工業(yè)和信息化部發(fā)布的《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)》(以下簡稱《實施細則》)于6月1日起施行,這是繼《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》《工業(yè)領域數(shù)據(jù)安全標準體系建設指南》《工業(yè)領域數(shù)據(jù)安全能力提升實施方案(2024-2026年)》之后的再次重磅發(fā)布。
《實施細則》是將《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》第三十一條【工業(yè)和信息化領域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當自行或委托第三方評估機構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風險評估,及時整改風險問題,并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告】進行了具體細化。
● 評估內(nèi)容
重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關規(guī)定以及評估標準,對數(shù)據(jù)處理活動的目的和方式、業(yè)務場景、安全保障措施、風險影響等要素,開展數(shù)據(jù)安全風險評估,重點評估以下內(nèi)容:
● 評估有效期
重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風險評估,評估結(jié)果有效期為一年,以評估報告首次出具日期計算。在有效期內(nèi)出現(xiàn)以下情形之一的,重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當及時對發(fā)生變化及其影響的部分開展風險評估:
● 評估方式
重要數(shù)據(jù)和核心數(shù)據(jù)處理者可以自行或者委托具有工業(yè)和信息化數(shù)據(jù)安全工作能力的第三方評估機構(gòu)開展評估。評估過程應當建立至少包括組織管理、業(yè)務運營、技術保障、安全合規(guī)等人員的專業(yè)評估團隊,制定完備的評估工作方案,配備有效的技術評測工具。
● 第三方評估機構(gòu)要求
鼓勵熟悉工業(yè)和信息化領域數(shù)據(jù)安全工作,滿足資質(zhì)要求的認證機構(gòu)開展第三方評估機構(gòu)的能力認證。
工業(yè)領域企業(yè)開展數(shù)據(jù)安全風險評估可以參考《網(wǎng)絡安全標準實踐指南—網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》(TC260-PG-20231A)開展。
● 數(shù)據(jù)安全風險評估內(nèi)容框架
圍繞工業(yè)領域企業(yè)數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術、個人信息保護等方面開展評估。
● 數(shù)據(jù)安全風險評估流程
主要包括評估準備、信息調(diào)研、風險識別、綜合分析、評估總結(jié)五個階段,以下為各階段的具體工作及主要產(chǎn)出物。
● 企業(yè)數(shù)據(jù)安全評估實施步驟
● 數(shù)據(jù)安全風險評估手段
開展數(shù)據(jù)安全風險評估時,可綜合采用人員訪談、文檔查驗、安全核查、技術測試等手段。
● 數(shù)據(jù)安全風險評估報告
數(shù)據(jù)安全風險評估報告應當包括數(shù)據(jù)處理者基本情況、評估團隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風險評估環(huán)境,以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風險分析、評估結(jié)論及應對措施等。
昂楷科技作為數(shù)據(jù)安全治理專業(yè)廠商,組建了專業(yè)的數(shù)據(jù)安全風險評估服務團隊,已經(jīng)為全國近百家用戶提供了數(shù)據(jù)安全風險評估服務,包括某省生態(tài)環(huán)境廳、某省大數(shù)據(jù)發(fā)展局、某省醫(yī)療保障局,以及某鋼鐵制造企業(yè)、某制藥企業(yè)等。
