读

 

行业法规层面 — 2024年5月10日,工业和信息化部印发关于《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》)的通知,自2024年6月1日起施行。

1728637244266303.png

图5:印发《实施细则》的通知

 

作为工业和信息化领域数据安全风险评估第一部法规文件,文件是在《数据安全法》《网络安全法》等法律和《管理办法》法规的基础上引导数据处理者开展风险评估工作,并提升防护水平。

 

《实施细则》全文围绕工业和信息化领域数据安全风险评估开展。《实施细则》详细解读请参考澳门永利皇宫官网入口“六问”深度解读《工业和信息化领域数据安全风险评估实施细则(试行)》相关文章。

 

针对《数据安全法》中所提到定期开展风险评估,在工信和信息化领域中要求为:重要数据和核心数据处理者每年至少开展一次数据安全风险评估,且评估结果有效期为一年,以评估报告首次出具日期计算。评估报告的需包含的内容详见《实施细则》的第六条。评估报告模板及具体落地实操等指南参照《网络安全标准实践指南—网络数据安全风险评估实施指引》中的内容。

 

适用“人群”:中国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。《实施细则》中重要数据和核心数据处理者、第三方评估机构、认证机构、地方行业监管部门、工业和信息化部五者之间关系如下图所示:


 1728637397891847.png

图6:五者关系图

 

《实施细则》中对第三方评估机构也作出了相应的要求,在本年度6月28日中国计算机行业协会数据安全风险评估与检测认证分会成立,对申请加入的认证机构进行评审,通过风险评估服务能力认证机构有4家,分别是:广州赛宝认证中心服务有限公司、泰尔认证中心有限公司、北京赛迪认证中心有限公司、北京赛西认证有限责任公司;检测评估机构通过认证的有9家,具体名称见下表:


1728637429721306.png

表2:检测评估机构

 

四、《网络安全标准实践指南—网络数据安全风险评估实施指引》风险评估相关政策解读


国家标准层面 — 2023年5月26,全国网络安全标准化技术委员会发布了《网络安全标准实践指南—网络数据安全风险评估实施指引》(以下简称《实施指引》)的通知,并在当日正式实施。

 

 1728637472983916.png

图7:发布《实施指引》的通知

 

《实施指引》明确了数据安全风险评估工作的具体内容及工作目标要求,该标准的发布是积极响应《数据安全法》要求,落实重要数据处理过程风险评估,衔接已发布的《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)、《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)等国家标准。

 

《实施指引》的发布为数据安全风险评估工作提供了全面而系统的指导思想和方法论,标志着数据安全风险评估工作正在逐步落地,为数据处理者风险评估工作提供标准支撑。数据处理者可根据该标准为指导开展自评估工作。

 

该指引给出了网络数据安全风险评估思路、工作流程和评估内容,可用于指导数据处理者、第三方机构开展数据安全评估,也可为有关主管监管部门组织开展检查评估提供参考。具体落地实施工作、评估报告参考下一期《工业领域数据安全风险评估—实施流程篇》中相关内容。

 

小结

 

本篇文章从工业企业视角下对数据安全风险评估政策解读。工业企业建立数据安全风险评估框架需要从三个方面进行考虑:国家法律顶层设计要求、国家标准方面实践落地、行业法规角度细化探索。开展数据安全风险评估有助于识别数据安全潜在风险、掌握自身数据安全现状、完善安全防护体系建设,是企业长远发展的航行之道。

 

下期预告:

 

我们将在下一期《工业领域数据安全风险评估政策解读连载—实施篇》中为大家介绍工业领域数据安全风险评估中具体调研内容、实施流程、评估总结等内容,详情请锁定“澳门永利皇宫官网入口”公众号。


更多精彩,敬请期待。


ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质