【儀表網(wǎng) 行業(yè)標準】為貫徹落實《數(shù)據(jù)安全法》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》，指導地方行業(yè)主管部門、工業(yè)和信息化領域數(shù)據(jù)處理者規(guī)范開展風險評估工作，工業(yè)和信息化部網(wǎng)絡安全管理局研究起草了《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)(征求意見稿)》。現(xiàn)向社會公開征求意見。
 

　　數(shù)據(jù)安全風險評估是做好重要數(shù)據(jù)和核心數(shù)據(jù)監(jiān)管與保護工作的重要一環(huán)。《數(shù)據(jù)安全法》要求“重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估”。《管理辦法》提出了“工業(yè)和信息化領域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當自行或委托第三方評估機構(gòu)，每年對其數(shù)據(jù)處理活動至少開展一次風險評估，及時整改風險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告”的具體細化要求。為進一步細化行業(yè)數(shù)據(jù)安全風險評估規(guī)則，規(guī)范風險評估活動，有效提升重要數(shù)據(jù)和核心數(shù)據(jù)保護水平，研究起草了《實施細則》。
 

　　《實施細則》共十七條，確定了部省兩級數(shù)據(jù)安全風險評估工作體系，細化了重要數(shù)據(jù)和核心數(shù)據(jù)處理者的評估義務，明確了行業(yè)主管部門監(jiān)督管理評估活動的機制流程。主要內(nèi)容包括：
 

　　(一)關(guān)于適用范圍及管理職責(第一至四條)。界定《實施細則》適用于工業(yè)和信息化領域重要數(shù)據(jù)、核心數(shù)據(jù)處理者對其數(shù)據(jù)處理活動的安全風險評估，明確工業(yè)和信息化部、地方行業(yè)監(jiān)管部門的職責分工，并確立風險評估工作原則。
 

　　(二)關(guān)于評估對象和內(nèi)容(第五條)。明確評估對象為數(shù)據(jù)處理活動中涉及的目的和場景、管理體系、人員能力、技術(shù)工具、風險來源、安全影響等要素，并按照以上要素細化了具體評估內(nèi)容。
 

　　(三)關(guān)于評估機制要求(第六至十條)。提出了評估期限、重新申報評估的情形、可采取的評估方式，并對委托評估、評估協(xié)作、風險控制和評估報告報送等作出要求。
 

　　(四)關(guān)于審核、監(jiān)督和管理制度(第十一至十五條)。明確評估報告審核、評估機構(gòu)認定、評估機構(gòu)義務、監(jiān)督檢查、機構(gòu)監(jiān)管等要求，并提出建立支撐行業(yè)監(jiān)管工作的第三方評估機構(gòu)庫。
 

　　(五)關(guān)于保密等其他要求(第十六至十七條)。明確行業(yè)監(jiān)管部門及委托支撐機構(gòu)的工作人員的保密義務，提出涉及軍事、國家秘密信息等數(shù)據(jù)處理活動參照有關(guān)規(guī)定執(zhí)行。