> 指數

工信部:重要數據、核心數據出境應進行安全評估

工業和資訊化部官網截圖。

據工業和資訊化部官網消息,為規範工業和資訊化領域數據處理活動,加強數據安全管理,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家安全和發展利益,工業和資訊化部近期印發《工業和資訊化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》),其中提出,工業和資訊化領域數據處理者在中華人民共和國境內收集和産生的重要數據和核心數據,確需向境外提供的,應當依法依規進行數據出境安全評估。

按照《管理辦法》,工業和資訊化領域數據包括工業數據、電信數據和無線電數據等。其中,工業數據是指工業各行業各領域在研發設計、生産製造、經營管理、運作維護、平臺運營等過程中産生和收集的數據。電信數據是指在電信業務經營活動中産生和收集的數據。無線電數據是指在開展無線電業務活動中産生和收集的無線電頻率、臺(站)等電波參數數據。

明確數據分類分級、“就高”保護原則

《管理辦法》規定,工業和資訊化部組織制定工業和資訊化領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規範,指導開展數據分類分級管理工作,制定行業重要數據和核心數據具體目錄並實施動態管理。地方行業監管部門分別組織開展本地區工業和資訊化領域數據分類分級管理及重要數據和核心數據識別工作,確定本地區重要數據和核心數據具體目錄並上報工業和資訊化部,目錄發生變化的,應當及時上報更新。

根據數據遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,工業和資訊化領域數據分為一般數據、重要數據和核心數據三級。

工業和資訊化部網路安全管理局相關負責人介紹,《管理辦法》以數據分級保護為總體原則,要求一般數據加強全生命週期安全管理,重要數據在一般數據保護的基礎上進行重點保護,核心數據在重要數據保護的基礎上實施更加嚴格保護。對於不同級別數據同時被處理且難以分別採取保護措施的,採取“就高”原則,按照其中級別最高的要求實施保護。

明確數據處理者保護義務

《管理辦法》明確,工業和資訊化領域數據處理者收集數據應當遵循合法、正當的原則,不得竊取或者以其他非法方式收集數據。數據收集過程中,應當根據數據安全級別採取相應的安全措施,加強重要數據和核心數據收集人員、設備的管理,並對收集來源、時間、類型、數量、頻度、流向等進行記錄。

按照規定,工業和資訊化領域數據處理者應當按照法律、行政法規規定和用戶約定的方式、期限進行數據存儲。存儲重要數據和核心數據的,應當採用校驗技術、密碼技術等措施進行安全存儲,並實施數據容災備份和存儲介質安全管理,定期開展數據恢復測試。

工業和資訊化部網路安全管理局相關負責人具體介紹,《管理辦法》依據國家數據分類分級保護制度要求,規定重要數據處理者在履行一般數據處理者數據安全保護義務的基礎上,還應承擔以下四項保護義務。

一是開展數據識別備案,按照相關標準規範識別重要數據,形成本單位具體目錄並進行備案;

二是加強內部管理,建立數據安全工作體系,明確數據安全負責人,加強數據處理關鍵崗位管理,構建重要數據處理登記審批機制,強化數據全生命週期安全保護措施;

三是組織常態化監測預警與應急處置,涉及重要數據和核心數據安全事件的應第一時間進行上報;

四是定期實施風險評估,及時發現整改風險問題,並按照要求上報風險評估報告。

明確數據出境等安全風險評估

據介紹,《管理辦法》明確重要數據和核心數據處理者每年至少完成一次數據安全風險評估,可以自行或委託第三方評估機構開展,及時整改風險問題,並向本地區行業監管部門報告。評估內容包括合規評估和風險研判:合規評估是指對標對表法律法規和政策文件,評估是否滿足相關要求,風險研判是指通過分析數據處理者的安全保障能力、面臨的威脅情況和發生安全事件後的影響程度等,評估數據處理活動的安全風險等級。

值得注意的是,按照《管理辦法》,工業和資訊化領域數據處理者在中華人民共和國境內收集和産生的重要數據和核心數據,法律、行政法規有境記憶體儲要求的,應當在境記憶體儲,確需向境外提供的,應當依法依規進行數據出境安全評估。

工業和資訊化部根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國工業、電信、無線電執法機構關於提供工業和資訊化領域數據的請求。非經工業和資訊化部批准,工業和資訊化領域數據處理者不得向外國工業、電信、無線電執法機構提供存儲于中華人民共和國境內的工業和資訊化領域數據。

此外,工業和資訊化部網路安全管理局相關負責人介紹,監測預警是有效發現和防範數據安全突出風險的重要工作。《管理辦法》明確了“部-省-企業”三級聯動協同的數據安全風險監測預警工作機制。

一是工業和資訊化部統籌指導行業數據安全監測預警工作,建設行業數據安全風險監測預警技術手段,統一匯集、研判、通報數據安全風險資訊。

二是地方行業監管部門負責建立本地區本領域數據安全監測預警機制,組織管轄範圍內的數據處理者開展數據安全風險監測和資訊報送。

三是數據處理者做好本單位數據安全風險監測,按照行業監管部門要求開展風險監測排查,及時防範化解風險隱患。(記者申佳平)

圖片來源:工業和資訊化部官網

 

來源:人民網  責任編輯:姬雯

(原標題:工信部:重要數據、核心數據出境應進行安全評估)