工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》

5月24日，工信部于其官网发布《工业和信息化领域数据安全风险评估实施细则（试行）》（简称《实施细则》）。

《实施细则》在《工业和信息化领域数据安全管理办法（试行）》第三十一条（工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向本地区行业监管部门报送风险评估报告）的基础上，进一步细化了数据安全风险评估相关内容。《实施细则》提出，重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为1年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

《实施细则》提出，重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估，重点评估以下内容：

数据处理目的、方式、范围是否合法、正当、必要；
数据安全管理制度、流程策略的制定和落实情况；
数据安全组织架构、岗位配备和职责履行情况；
数据安全技术防护能力建设及应用情况；
数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况；
发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险；
涉及数据提供、委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况；
涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况。

实施细则全文

来源：工信部官网

原文链接：https://www.gov.cn/zhengce/zhengceku/202405/content_6953528.htm

转载来源：智能网联汽车与数据合规

新闻中心

工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》