http://m.casecurityhq.com 2022-12-14 10:32 來(lái)源:工信部
《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》重點(diǎn)問(wèn)題回應(yīng)
近日,工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》(工信部網(wǎng)安〔2022〕166號(hào)),(以下簡(jiǎn)稱(chēng)《管理辦法》)?,F(xiàn)就《管理辦法》重點(diǎn)問(wèn)題回應(yīng)如下:
一、《管理辦法》出臺(tái)的背景和目的是什么?
當(dāng)前,數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最為活躍的新型生產(chǎn)要素。與此同時(shí),數(shù)據(jù)安全風(fēng)險(xiǎn)日益突出,成為關(guān)系個(gè)人權(quán)益、公共利益和國(guó)家安全的重要因素。2021年9月1日,《中華人民共和國(guó)數(shù)據(jù)安全法》正式實(shí)施,為開(kāi)展數(shù)據(jù)安全監(jiān)管和保護(hù)工作提供了法律依據(jù)和根本遵循,其中明確工業(yè)和信息化部承擔(dān)工業(yè)、電信行業(yè)數(shù)據(jù)安全監(jiān)管職責(zé),并對(duì)數(shù)據(jù)處理者的安全保護(hù)義務(wù)提出了相關(guān)要求。
工業(yè)和信息化領(lǐng)域是數(shù)字經(jīng)濟(jì)發(fā)展的主陣地和先導(dǎo)區(qū),是推進(jìn)數(shù)字經(jīng)濟(jì)做強(qiáng)做優(yōu)做大的主力軍。為貫徹落實(shí)《數(shù)據(jù)安全法》,加快推動(dòng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化,我部研究起草了《管理辦法》,一是在工業(yè)和信息化領(lǐng)域?qū)?guó)家數(shù)據(jù)安全管理制度要求進(jìn)行細(xì)化,明確開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、重要數(shù)據(jù)管理等工作的具體要求,細(xì)化數(shù)據(jù)全生命周期安全義務(wù),為行業(yè)數(shù)據(jù)安全監(jiān)管提供制度保障。二是構(gòu)建工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全監(jiān)管體系,明確工業(yè)和信息化部、地方行業(yè)監(jiān)管部門(mén)的職責(zé)范圍,建立權(quán)責(zé)一致的工作機(jī)制。三是根據(jù)工業(yè)、電信、無(wú)線(xiàn)電領(lǐng)域的實(shí)際情況,明確數(shù)據(jù)全生命周期保護(hù)要求,指導(dǎo)數(shù)據(jù)處理者健全數(shù)據(jù)安全管理和技術(shù)保護(hù)措施,履行安全保護(hù)主體責(zé)任。
二、《管理辦法》的定位和主要內(nèi)容是什么?
《管理辦法》作為工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理頂層制度文件,共八章四十二條,重點(diǎn)解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰(shuí)來(lái)管、管什么、怎么管”的問(wèn)題。主要內(nèi)容包括七個(gè)方面:一是界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念,明確監(jiān)管范圍和監(jiān)管職責(zé)。二是確定數(shù)據(jù)分類(lèi)分級(jí)管理、重要數(shù)據(jù)識(shí)別與備案相關(guān)要求。三是針對(duì)不同級(jí)別的數(shù)據(jù),圍繞數(shù)據(jù)收集、存儲(chǔ)、加工、傳輸、提供、公開(kāi)、銷(xiāo)毀、出境、轉(zhuǎn)移、委托處理等環(huán)節(jié),提出相應(yīng)安全管理和保護(hù)要求。四是建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、風(fēng)險(xiǎn)信息報(bào)送和共享、應(yīng)急處置、投訴舉報(bào)受理等工作機(jī)制。五是明確開(kāi)展數(shù)據(jù)安全監(jiān)測(cè)、認(rèn)證、評(píng)估的相關(guān)要求。六是規(guī)定監(jiān)督檢查等工作要求。七是明確相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施。
三、《管理辦法》明確的監(jiān)管范圍是什么?
《管理辦法》對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)進(jìn)行安全監(jiān)管,具體可以從處理對(duì)象、處理主體、處理活動(dòng)三方面進(jìn)行認(rèn)識(shí):從處理主體看,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指能夠在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的各類(lèi)主體,主要包括工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者以及無(wú)線(xiàn)電數(shù)據(jù)處理者。從處理對(duì)象看,工業(yè)和信息化領(lǐng)域數(shù)據(jù)主要包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無(wú)線(xiàn)電數(shù)據(jù)等。從處理活動(dòng)看,數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)都屬于監(jiān)管范圍。
四、《管理辦法》明確了怎樣的監(jiān)管職責(zé)分工?
《管理辦法》構(gòu)建了“工業(yè)和信息化部、地方行業(yè)監(jiān)管部門(mén)”兩級(jí)監(jiān)管機(jī)制。
工業(yè)和信息化部統(tǒng)籌工業(yè)和電信領(lǐng)域數(shù)據(jù)安全監(jiān)管工作,包括組織制定行業(yè)數(shù)據(jù)安全管理政策制度和標(biāo)準(zhǔn)規(guī)范,編制行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)目錄,建立重要數(shù)據(jù)目錄備案、監(jiān)測(cè)預(yù)警、風(fēng)險(xiǎn)信息報(bào)送和共享、應(yīng)急處置等工作機(jī)制,指導(dǎo)地方行業(yè)監(jiān)管部門(mén)開(kāi)展屬地監(jiān)管,督促全行業(yè)數(shù)據(jù)處理者加強(qiáng)數(shù)據(jù)安全保護(hù)工作。
地方行業(yè)監(jiān)管部門(mén),包括各省、自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén),各省、自治區(qū)、直轄市通信管理局和無(wú)線(xiàn)電管理機(jī)構(gòu),分別負(fù)責(zé)對(duì)本地區(qū)工業(yè)、電信、無(wú)線(xiàn)電領(lǐng)域數(shù)據(jù)處理者進(jìn)行監(jiān)督管理,包括審核重要數(shù)據(jù)目錄備案,編制重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄,開(kāi)展監(jiān)測(cè)預(yù)警、風(fēng)險(xiǎn)信息報(bào)送和共享、應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估、投訴舉報(bào)受理等工作,并可結(jié)合工作實(shí)際,建立更加細(xì)化完善的工作機(jī)制。
五、《管理辦法》對(duì)數(shù)據(jù)分級(jí)保護(hù)的要求是什么?
《管理辦法》以數(shù)據(jù)分級(jí)保護(hù)為總體原則,要求一般數(shù)據(jù)加強(qiáng)全生命周期安全管理,重要數(shù)據(jù)在一般數(shù)據(jù)保護(hù)的基礎(chǔ)上進(jìn)行重點(diǎn)保護(hù),核心數(shù)據(jù)在重要數(shù)據(jù)保護(hù)的基礎(chǔ)上實(shí)施更加嚴(yán)格保護(hù)。對(duì)于不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的,采取“就高”原則,按照其中級(jí)別最高的要求實(shí)施保護(hù)。
六、《管理辦法》要求重要數(shù)據(jù)處理者履行哪些數(shù)據(jù)安全保護(hù)義務(wù)?
《管理辦法》依據(jù)國(guó)家數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度要求,規(guī)定重要數(shù)據(jù)處理者在履行一般數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)的基礎(chǔ)上,還應(yīng)承擔(dān)以下保護(hù)義務(wù):一是開(kāi)展數(shù)據(jù)識(shí)別備案,按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù),形成本單位具體目錄并進(jìn)行備案;二是加強(qiáng)內(nèi)部管理,建立數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負(fù)責(zé)人,加強(qiáng)數(shù)據(jù)處理關(guān)鍵崗位管理,構(gòu)建重要數(shù)據(jù)處理登記審批機(jī)制,強(qiáng)化數(shù)據(jù)全生命周期安全保護(hù)措施;三是組織常態(tài)化監(jiān)測(cè)預(yù)警與應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)安全事件的應(yīng)第一時(shí)間進(jìn)行上報(bào);四是定期實(shí)施風(fēng)險(xiǎn)評(píng)估,及時(shí)發(fā)現(xiàn)整改風(fēng)險(xiǎn)問(wèn)題,并按照要求上報(bào)風(fēng)險(xiǎn)評(píng)估報(bào)告。
七、企業(yè)如何按照《管理辦法》開(kāi)展重要數(shù)據(jù)識(shí)別和目錄備案工作?
工業(yè)和信息化部結(jié)合國(guó)家數(shù)據(jù)安全保護(hù)要求和行業(yè)實(shí)際,組織制定工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定標(biāo)準(zhǔn)規(guī)范,明確識(shí)別規(guī)則和方法。數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理本單位數(shù)據(jù)資源,按照所屬行業(yè)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)后,向本地區(qū)行業(yè)監(jiān)管部門(mén)備案重要數(shù)據(jù)目錄。當(dāng)備案內(nèi)容發(fā)生重大變化后,數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)履行備案變更手續(xù),保證目錄備案的時(shí)效性、準(zhǔn)確性與真實(shí)性。
八、《管理辦法》對(duì)保障數(shù)據(jù)全生命周期提了哪些要求?
《管理辦法》圍繞數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等全生命周期關(guān)鍵環(huán)節(jié),分別針對(duì)一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)細(xì)化明確了安全保護(hù)要求,主要包括明確細(xì)化了協(xié)議約束、安全評(píng)估、審批等管理要求,以及校驗(yàn)與密碼技術(shù)使用、數(shù)據(jù)訪(fǎng)問(wèn)控制等技術(shù)保護(hù)要求。
九、《管理辦法》要求在哪些情形下需要開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估?
《管理辦法》明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少完成一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,可以自行或委托第三方評(píng)估機(jī)構(gòu)開(kāi)展,及時(shí)整改風(fēng)險(xiǎn)問(wèn)題,并向本地區(qū)行業(yè)監(jiān)管部門(mén)報(bào)告。評(píng)估內(nèi)容包括合規(guī)評(píng)估和風(fēng)險(xiǎn)研判:合規(guī)評(píng)估是指對(duì)標(biāo)對(duì)表法律法規(guī)和政策文件,評(píng)估是否滿(mǎn)足相關(guān)要求,風(fēng)險(xiǎn)研判是指通過(guò)分析數(shù)據(jù)處理者的安全保障能力、面臨的威脅情況和發(fā)生安全事件后的影響程度等,評(píng)估數(shù)據(jù)處理活動(dòng)的安全風(fēng)險(xiǎn)等級(jí)。
十、《管理辦法》要求如何開(kāi)展數(shù)據(jù)出境安全評(píng)估?
《管理辦法》明確工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的,應(yīng)當(dāng)在境內(nèi)存儲(chǔ),確需向境外提供的,應(yīng)當(dāng)依照《數(shù)據(jù)安全法》《數(shù)據(jù)出境安全評(píng)估辦法》等法律法規(guī)進(jìn)行安全評(píng)估。
十一、如何按照《管理辦法》開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作?
監(jiān)測(cè)預(yù)警是有效發(fā)現(xiàn)和防范數(shù)據(jù)安全突出風(fēng)險(xiǎn)的重要工作?!豆芾磙k法》明確了“部-省-企業(yè)”三級(jí)聯(lián)動(dòng)協(xié)同的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警工作機(jī)制:一是工業(yè)和信息化部統(tǒng)籌指導(dǎo)行業(yè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警工作,建設(shè)行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警技術(shù)手段,統(tǒng)一匯集、研判、通報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)信息。二是地方行業(yè)監(jiān)管部門(mén)負(fù)責(zé)建立本地區(qū)本領(lǐng)域數(shù)據(jù)安全監(jiān)測(cè)預(yù)警機(jī)制,組織管轄范圍內(nèi)的數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)和信息報(bào)送。三是數(shù)據(jù)處理者做好本單位數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè),按照行業(yè)監(jiān)管部門(mén)要求開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)排查,及時(shí)防范化解風(fēng)險(xiǎn)隱患。
十二、企業(yè)如何按照《管理辦法》開(kāi)展數(shù)據(jù)安全應(yīng)急處置工作?
《管理辦法》明確建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作機(jī)制,細(xì)化不同主體的責(zé)任與義務(wù):一是工業(yè)和信息化部統(tǒng)籌行業(yè)數(shù)據(jù)安全應(yīng)急處置管理工作,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織協(xié)調(diào)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作;二是地方行業(yè)監(jiān)管部門(mén)負(fù)責(zé)組織開(kāi)展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作,及時(shí)上報(bào)涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件;三是數(shù)據(jù)處理者制定本單位數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期開(kāi)展應(yīng)急演練,在發(fā)生數(shù)據(jù)安全事件后及時(shí)進(jìn)行處置,并按要求及時(shí)向行業(yè)監(jiān)管部門(mén)報(bào)告。
十三、《管理辦法》對(duì)中央企業(yè)提出了哪些要求?
中央企業(yè)是國(guó)民經(jīng)濟(jì)的重要支柱和骨干力量,產(chǎn)生、匯聚了大量關(guān)系國(guó)計(jì)民生的重要數(shù)據(jù)。中央企業(yè)所屬公司業(yè)務(wù)既受地方行業(yè)監(jiān)管部門(mén)管理,也受集團(tuán)公司管理。因此,《管理辦法》對(duì)中央企業(yè)提出兩項(xiàng)工作要求:一是督促所屬公司按照屬地行業(yè)監(jiān)管部門(mén)要求,履行重要數(shù)據(jù)目錄備案、風(fēng)險(xiǎn)信息上報(bào)等要求。二是做好集團(tuán)本部數(shù)據(jù)安全保護(hù)工作,全面梳理匯總集團(tuán)本部、所屬公司相關(guān)情況,及時(shí)向工業(yè)和信息化部報(bào)送。
十四、下一步如何推進(jìn)相關(guān)工作?
《管理辦法》發(fā)布后,工業(yè)和信息化部將從政策宣貫、細(xì)則制定、正向引導(dǎo)、監(jiān)督執(zhí)法等方面抓好落實(shí):一是加強(qiáng)宣貫培訓(xùn)。對(duì)《管理辦法》的主要內(nèi)容進(jìn)行全面、系統(tǒng)解讀,指導(dǎo)行業(yè)數(shù)據(jù)處理者準(zhǔn)確理解、全面把握、認(rèn)真落實(shí)相關(guān)要求,提升數(shù)據(jù)安全保護(hù)意識(shí)和能力。二是制定配套規(guī)范標(biāo)準(zhǔn)。重點(diǎn)推進(jìn)監(jiān)測(cè)預(yù)警、應(yīng)急處置、安全評(píng)估等制度機(jī)制的實(shí)施細(xì)則,為企業(yè)進(jìn)一步提供深入細(xì)致、操作性強(qiáng)的工作指引。三是加強(qiáng)正向引導(dǎo)。通過(guò)行業(yè)自律、貫標(biāo)達(dá)標(biāo),典型案例遴選等形式,加強(qiáng)示范引領(lǐng),引導(dǎo)企業(yè)自動(dòng)對(duì)標(biāo)管理要求,自覺(jué)提升數(shù)據(jù)安全保護(hù)能力。四是加強(qiáng)監(jiān)督執(zhí)法。通過(guò)專(zhuān)項(xiàng)行動(dòng)、監(jiān)督檢查等工作,及時(shí)發(fā)現(xiàn)違法違規(guī)行為,并依法進(jìn)行處罰。
一圖讀懂《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》