近日,工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險評估實施細則(試行)》(以下簡稱《實施細則》),明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風險評估。《實施細則》2024年6月1日起施行。
《實施細則》提出,評估結(jié)果有效期為一年,以評估報告首次出具日期計算。評估報告應當包括數(shù)據(jù)處理者基本情況、評估團隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風險評估環(huán)境,以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風險分析、評估結(jié)論及應對措施等。
同時,在有效期內(nèi)出現(xiàn)以下情形之一的,重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當及時對發(fā)生變化及其影響的部分開展風險評估:新增跨主體提供、委托處理、轉(zhuǎn)移核心數(shù)據(jù)的;重要數(shù)據(jù)、核心數(shù)據(jù)安全狀態(tài)發(fā)生變化對數(shù)據(jù)安全造成不利影響的,包括但不限于數(shù)據(jù)處理目的、方式、適用范圍和安全制度策略等發(fā)生重大調(diào)整的;發(fā)生涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件的;重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化的;行業(yè)監(jiān)管部門要求進行評估的其他情形。
對于中央企業(yè),《實施細則》明確中央企業(yè)應督促指導所屬企業(yè)履行屬地數(shù)據(jù)安全風險評估及評估報告報送要求,并將梳理匯總的企業(yè)集團本部、所屬公司的評估報告報送工業(yè)和信息化部。(張冉)
評論