工信数据安全风险评估的三个基本问题

近日,工业和信息化部发布了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》),进一步明确了工信数据安全评估制度的重要概念和机制,标志着工信领域数据安全风险评估制度距离真正实施又进一步。

本文来自微信公众号“安信安全”。

近日,工业和信息化部发布了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》),进一步明确了工信数据安全评估制度的重要概念和机制,标志着工信领域数据安全风险评估制度距离真正实施又进一步。

去年发布的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),将“工信数据安全风险评估”确立为工信数据安全评估的一项重要制度(第三十一条)。《实施细则》对于该项重要制度的完善和发展,可概括为主要回答了“评估谁”、“谁监管”、“谁评估”三个基本问题。

01

评估谁:评估对象和范围

工信数据安全风险评估制度的评估对象和范围,无疑是工信数据领域广大从业者关心的首要问题之一。《实施细则》明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动(第二条)。全面理解何为“工业和信息化领域重要数据和核心数据处理者”,至少须包括以下四层意思。

一是“工业和信息化领域数据”的类别。根据《管理办法》第三条规定,“工业和信息化领域数据”包括工业数据、电信数据和无线电数据三类。其中“工业数据”是指“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”;“电信数据”是指“在电信业务经营活动中产生和收集的数据”;“无线电数据”是指“在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据”。

二是“重要数据和核心数据”的判断标准。这涉及到工信数据的分级规定。按照《管理办法》有关条文,对工信领域数据的分级主要是根据数据遭到篡改、破坏等情况时的危害程度,《管理办法》也明文列举了重要数据和核心数据的常见判断标准,此不赘述。《实施细则》进一步明确,对于“重要”、“核心”二个级别的数据须纳入风险评估,而对于“一般”级别的数据,则未做硬性要求,仅规定可“参照”开展相应评估工作。

三是“数据处理者”的范围。风险评估面向的数据处理者,仍然是《管理办法》确定的范围。按其规定,数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”,包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。

四是“数据处理活动”的主要种类。《管理办法》第三条从数据处理活动生命周期的角度,提出了数据处理活动的主要类型,即“包括但不限于数据收集、存储、使用、加工、传输、提供、公开等”活动。

02

谁监管:主管部门和管理机制

对于工信数据安全风险评估的管理部门和管理机制,《实施细则》的相关规定可归纳为以下两个层次。

首先,两级、五类管理机构。从层级上看,监管主体的“两级”是指部、省两级行业监管部门。五类机构为:工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。其中,《实施细则》将中央企业单列,负责“督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部”。可见,除了央企垂直报送的情况以外,评估监管基本上遵循省级属地管辖的原则。

其次,三项管理机制。一是统筹和立制,工信部负责,工作形式包括统一监管指导和制修订标准等。二是自评估报告的接收和审查,主要由省级监管部门负责,其中涉及数据跨境、跨主体处理等的情况,审查后还需报工信部复核。三是监督检查,《实施细则》规定部、省两级行业监管部门均可按照工作需要开展,形式包括“专项风险评估”、“评估工作落实情况监督检查”等。

03

谁评估:评估实施机构

对于工信数据安全风险评估工作的具体实施,除了数据处理者自行开展外,《实施细则》还规定了委托评估的重要机制。而从实践情况来看,因受专业技术能力、对法规标准理解、人员队伍素质等方面因素的影响,数据处理者大概率会采用委托评估的方式开展此项工作。因此,第三方评估机构实际上往往会成为评估工作的主要承担者。《实施细则》对于评估实施的规定,可归纳为三个方面。

一是对数据处理活动的评估。即数据处理者自行或委托第三方机构,对其相关数据处理活动进行风险评估,具体评估内容包括《实施细则》第五条明确的8个要点,评估频次为每年一次,评估报告应于评估完成后的10日内,向行业监管部门报送或更新。

二是监督检查评估。特指第三方评估机构受行业监管部门委托,协助行业监管部门履行其风险评估监管职责,即包括支撑参与前文所述的“专项风险评估”和“评估工作落实情况监督检查”等工作。

三是关于第三方评估机构的管理。《实施细则》规定了“能力认证”(第十二条)和建立“评估支撑机构库”(第十四条)两种管理模式。

来源:网络安全罗盘,部分删减

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论