工信、金融、交通、医疗、教育五部委数据安全法规解读（图

炼石 CipherGateway 工信、金融、交通、医疗、教育五部委数据安全法规解读 炼石网络2022年12月 炼石 CipherGateway 01工业和信息化领域数据安全 管理办法（试行） 《工业和信息化领域数据安全管理办法（试行）》总结构 工业和信息化领域数据安全管理办法（试行） 炼石 CipherGateway 第一章总则第三章数据全生命周期安全管理第二章数据分类分级管理 1.目的依据13.主体责任19.数据公开7.分类分级工作要求 14.数据收集 20.数据销毁 15.数据存储16.数据使用加工 21.数据出境 22.数据转移 17.数据传输 23.委托处理 18.数据提供 24.核心数据跨主体处理 25.日志留存 2.适用范围8.分类分级方法 3.数据定义9.一般数据 4.监管机构10.重要数据 5.产业发展 6.标准制定 11.核心数据 12.重要数据和核心数据目录备案 第四章数据安全监测预整与应急管理第五章数据安全检测、第六章监督检查第七章法律责任 认证、评估管理 32.监督检查和协助义务 26.监测预警机制27.信息上报和共享 30.安全检测与认证35.约谈整改 33.数据安全审查 28.应急处置29.举报投诉处理31.安全评估36.法律责任 34.保密要求 第八章附则37.个人信息保护38.其他规定参照39.政务数据排除40.国防科工、烟草领域41.施行日期 《管理办法》出台的背景和目的是什么？ 炼石 CipherGateway 新型生产要素 关系个人权益、公共利益和 数据已成为数字经济时代最为活跃的数据安全风险日益突出，成为 国家安全的重要因素 《中华人民共和国数据安全法》 为开展数据安全监管和保护工作提供法律依据和根本避情，其中明确工业和信总化部承担工业、电信行业数据安全监管职责， 并对数据处理者的安全保护义务提出相关要求 工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军 为贯彻落实《数据安全法》，加快推动工业和信息化领域数据安全管理工作制度化、规范化，工业和信息化部研究起草《管理办法》 工业和信息化领域数据安全管理办法（试行） 目的意义 工信领域细化国家数据安全管理制度 构建工信数据安全监管体系 明确数据安全管理和技术保护措施 在工业和信息化领城对国家微锯安全管理制度要求进行细化，明确开展数据分类分级保护、重要数据管理等工作的 构建工业和信息化领域数据安全监管体系，盟确工业和信息化部，地方行业监管部门的职责范围，建立权责一致的 根据工业、电信、元线电领域的实际情况，明确数据全生命周期保护要求，指导数据处理者链全数据安全管理和技 具体要求，细化数据全生命周期安全义务，为行业数据安 工作机制。 术保护指施，漫行安全保护主体责任。 全监管提供制座保障。 《管理办法》的定位和主要内容是什么？ 炼石 CipherGateway 《管理办法》作为工业和信息化领域数据安全管理顶层制度文件，：共八章四土二条，重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题：主要内容包括七个方面： 界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责 硝定数据分类分级管理、重要数据针对不同级别的数据，国绕数据收集、存储、加工、传输、提供、公开、销识别与备案相关要求毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求 建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制 明硝开展数据安全监测、认证、评规定监督检查等工作要求明俏相关违法违规行为的法律责任估的相关要求和惩罚措施 三、《《管理办法》明确的监管范围是什么？ 炼石 CipherGateway 《管理办法》对工业和信息化领域数据处理活动进行安全监管，具体可以从处理对象、处理主体、处理活动三方面进行认识 处理对象处理主体处理活动 工业和信息化领域数据主要包括工工业和信息化领域数据处理者是指数据收集、存储、使用、加工、传 业数据、电信数据和无线电数据等。能够在工业和信息化领域数据处理输、提供、公开等活动都属于监管 活动中自主决定处理目的、处理方范围。 式的各类主体，主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。 四、《管理办法》明确了怎样的监管职责分工？ 构建“工业和信息化部、地方行业监管部门”两级监管机制 工业和信息化部 统筹工业和电信领域数据安全监管工作 组织制定行业数据安全管理政策制度和标准规范编制行业重要数据和核心数据目录 建立重要数据目录备案，监测预警，风险信息报送和共享应急处置等工作机制指导地方行业监管部门开展属地监管 智促全行业数据处理者加强数据安全保护工作 地方行业监管部门 包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构，分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理，包括： 审核重要数据目录备案编制重要数据和核心数据具体目录 开展监测预誉、风险信息报送和共享，应急处置，风险评估、投诉举报受理等工作结合工作实际，建立更加细化完善的工作机制 炼石 CipherGateway 五、《管理办法》对数据分级保护的要求是什么？ 炼石 CipherGateway 对于不同级别数据同时被处理且难以分别采取保护措施的，采取“就高”原则，按照 其中级别最高的要求实施保护 以数据分级 保护为总体 01一般数据 加强全生命周期安全管理 02重要数据 原则在一般数据保护的基础上进行重点保护 03核心数据 在重要数据保护的基础上实施更加严格保护 六、《管理办法》要求重要数据处理者履行哪些数据安全保护义务？ 炼石 CipherGateway 管理办法》依据国家数据分类分级保护制度要求，规定重要数据处理者在履行一般 数据处理者数据安全保护义务的基础上，还应承担以下保护义务： 开展数据识别备案组织常态化监测预警与应急处置 按照相关标准规范识别重要数据，形成本单 位具体目录并进行备案； 0103 保护义务 涉及重要数据和核心数据安全事件的应第 一时间进行上报； 加强内部管理 0204 定期实施风险评估 建立数据安全工作体系，明确数据安全负责及时发现整改风险问题，并按照要求上报 人，加强数据处理关键岗位管理，构建重要风险评估报告。 数据处理登记审批机制，强化数据全生命周 期安全保护措施； 七、企业如何按照品《管理办法》开展重要数据识别和录备案工作？ 炼石 CipherGateway 工业和信息化部数据处理者 结合国家数据安全保护要求和行业实际 组织制定工业和信息化领域重要数据和核心数据识别认定标准规范 应当定期梳理本单位数据资源 按照所属行业标准规范识别重要数据后 明确识别规则和方法向本地区行业监管部门备案重要数据目录 当备案内容发生重大变化后 应当及时履行备案变更手续 保证目录备案的时效性、准确性与真实性 八、《管理办法》对保障数据全生命周期提了哪些要求？ 炼石 CipherGateway 围绕数据收集，存储、使用、加 01围绕全生命周期工、传输、提供、公开等全生命关键环节周期关键环节 明确细化了协议约束、安全评估、审批等管理要求，以及校验与密码技术使用、数据访问控制等技术保护要求。 细03化 02 明确数据 保护 分级针对一般数据、重要数据、核心 要求数据细化明确了安全保护要求 九、《《管理办法》要求在哪些情形下需要开展数据安全风险评估？ 炼石 CipherGateway 《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估可自行或委托第三方评估机构开展，及时整改风险问题，并向本地区行业监管部门报告 评估内容 合规评估风险研判 是指对标对表法律法规和政策文件是指通过分析数据处理者的安全保障能力、面临的威胁 情况和发生安全事件后的影响程度等 评估是否满足相关要求评估数据处理活动的安全风险等级 十、《管理办法》要求如何开展数据出境安全评估？ 炼石 CipherGatewoy 《工业和信息化领域数据安全管理办法《数据安全法》第三十一条 （试行）》关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数 补充对照 明确工业和信息化领域数据处理者在中华人 民共和国境内收集和产生的重要数据和核心 据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处 理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法 由国家网信部门会同国务院有关部门制定。 数据，法律、行政法规有境内存储要求的，《数据出境安全评估办法》第四条 应当在境内存储，确需向境外提供的，应当数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部 门向国家网信部门申报数据出境安全评估 依照《数据安全法》《数据出境安全评估办 补充 法及等法律法规进行安全评估对照 （一）数据处理者向境外提供重要数据： （二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息： （三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信 息的数据处理者向境外提供个人信息 （四）国家网信部门规定的其他需要申报数据出境安全评估的情形， 十一、如何按照《管理办法》开展数据安全风险监测预警工作？ 炼石 CipherGateway 监测预警是有效发现和防范数据安全突出风险的重要工作。《管理办法》明确了“部-省-企业”三级联动协同的数据安全风险监测预警工作机制。 工业和信息化部 统筹指导行业数据安全监测预警工作 ·建设行业数据安全风险监测预警技术手段 ·统一汇集、研判、通报数据安全风险信息 地方行业监管部门 负责建立本地区本领域数据安全监测预警机制 组织管辖范围内的数据处理者开展数据安全风险监测和信息报送 数据处理者 做好本单位数据安全风险监测 ：按照行业监管部门要求开展风险监测排查，及时防范化解风险隐惠 十二、企业如何按照《管理办法》开展数据安全应急处置工作？ 炼石 CipherGateway 《管理办法》明确建立工业和信息化领域数据安全应急处置工作机制，细化不同主体的责任与义务。 工业和信息化部 统筹行业数据安全应急处置管理工作 制定数据安全事件应急预案 组织协调行业重要数据和核心数据安全事件应急处置工作 地方行业监管部门 负责组织开展本地区数据安全事件应急处置工作 及时上报涉及重要数据和核心数据的安全事件 数据处理者 制定本单位数据安全事件应急预案并定期开展应急演练 在发生数据安全事件后及时进行处置，并按要求及时向行业监管部门报告 十三、《管理办法》对中央企业提出了哪些要求？ 炼石 CipherGateway 中央企业是国民经济的重要支柱和骨干力量，产生、汇聚了大量关系国计民生的重要数据。中央企业所属公司业务既受地方行业监管部门管理，也受集团公司管理。因此，《管理办法》对中央企业提出两项工作要求。 《工业和信息化 领域数据安全管 理办法（试行） 对中央企业提出两项工作要求 地方行业督促所属公司按照属地行业监管部门要求，履监管方面行重要数据目录备案、风险信息上报等要求 做好集团本部数据安全保护工作 集团公司全面梳理汇总集团本部、所属公司相关情况 管理方面 及时向工业和信息化部报送 十四、下一步如何推进相关工作？ 炼石 CipherGateway 《管理办法》发布后，工业和信息化部将从政策宣贯、细则制定、正向引导、监督执法等方面抓好落实。 对《管理办法》的主要内容进行全面、重点推进监测预警、应急处置、安全评估 系统解读，指导行业数据处理者准确等制度机制的实施细则，为企业进一步提 理解、全面把握、认真落实相关要求供深入细致、操作性强的工作指引。 提升数据安全保护意识和能力。加强制定配套 宣贯培训规范标准 加强加强 通过行业自律、贯标达标，典型案正向引导监督执法 例述选等形式，加强示范引领，引通过专项行动、监督检查等工作，及时 导企业自动对标管理要求，自觉提发现违法违规行为，并依法进行处罚。升数据安全保护能力