工业和信息化领域数据安全风险评估解读

炼石 CipherGateway 工业和信息化领域 数据安全风险评估解读 炼石网络2023年12月 炼石图解工信领域数据安全风险评估总体结构 炼石 CipherGateway 图解工信领域数据安全风险评估结构 01政策背景与总体要求 (参考政策：工业和信息化领域数据安全管理办法(试行) 02管理机构与评估机构03评估内容与评估流程 (参考政策：工业和信息化领域数据安全风险评估实施细则（试(参考政策：工业和信息化领域数据安全风险评估实施细则（试 行)(征求意见稿)）行)/网络数据安全风险评估实施指引) 04评估准备与信息调研 (参考政策：网络数据安全风险评估实施指引) 05风险识别与风险控制 (参考政策：网络数据安全风险评估实施指引/工业和信息化领 域数据安全风险评估实施细则(试行） 06评估总结与评估报送07风险信息报送与共享 (参考政策：网络数据安全风险评估实施指引/工业和信息化领域（参考政策：工业和信息化领域数据安全风险信息报送与共享工 数据安全风险评估实施细则(试行））作指引(试行)） 08风险评估行政处罚裁量 (工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)） 炼石 图解工信领域数据安全风险评估参考文献CipherGateway 中华人民共和国工业和信息化部中华人民共和国工业和信息化部 再次公开征求对《工业和信息化领残数据安全管理办法（试行）》的意见公开征求对工业和信息化领域 稿）》的意见 旅细则（试行）（征求意见 定部门、工业和信息必味 工业和信息化领域数据安全管理办法工业和信息化领域数据安全风险评估实 (试行)施细则(试行)(征求意见稿） 中华人民共和国工业和信息化部中华人民共和国工业和信息化部 公开征求对《工业和信息化领域数据安全风险信息报送与共享工作指引（试行） （征求意见稿）》的意见 稿）》的意见 为费彻落实《数据安全法》关于数据安全风险评估的要求，秘书处在短织编制国家标求约同以一网终数据安全风险许估实地指引》，用子指导开展网络数据安全风险评估工作 形成的优务经验也可为国家标准制定提供参备 社会公开在术题见，加程 全国信息安全标准他教术委员会秘书处 ）·消在信封上注明“工北和途险化 我量指（试节）（征求意见据） 网络数据安全风险评估实施指引 13年11月2日 工业和信息化领域数据安全风险信息报工业和信息化领域数据安全行政处罚裁 送与共享工作指引（试行)量指引（试行）（征求意见稿) 图解内容与政策条款对应表 章节总体结构参考政策解读要点 炼石 CipherGateway 1.政策背景与总体要求《工业和信息化领域数据安全管理办法（试行）》 数据安全监测预警与应急管理】【数据安全检测、认证、 评估管理】【法律责任】 2.管理机构与评估机构 《工业和信息化领域数据安全风险评估实施细则 (试行）（征求意见稿）》 【管理机构】【工作原则】【评估方式】【委托评估】 【评估机构认定】【评估机构义务】 (监督检查】【机构监管】【保密要求】 3.评估内容与评估流程 《工业和信息化领域数据安全风险评估实施细则 【评估内容】【评估期限】 (试行）（征求意见稿）》 《网络数据安全风险评估实施指引》【评估思路】【评估内容】【评估流程】【评估手段】 4.评估准备与信息调研《网络数据安全风险评估实施指引》【评估准备】【信息调研】 《网络数据安全风险评估实施指引》（风险识别】【附件：风险类别 5.风险识别与风险控制《工业和信息化领域数据安全风险评估实施细则 (试行）（征求意见稿）》 【风险控制】 《网络数据安全风险评估实施指引》综合分析】【评估总结】【附件：评估报告模板】 6.评估总结与评估报送《工业和信息化领域数据安全风险评估实施细则评估报送】【报告审核】【其他规定参照】 (试行）（征求意见稿）》 7.风险信息报送与共享 8.风险评估行政处罚裁量 【总则】【组织机构及职责】【风险信息报送】【风险信 《工业和信息化领域数据安全风险信息报送与共息研判与共享】【保障措施】【风险信息报送模板】【风 享工作指引（试行）》险信息报送工作总结模板】【工业和信息化领域数据安全 风险报送单位申报要求】 《工业和信息化领域数据安全行政处罚裁量指引【第三章处罚情形第十条（七）（八）（十八）（十九）】 (试行）（征求意见稿）》【裁量基准-6,7,8,9,10】 炼石 CipherGateway 01政策背景与总体要求05风险识别与风险控制 02管理机构与评估机构06评估总结与评估报送 03评估内容与评估流程07风险信息报送与共享 04评估准备与信息调研08风险评估行政处罚裁量 工业和信息化领域数据安全管理顶层设计 炼石 CipherGateway 中华人民共和国工业和信息化部烧一度家 工业和信息化部政务公开公众参与工信故据 2022年12月8日，工业和信息化部印发《工业和信 息化领域数据安全管理办法（试行）》，旨在： 发布日期：2022-12-13 工业和信息化部关于印发《工业和信息化领域数据安全管理办法（试行）》的通知 ·规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开 发利用，保护个人、组织的合法权益，维护国家安全和发展利益 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，青海、宁 现将《工业和信息化领域数据安全管理办法（试行）》印发给你们，请认真遵照执行。 工业和信息化部 《数据安《网络安《个人信息《国家安全 2022年12月8日全法》全法》 保护法》法》 《民法典》 第一章总贝 制定本办法 第一条为了规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组 织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规，制定本办法。 第二条在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管，应当遵守相关法律、行政法规和本办 法的要求 《工业和信息化领域数据安全管理办法（试行）》 产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。 无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据。 工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频丰。台（站）使用单位等工业和信息化领域各类主体。工业和信息化领域数 据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收存储、使用、加工、传输、提供、公开等活动 6 《管理办法》要求在哪些情形下需要开展数据安全风险评估？ 炼石 CipherGateway 《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估 可自行或委托第三方评估机构开展，及时整改风险问题，并向本地区行业监管部门报告 评估内容 合规评估风险研判 是指对标对表法律法规和政策文件是指通过分析数据处理者的安全保障能力、面临的威胁 情况和发生安全事件后的影响程度等 评估是否满足相关要求评估数据处理活动的安全风险等级 强化监测预警、上报共享、应急处置、孝举报投诉等机制 炼石 CipherGateway M 监测预警机制信息上报和共享机制应急处置机制举报投诉机制建立数据安全风险建立风险信息上报制定数据安全事件应急预案建立违法行为投诉监测机制和共享机制涉及重要数据和核心数据的举报渠道 制定监测预警接口，汇总分析本地区风安全事件，立即上报工信部依法接收、处理投 和标准险，及时上报数据安全事件发生后，及时诉举报 加强信息共享开展应急处置，涉及重要数开展执法调查 及时发布预警信息据和核心数据的安全事件，建立用户投诉处理 采取应对措施第一时间向本地区行业监管机制 开展数据安全风险部门报告 监测告知用户，提供减轻危害措 施 注：对应政策及要点为《工业和信息化领域数据安全管理办法（试行）》【数据安全监测预警与应急管理】8 炼石 强调特定主体每年至少开展一次安全评估CipherGateway 评估 机制 安全检测与认证安全评估 工业和信息化部：工业和信息化部： 指导、鼓励具备相应资质的机构，依据相制定评估机构管理制度和规范，指导评估机构开展数 关标准开展行业数据安全检测、认证工作据安全风险评估、出境安全评估等工作 地方行业监管部门： 组织开展本地区数据安全评估工作 工业和信息化领域重要数据和核心数据处理者： 自行或委托第三方评估机构，每年至少开展一次风险评估，及时整改风险问题，并报送风险评估报告 注：对应政策及要点为《工业和信息化领域数据安全管理办法（试行）》【数据安全检测、认证、评估管理）9 明确监督协助、安全审查、保密义务 炼石 CipherGateway 01.02.03. 监督检查和协助义务数据安全审查义务保密义务 行业监管部门工业和信息化部行业监管部门及其委托的数 开展监督检查在国家数据安全工作协调机制指据安全评估机构工作人员 工信领域数据处理者导下，开展数据安全审查相关工严格保密履行职责中知悉的个 履行配合义务作 人信息和商业秘密等，不得泄露或非法向他人提供 注：对应政策及要点为《工业和信息化领域数据安全管理办法（试行）》【数据安全检测、认证、评估管理】/部分内容来源网络安全管理局“一图 读懂《工业和信息化领域数据安全管理办法（试行）》10 法律责任：明确责任主体违规行为和罚则 炼石 CipherGateway 序号责任主体违规行为监管部门罚则 数据处理活 1动存在较大行业监管部门约谈整改，消除隐患 安全风险的 工业和信息 化领域数据没收违法所得、罚款、暂停业务、 处理者根据情节严重程度停业整顿、吊销业务许可证等行 有违反本办 2法规定行为行业监管部门 的 政处罚 构成犯罪的依法追究刑事责任 注：对应政策及要点为《工业和信息化领域数据安全管理办法（试行）》【法律责任）11 炼石 CipherGateway 01政策背景与总体要求05风险识别与风险控制 02管理机构与评估机构06评估总结与评估报送 03评估内容与评估流程07风险信息报送与共享 04评估准备与信息调研08风险评估行政处罚裁量 《工业和信息化领域数据安全风险评估实施细则 炼石 (试行)(征求意见稿)ipherGateway 中华人民共和国工业和信息化部统一摆索 看新找文件宣办事提意见查故据要投调 2023年10月，工业和信息化部发布《工业和信息化领域数据 工业和信息化部新闻动态政务公开政务服务公众参与工信数据专题专栏安全风险评估实施细则（试行）（征求意见稿）》 ·旨在引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全 公开征求对《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见 稿）》的意见管理水平，维护国家安全和发展利益 状态：已结网络安全管理局·用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全 为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行》》 指导地方行业主管部门、工业和信息化 风险评估活动 领城数据处理者规范开展风险评估工作，我们研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意 传真：010-660695《工业和信息化领域数据安 邮箱：zhanghong@mit.gov. 领域数据安全风险评估实施细则（试行）（征求意见稿》》意见反馈" 《数据安全法》 《网络安全法》全管理办法（试行）》 1.工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）doc 2.起草说明.doc制定本细则 工业和信息化部网络安全管理局 2023年10月9日 《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿） 13 管理机构：工