数字化转型浪潮下，为紧跟时代步伐，谋求智能化、高效率发展，各企业“囤积”大量数据资产。这些资产助力企业快速转型同时，蕴藏了大量数据安全风险，特别是工业和信息化领域的企业，生产经营高度依赖智能化设备，一旦出现数据安全问题，势必影响企业良好运转。 因此，目前很多工业和信息化领域的企业都在谋求开展数据安全风险评估工作，但如何开展数据安全风险评估也是许多企业发展的“痛点”。 在这种情况下，工业和信息化部在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作的纲领下，研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》。 明确数据处理者职责和数据安全管理机构 《征求意见稿》第三条指出工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用。其余各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。 对于企业重要数据资产，征求意见稿》第五条和第四条明确要求重要数据和核心数据处理者按照应当按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告，并对评估结果负责。 数据处理者开展数据安全风险评估的准则 数据安全风险评估工作复杂多变，涉及部门众多，数据处理者很难轻易做到完全独立做好数据安全风险评估工作。《征求意见稿》第七条中表示重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估，评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队，制定完备的评估工作方案，配备有效的技术评测工具。 对于数据安全风险评估过程中可能存在的安全隐患，数据处理者要做好准备，及时采取适当措施消除或降低风险隐患。注意，《征求意见稿》强调在评估工作完成后的 10 个工作日内，应当立刻向本地区行业监管部门报送或更新评估报告。 此外，《征求意见稿》第六条同时提出了重要数据的评估期限，规定重要数据和核心数据处理者每年完成至少一次数据安全风险评估，并形成评估报告。数据安全风险评估结果有效期为一年，自评估报告首次出具之日起计算。在评估有效期出现涉及重要数据、核心数据的安全事件等情况时，要重新开展数据安全风险评估工作。 相关部门做好数据安全风险报告评估及监管 对于数据处理者提交的数据安全风险评估报告，《征求意见稿》第十一条提出行业监管部门根据管理需要，自行或委托专业机构对评估报告进行审核，发现不符合国家及行业有关规定和标准的，通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的，或者跨主体提供、转移、委托处理核心数据的，地方行业监管部门对评估报告审查后，报工业和信息化部，工业和信息化部按照国家有关规定进行复核。 行业监管部门对于违反国家认证认可相关规定的认证机构，将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理，对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构，视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。 最后，《征求意见稿》第十六条和第十七条对涉密做出了明确要求，规定行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等，负有保密义务。对于涉及军事、国家秘密信息等数据处理活动，按照国家有关规定执行。 附件全文：工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）.doc ...

近日，全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》，公开征求意见。 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。 本标准适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。 为落实《个人信息保护法》对敏感个人信息处理规则的要求，本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。 《敏感个人信息处理安全要求》在各个行业，例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用，可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力，有效促进各行业的健康发展。标准将为规范个人信息处理者的行为，保障个人信息权益，促进个人信息合理利用提供支持。目前，国内大部分企业均处理敏感个人信息，标准应用范非常广泛，标准应用将取得良好的效果。 原文链接： https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230809174946&norm_id=20221102151828&recode_id=52543 ...