图解工信部工业和信息化领域数据安全风险评估实施细则（试行）

炼石网络2024年5月 总体结构及参考文献 04工信领域数据安全风险信息报送共享 05工信领域数据安全行政处罚裁量指引 03工业和信息化领域数据安全管理办法 02工业领域数据安全能力提升实施方案 本次更新01工业和信息化领域数据安全风险评估1 管理机构与评估机构2评估内容与评估流程3评估准备与信息调研4风险识别与风险控制5评估总结与评估报送 总则 06 01工业和信息化领域数据安全风险评估02工业领域数据安全能力提升实施方案03工业和信息化领域数据安全管理办法04工信领域数据安全风险信息报送共享05工信领域数据安全行政处罚裁量指引06工业和信息化领域数据安全建设实践 011管理机构与评估机构02评估内容与评估流程03评估准备与信息调研04风险识别与风险控制05评估总结与评估报送 工业和信息化领域数据安全风险评估 《工业和信息化领域数据安全风险评估实施细则（试行）》 2024年5月24日，工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）》，将于2024年6月1日起施行。 旨在引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平，维护国家安全和发展利益 用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。 202年5月10 工业和信息化领域数据安全风险评估实施细则（试行） 管理机构：工业和信息化部统一管理，地方行业监管部门按职责监督管理 工业和信息化部 ，统一管理、监督和指导工业和信息化领域数据安全风险评估工作组织开展相关评估标准制修订及推广应用 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门各省、自治区、直辖市通信管理局和无线电管理机构（以下统称地方行业监管部门） 依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作 工业和信息化部及地方行业监管部门统称为行业监管部门。 工作原则：按照及时、客观、有效的原则开展数据安全风险评估 评估方式：自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展 委托评估：通过订立合同或者其他具有法律效力文件明确权利和责任 评估机构认定：鼓励具有工业和信息化领域数据安全工作经验的认证机构开展第三方评估机构的能力认证 鼓励熟悉工业和信息化领域数据安全工作，满足资质要求的认证机构开展第三方评估机构的能力认证。 配备相应的人员和技术保障能力 建立第三方评估机构能力认证制度 明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求 跟踪管理第三方评估机构的服务质量 臀促第三方评估机构独立、公正、客观、科学地开展数据安全风险评估工作 注：对应细则第十二条 评估机构义务：明确第三方评估机构应当履行三项义务 第三方评估机构应当履行下列义务： 对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私，以及与数据处理者签署的保密协议中约定的保密信息等严格保密： 严格按照国家法律法规、行业监管部门有关规定以及评估标准，公正、独立地开展评估并出具评估报告，全面、准确、客观地反映重要数据和核心数据处理者的数据安全风险状况，提供务实有效的风险整改建议措施： 除重要数据和核心数据处理者书面同意或者法律、行政法规另有规定外，不得向其他组织或个人提供评估中收集掌握的相关信息。 送：对应细厕第十三条 监督检查：工业和信息化部建立数据安全风险评估支撑机构库 行业监管部门 根据工作需要，可以自行或组织数据安全风险评估支撑机构库中的机构，对重要数据和核心数据处理者的数据处理活动开展专项风险评估，或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。 重要数据和核心数据处理者 对行业监管部门发起的专项风险评估及监督检查应当予以配合，并对评估发现的相关问题及时进行改正宽：对应细购第十四条 机构监管及保密要求：行业监管部门及委托支撑机构负有保密义务 滋：对应细则第十五条、第十六条、第十七条 01管理机构与评估机构02评估内容与评估流程03评估准备与信息调研04风险识别与风险控制05评估总结与评估报送 工业和信息化领域数据安全风险评估 评估内容：对数据处理活动的自的和方式、业务场景、安全保障措施风险影响等要素开展 重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估。 重点评估以下内容： （一）数据处理目的、方式、范围是否合法、正当、必要 （二）数据安全管理制度，流程策略的制定和落实情况 （三）数据安全组织架构、岗位配备和职责履行情况 遥。对应细网第五条 评估期限：数据安全风险评估结果有效期为一年 重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。 在有效期内出现以下情形之一的，重要数据和核心数据处理者应当及时 对发生变化及其影响的部分开展风险评估 （一）新增跨主体提供、委托处理、转移核心数据的 （二）重要数据、核心数据安全状态发生变化对数据安全造成不利影响的，包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的 三）发生涉及重要数据、核心数据的安全事件的 （四）重要数据和核心数据且录备案内容发生重大变化的 （五）行业监管部门要求进行评估的其他情形。 送：对应细测第元条 评估思路：」以预防为主、主动发现、积极防范为原则 评估内容：围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护开展 网络数据安全风险评估，在信息调研基础上围绕 数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估 评估流程：明确数据安全风险评估五个阶段的具体工作与主要产出物 自评估流程：明确各单位自评估的主要实施流程 检查评估流程：统一检查评估三阶段的实施步骤，指导有关部门开展检查评估 有关部门进行检查评估时，可参考本指南开展检查工作，具体实施步骤如图 评估手段：包括人员访谈、安安全核查、文档查验、技术测试四种手段 安全核查 人员访谈 文档查验 01管理机构与评估机构02评估内容与评估流程03：评估准备与信息调研04风险识别与风险控制05评估总结与评估报送 工业和信息化领域数据安全风险评估 评估准备：制定风险评估目标，提高数据安全和个人信息保护能力 开展前期准备 数据安全风险评估的目标，包括但不限于： 摸清数据种类、规模、分布等基本情况b)摸清数据处理活动的情况c)发现可能影响国家安全、公共利益或者个人，组织合法权益的数据安全问题和风险d)发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险e促进完善数据安全保护措施，提升数据安全保护能力。 发现存在的安全问题和风险隐患，督促数据处理健全安全制度、改进安全措施、堵塞安全漏洞 对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估 送：对应改策及要点为网效据安全风脸开活实施指引》 评估准备：石确定组织全部的数据和数据处理活动的评估范围 明确评估目标 ·根据工作需要和评估自标，确定数据安全风险评估的对蒙、范围和边界，明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。 ：全面摸模排被评估方的数据安全整体情况，摸模清其数据资产、数据处理活动、数据分类分级等情况 ·数据安全风险评估聚焦数据和数据处理活动，评估范围可能涉及， 1.组织全部的数据和数据处理活动： 注：对应故策发要点为网结好活安全风险后实的指别！ 评估准备：手指导检查评估和自评估团队组建 评估准备：规范风险评估的前期准备工作 文档工具准备 工作计划内容 a)法律：《网络安全法》《数据安全法》《个人信息保护法》等法律，有关行政法规、司法解释：b）部门规章：网信部门及主（监）管部门相关数据安全规章、规范性文件；c）地方政策：地方数据安全政策规定和监管要求；d）相关标准：数据安全相关国家标准、行业标准等。开展自评估时，本单位数据安全制度规范可作为评估依据之一。 针对评估目标、范围、依据和内容，准备风险评估调研表，技术测试工具等。 评估内容 a)数据处理者应针对数据处理活动，数据安全管理、数据安全技术等方面进行风险评估： 规范管理 在评估工作开展过程中，应对评估工作相关文件进行统一编号，并规范管理。 个人信息保护 主管监管部门 b)涉及处理个人信息的，应在a）的基础上，对个人信息保护开展风险评估。开展评估工作过程中，可根据任务要求，评估重点、监管需要、评估依据等，进一步完善评估内容。 开展检查评估时，主管监管部门指导评估队伍按照工作要求制定评估工作计划。 注：对应政策及要点为网装据安全风险开活实盗指别》【开活推备】 评估准备：编制风险评估工作方案时涉及的七方面内容 工作要求：包括评估工作要求、被评估方保障条件等内容，工作要求如严格依照评估内容及标准规范，规范评估行为，按照尽量不影响被评估方正常工作的原则，制定评估工作应急保障和风险规避措施，明确告知被评估方评估可能产生的风险严守工作纪律和保密要求等： 方明示测试可能涉及的安全风险，双方就测试方案达成共识，检查评估时应提前向有关部门报备：评估队伍可邀请行业领等，进一步修改完善评估方案后，组织实施风险评估工作。 差：对应效策及要点为网效据安全风验开活实安指》【店推备】 信息调研：调研摸清数据处理者的基本情况 数据处理者的基本情况包括但不限于： a）【基本信息】单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息： b】【单位性质】例如党政机关、事业单位、企业、社会团体等：【是否属于特定类型数据处理者】例如政务数据处理者、大型网络平台运营者、关键信息基础设施运营者等d）【所属行业领域】；【业务运营地区】开展数据处理活动所在国家和地区等f)【主要业务范围、业务规模等】：g）【许可证获取】数据处理相关服务取得行政许可的情况；h】【资本/实际控制人】被评估单位的资本组成和实际控制人情况i）【境外资本参与】是否境外上市或计划赴境外上市及境外资本参与情况，或以协议控制（VIE）架构等方式实质性境外上市。 送：对应效策发要点为《网效据安全风验实指款》【信意调 信息调研：梳理业务和信息系统情况 业务和信息系统情况包括但不限于： 送：对应效策发要点为《网格效据安全风验用实指款》 信息调研：摸清数据底数，车输出数据资产清单 梳理结构化数据资产（如数据库表等】和非结构化数据资产【如图表文件等），摸清数据底数，车输出数据资产清单。 调研内容包括但不限于： 送：购应效发要点为《网格装效据安全风验净适实防耐指》 信息调研：梳理数据处理活动清单，！验证或绘制数据流图 数据处理者调研 数据资产调研 针对评估对象和范围，梳理数据处理活动清单，验证或绘制数据流图 数据流图应描述数据流转各环节经过的相关方、信息系统，以及每个流动环节涉及的数据类型等。调研内容包括但不限于： e）【数据提供情况】如数据提供（数据共享、数据交易因合并、分立、解散、被宣告破产等原因需要转移数据等）的目的、方式、范围、数据接收方、合同协议，对外提供的个人信息和重要数据的种类、数量、范围敏感程度、保存期限等； ）【数据收集情况如数据收集渠道，收集方式，数据范围，收集目的、收集频率、外部数据源、合同协议、相关系统，以及在被评估方外部公共场所安装图像采集，个人身份识别设备的情