工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》)于6月1日起施行,这是继《工业和信息化领域数据安全管理办法(试行)》《工业领域数据安全标准体系建设指南》《工业领域数据安全能力提升实施方案(2024-2026年)》之后的再次重磅发布。
《实施细则》是将《工业和信息化领域数据安全管理办法(试行)》第三十一条【工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告】进行了具体细化。
● 评估内容
重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
● 评估有效期
重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。在有效期内出现以下情形之一的,重要数据和核心数据处理者应当及时对发生变化及其影响的部分开展风险评估:
● 评估方式
重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作能力的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业评估团队,制定完备的评估工作方案,配备有效的技术评测工具。
● 第三方评估机构要求
鼓励熟悉工业和信息化领域数据安全工作,满足资质要求的认证机构开展第三方评估机构的能力认证。
工业领域企业开展数据安全风险评估可以参考《网络安全标准实践指南—网络数据安全风险评估实施指引》(TC260-PG-20231A)开展。
● 数据安全风险评估内容框架
围绕工业领域企业数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。
● 数据安全风险评估流程
主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,以下为各阶段的具体工作及主要产出物。
● 企业数据安全评估实施步骤
● 数据安全风险评估手段
开展数据安全风险评估时,可综合采用人员访谈、文档查验、安全核查、技术测试等手段。
● 数据安全风险评估报告
数据安全风险评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。
昂楷科技作为数据安全治理专业厂商,组建了专业的数据安全风险评估服务团队,已经为全国近百家用户提供了数据安全风险评估服务,包括某省生态环境厅、某省大数据发展局、某省医疗保障局,以及某钢铁制造企业、某制药企业等。