图解工信部工业和信息化领域数据安全风险评估实施细则（试行）

炼石 图解工信部 CipherGateway 工业和信息化领域数据安全风险评估实施细则 （试行） 炼石网络2024年5月 总体结构及参考文献炼石 本次更新 0102030405 CipherGateway 工业和信息化领域工业领域数据安全工业和信息化领域工信领域数据安全工信领域数据安全数据安全风险评估能力提升实施方案数据安全管理办法风险信息报送共享行政处罚裁量指引 1管理机构与评估机构1总体要求总则总则总则 2评估内容与评估流程数据分类分级管理2监督检查 3评估准备与信息调研2重点任务组织机构及职责数据安全行政处罚情形 4风险识别与风险控制数据全生命周期安全管理 行政处罚裁量权适用规则 5评估总结与评估报送 3保障措施 监测预警与应急管理 风险信息报送 工业和信息化领域数据安全行政处罚 工业和信息化领城数据安全风险评工业领域数据安全能力提升风险信息研判与共享裁量指引（试行）（征求意见稿） 估实施细则（试行) 实施方案（2024-2026年） 5检测、认证、评估管理 6监督检查5保障措施 中华人民升理国工业行地息化部法律责任6相关模板 8附则工业和信息化领域数据安全风险信息报送与共享工作指引（试行） 网络数据安全风险评估实施指引 工业和信息化领域数据安全 管理办法（试行） 06 工业和信息化领域 数据安全建设实践 工业国密合规实践 工业数据安全实战防护实践工业数据要素流通实践 炼石 CipherGateway 01工业和信息化领域数据安全风险评估 02工业领域数据安全能力提升实施方案 03工业和信息化领域数据安全管理办法 04工信领域数据安全风险信息报送共享 05工信领域数据安全行政处罚裁量指引 06工业和信息化领域数据安全建设实践 炼石整理：《工业和信息化领域数据安全风险评估实施细则（试行）》总结构 工业和信息化领域 数据安全风险评估实施细则』(试行) 炼石 CipherGateway 一）适用范围及管理职责 1.目的依据 （二）评估对象和内容（四）审核、监督和管理制度 5.评估内容11.报告审核 12.评估机构认定 （三）评估机制要求 2.适用范围13.评估机构义务 6.评估期限7.评估方式 3.管理机构14.监督检查 8.委托评估9.风险控制 4.工作原则15.机构监管 10.评估报送 16.行政处罚 （五）保密等其他17.保密要求18.其他规定参照19.施行日期 要求 炼石 CipherGateway 011管理机构与评估机构 工业和信息化领域02评估内容与评估流程 数据安全风险评估 03评估准备与信息调研 04风险识别与风险控制 05评估总结与评估报送 《工业和信息化领域数据安全风险评估实施细则（试行）》 炼石 CipherGateway 2024年5月24日，工业和信息化部发布《工业和信息化领域 中华人民共和国工业和信息化部数据安全风险评估实施细则（试行）》，将于2024年6月1 日起施行。 旨在引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安 28:5)386E20682全管理水平，维护国家安全和发展利益 工业和信息化部关于印发《工业和信息化领城数据安全风险评估实施则（试行）》用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动 的通知 开展的数据安全风险评估。 全管理办法（试行）》 88(2024)62号 《数据安全法》《网络安全法》《工业和信息化领域数据安 202年5月10 制定本细则 工业和信息化领域数据安全风险评估实施细则（试行） 注：对应细则第一条、第二条、第十九条 管理机构：工业和信息化部统一管理，地方行业监管部门按职责监督管理 炼石 ipherGateway 工业和信息化部 ，统一管理、监督和指导工业和信息化领域数据安全风险评估工作组织开展相关评估标准制修订及推广应用 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门 各省、自治区、直辖市通信管理局和无线电管理机构（以下统称地方行业监管部门） 依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作 工业和信息化部及地方行业监管部门统称为行业监管部门。 ：对应细厕第三条 工作原则：按照及时、客观、有效的原则开展数据安全风险评估 炼石 CipherGatewoy 重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估 形成真实、完整、准确的评估报告 并对评估结果负责 注：对应细测第四条 评估方式：自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展 炼石 CipherGateway 自行开展评估 重要数据和核心数据处理者 评估方式 委托具有工业和信息化数据安全工作能力的 第三方评估机构开展评估 建立专业化评估团队 组织管理业务运营技术保障安全合规评 估 制定完备的评估工作方案过 程 法：对应细则第七条 配备有效的技术评测工具 委托评估：通过订立合同或者其他具有法律效力文件明确权利和责任 炼石 CipherGateway 重要数据和核心数据处理者 订立合同或者其他具有法律效力的文件 明确双方的权利和责任 向第三方评估机构提供必需的材料和条件 ·确保相关材料的真实性和完整性 ·并确认评估结果 委托开展数据安全风险评估 送：对应细则第儿条 第三方评估机构 评估机构认定：鼓励具有工业和信息化领域数据安全工作经验的认证机构开展第三方评估机构的能力认证 鼓励熟悉工业和信息化领域数据安全工作，满足资质要求的认证机构开展第三方评估机构的能力认证。 炼石 CipherGateway 注：对应细则第十二条 相关认证机构 配备相应的人员和技术保障能力 Q建立第三方评估机构能力认证制度 明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求 跟踪管理第三方评估机构的服务质量 臀促第三方评估机构独立、公正、客观、科学地开展数据安全风险评估工作 评估机构义务：明确第三方评估机构应当履行三项义务炼石 CipherGateway 第三方评估机构应当履行下列义务： 对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私，以及 与数据处理者签署的保密协议中约定的保密信息等严格保密： 严格按照国家法律法规、行业监管部门有关规定以及评估标准，公正、独立地开展评估并出具评 估报告，全面、准确、客观地反映重要数据和核心数据处理者的数据安全风险状况，提供务实有 效的风险整改建议措施： 除重要数据和核心数据处理者书面同意或者法律、行政法规另有规定外，不得向其他组织或个人提供评估中收集掌握的相关信息。 送：对应细厕第十三条 监督检查：工业和信息化部建立数据安全风险评估支撑机构库炼石 CipherGateway 行业监管部门 工业和信息化部地方行业监管部门 根据技术能力、人员配备、信誉资质等情况 择优避选通过能力认证的第三方评估机构参照建立本地区数据安全风险评估支撑机构库 建立工业和信息化领域数据安全风险评估支撑机构库 根据工作需要，可以自行或组织数据安全风险评估支撑机构库中的机构，对重要数据和核心数据处理者的数据处理活动开 展专项风险评估，或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。 重要数据和核心数据处理者 对行业监管部门发起的专项风险评估及监督检查应当予以配合，并对评估发现的相关问题及时进行改正宽：对应细购第十四条 机构监管及保密要求：行业监管部门及委托支撑机构负有保密义务炼石 行业监管部门 CipherGateway 监管认证机构监管第三方评估机构 机构对于违反国家认证认可相关规定的认证机构对第三方评估机构的评估活动进行监督管理，对违反法律法规、未按行 监管将相关线索移交市场监督管理部门处理，业规定和标准开展评估活动、未履行保密义务的第三方评估机构，视情 按照规定权限和程序进行约谈，通报，认证机构应根据通报信息，对不 符合认证要求的第三方评估机构依法暂停直至撤销其相应认证证书。 行政有违反本实施细则行为的，由行业监管部门按照相关法律法规，根据情节严重程度给予行政处罚 处罚构成犯罪的，依法追究刑事责任 保密行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密，个人信息、评估工作信息等 要求负有保密义务。 滋：对应细则第十五条、第十六条、第十七条 炼石 CipherGateway 01管理机构与评估机构 工业和信息化领域02评估内容与评估流程 数据安全风险评估 03评估准备与信息调研 04风险识别与风险控制 05评估总结与评估报送 评估内容：对数据处理活动的自的和方式、业务场景、安全保障措施 风险影响等要素开展 炼石 CipherGateway 重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估。 重点评估以下内容： （一）数据处理目的、方式、范围是否合法、正当、必要 （二）数据安全管理制度，流程策略的制定和落实情况 （三）数据安全组织架构、岗位配备和职责履行情况 （四）数据安全技术防护能力建设及应用情况； 五）数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况： （六）发生数据遭到改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险 （七）涉及数据提供，委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况 （八）涉及国家法律法规中规定需要甲报的数据出境安全评估情形，履行数据出境安全评估要求情况。 遥。对应细网第五条 评估期限：数据安全风险评估结果有效期为一年 炼石 CipherGateway 重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。 在有效期内出现以下情形之一的，重要数据和核心数据处理者应当及时 对发生变化及其影响的部分开展风险评估 （一）新增跨主体提供、委托处理、转移核心数据的 （二）重要数据、核心数据安全状态发生变化对数据安全造成不利影响的，包括但不限于数据处理目的、方式、适用范围和安全制度策 略等发生重大调整的 三）发生涉及重要数据、核心数据的安全事件的 （四）重要数据和核心数据且录备案内容发生重大变化的 （五）行业监管部门要求进行评估的其他情形。 送：对应细测第元条 评估思路：」以预防为主、主动发现、积极防范为原则 炼石 CipherGateway 评估思路评估内容评估流程评估手段 原则目的切入点实现路径 预防为主主动发现积极防范围绕识别要素：通过信息调研识 别数据处理者、业务和信息系统 数据和数据处理活动数据资产、数据处理活动、安全 做评估：对数据处理者数据安全保护和数措施等相关要素 据处理活动进行风险评估聚焦 寻隐患：旨在掌握数据安全总体状况，发2识别隐患：从数据安全管理、 现数据安全隐患可能影响数据的保密性、完整性、数据处理活动、数据安全技术， 可用性和数据处理合理性的安全个人信息保护等方面识别风险隐 提建议：提出数据安全管理和技术防护措患 施建议 强安全：提升数据安全防攻击，防破坏，?提出建议：梳理问题清单， 防窃取、防泄露、防滥用能力分析数据安全风险。视情评价风 险，并给出整改建议。 全：对应政策及要点为网据安全风临手活实选指） 评估内容：围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护开展 炼石 CipherGateway 评估思路评估内容评估流程评估手段 网络数据安全风险评估，在信息调研基础上围绕 数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估 图数据安全风险