《工业和信息化领域数据安全风险评估实施细则（试行）》（2024年6月1日起施行）全文详细解读PPT课件.pptx

《工业和信息化领域数据安全风险评估实施细则（试行）》

（2024年6月1日起施行）

全文详细解读;目录;第一条根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律，按照《工业和信息化领域数据安全管理办法（试行）》有关要求，为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平，维护国家安全和发展利益，制定本细则。;;;;;第二条本细则适用于对中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。;;细则的针对性;风险评估的必要性;;第三条工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构（以下统称地方行业监管部门）依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。工业和信息化部及地方行业监管部门统称为行业监管部门。;;;第四条重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告，并对评估结果负责。;定期复查与监控;评估过程应基于实际的数据和事实，避免主观臆断和偏见，确保评估结果的客观性。;明确的评估目标和范围;第五条重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估，重点评估以下内容：（一）数据处理目的、方式、范围是否合法、正当、必要；（二）数据安全管理制度、流程策略的制定和落实情况；（三）数据安全组织架构、岗位配备和职责履行情况；（四）数据安全技术防护能力建设及应用情况；（五）数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况；（六）??生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险；（七）涉及数据提供、委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况；（八）涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况。;;（二）数据安全管理制度、流程策略的制定和落实情况;;;;;;（八）涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况;第六条重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。在有效期内出现以下情形之一的，重要数据和核心数据处理者应当及时对发生变化及其影响的部分开展风险评估：（一）新增跨主体提供、委托处理、转移核心数据的；（二）重要数据、核心数据安全状态发生变化对数据安全造成不利影响的，包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的；（三）发生涉及重要数据、核心数据的安全事件的；（四）重要数据和核心数据目录备案内容发生重大变化的；（五）行业监管部门要求进行评估的其他情形。;数据处理者基本情况;评估团队基本情况;;;数据安全风险评估环境;;评估结论及应对措施;第七条重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作能力的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队，制定完备的评估工作方案，配备有效的技术评测工具。;组建专业化评估团队;;评估数据处理活动是否符合法律法规要求，是否具有合法、正当的目的，并且是否必要。;第八条重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估的，可以通过订立合同或者其他具有法律效力的文件，明确双方的权利和责任，向第三方评估机构提供必需的材料和条件，确保相关材料的真实性和完整性，并确认评估结果。;重要数据和核心数据处理者在委托第三方评估机构时，应确保其具备相应的资质和能力，符合国家相关法律法规的要求。;确定双方权利和责任;提供必需材料和条件;审核评估报告;第九条重要数据和核心数据处理者对评估中发现的数据安全风险隐患，应当及时采取适当措施消除或降低风险隐患。;;采用数据加密、访问控制、安全审计等技术手段，增强数据的安全防护能力