工信数据安全风险评估的三个基本问题——评估谁?谁监管?谁评估?
作者: 日期:2023年10月13日 阅:2,868

近日,工业和信息化部发布了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》),进一步明确了工信数据安全评估制度的重要概念和机制,标志着工信领域数据安全风险评估制度距离真正实施又进一步。

2022年发布的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),将“工信数据安全风险评估”确立为工信数据安全评估的一项重要制度(第三十一条)。《实施细则》对于该项重要制度的完善和发展,可概括为主要回答了“评估谁”、“谁监管”、“谁评估”三个基本问题。

Part.1/ 评估谁:评估对象和范围

工信数据安全风险评估制度的评估对象和范围,无疑是工信数据领域广大从业者关心的首要问题之一。《实施细则》明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动(第二条)。全面理解何为“工业和信息化领域重要数据和核心数据处理者”,至少须包括以下四层意思。

一是“工业和信息化领域数据”的类别。根据《管理办法》第三条规定,“工业和信息化领域数据”包括工业数据、电信数据和无线电数据三类。其中“工业数据”是指“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”;“电信数据”是指“在电信业务经营活动中产生和收集的数据”;“无线电数据”是指“在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据”。

二是“重要数据和核心数据”的判断标准。这涉及工信数据的分级规定。按照《管理办法》有关条文,对工信领域数据的分级主要是根据数据遭到篡改、破坏等情况时的危害程度,《管理办法》也明文列举了重要数据和核心数据的常见判断标准,此不赘述。《实施细则》进一步明确,对于“重要”、“核心”二个级别的数据须纳入风险评估,而对于“一般”级别的数据,则未做硬性要求,仅规定可“参照”开展相应评估工作。

三是“数据处理者”的范围。风险评估面向的数据处理者,仍然是《管理办法》确定的范围。按其规定,数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”,包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。

四是“数据处理活动”的主要种类。《管理办法》第三条从数据处理活动生命周期的角度,提出了数据处理活动的主要类型,即“包括但不限于数据收集、存储、使用、加工、传输、提供、公开等”活动。

Part.2/ 谁监管:主管部门和管理机

对于工信数据安全风险评估的管理部门和管理机制,《实施细则》的相关规定可归纳为以下两个层次。

首先,两级、五类管理机构。从层级上看,监管主体的“两级”是指部、省两级行业监管部门。五类机构为:工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。其中,《实施细则》将中央企业单列,负责“督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部”。可见,除了央企垂直报送的情况以外,评估监管基本上遵循省级属地管辖的原则。

其次,三项管理机制。一是统筹和立制,工信部负责,工作形式包括统一监管指导和制修订标准等。二是自评估报告的接收和审查,主要由省级监管部门负责,其中涉及数据跨境、跨主体处理等的情况,审查后还需报工信部复核。三是监督检查,《实施细则》规定部、省两级行业监管部门均可按照工作需要开展,形式包括“专项风险评估”、“评估工作落实情况监督检查”等。

Part.3/ 谁评估:评估实施机构

对于工信数据安全风险评估工作的具体实施,除了数据处理者自行开展外,《实施细则》还规定了委托评估的重要机制。而从实践情况来看,因受专业技术能力、对法规标准理解、人员队伍素质等方面因素的影响,数据处理者大概率会采用委托评估的方式开展此项工作。因此,第三方评估机构实际上往往会成为评估工作的主要承担者。《实施细则》对于评估实施的规定,可归纳为三个方面。

一是对数据处理活动的评估。即数据处理者自行或委托第三方机构,对其相关数据处理活动进行风险评估,具体评估内容包括《实施细则》第五条明确的8个要点,评估频次为每年一次,评估报告应于评估完成后的10日内,向行业监管部门报送或更新。

二是监督检查评估。特指第三方评估机构受行业监管部门委托,协助行业监管部门履行其风险评估监管职责,即包括支撑参与前文所述的“专项风险评估”和“评估工作落实情况监督检查”等工作。

三是关于第三方评估机构的管理。《实施细则》规定了“能力认证”(第十二条)和建立“评估支撑机构库”(第十四条)两种管理模式。

思考展望

《实施细则》初步展现了工信数据安全风险评估制度的全貌,对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等,都具有重要指导意义。

与此同时,工信数据安全风险评估工作涉及面较广,很多具体规定或有待结合实际操作进一步优化完善。如,是否需要明确认证机构范围或实行目录管理?是否需要对纳入“评估支撑机构库”的第三方机构接受数据处理者委托开展自评估的行为做出适当限制,以确保评估公正性?是否应当建立全国统一的“评估支撑机构库”?是否需要对行业监管部门启动监督检查或专项评估的条件做出适当明确等等。

法规完善是一个循序渐进、集思广益的过程。绿盟科技作为服务网络安全战线的科技老兵,将依托自身的长期研发积累和产品技术优势,持续为工信数据安全风险评估制度提供坚实的落地保障;并将结合自身在服务重大工程项目和重大活动保障的扎实经验,为工信数据安全风险评估制度的完善,积极献计献策、发挥应有的支撑贡献。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

从STRIDE威胁模型看AI应用的攻击面威胁与管理

下一篇

【重要通知】“美亚杯”第九届全国电子数据取证竞赛报名进行中

相关文章

行业动态

思维世纪章明珠:没有持续的检查评估,就没有真正的数据安全

行业动态

工信部通报怪兽充电等62款侵害用户权益行为的APP(SDK)

厂商供稿

工信部通报31款侵害用户权益行为的APP(SDK)