政策解读:《工业和信息化领域数据安全管理办法(试行)》
日期:2022年12月21日 阅:55
12月13日,《工业和信息化领域数据安全管理办法(试行)》在工信部官网公开发布,并于2023年1月1日起正式施行。《办法》作为工信领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。其将与《工业领域数据分类分级指南(试行)》(2020.2)《工业互联网企业网络安全 第4部分:数据防护要求(征求意见稿)》(2022.11)等文件一起,成为工业领域数据安全保护工作的合规指南。
发布背景
2021年9月1日,《数据安全法》正式施行,依法开展数据安全工作踏上了新征程。工业领域作为《数据安全法》中提及的行业领域之首,是当前强化数据安全保障的重要领域。随着企业上云、工业APP培育等工作持续推进,工况状态、产能信息等数据向云平台加速汇聚,高价值的数据资源池成为不法分子的攻击目标。此外,新一代信息技术与制造业融合发展模式下,工业生产环境互联开放趋势加快,工业数据的流向、路径、汇聚点等都发生了变化,数据从流向企业本地孤立的业务系统,到流向外部的边缘节点、大数据中心等,贯穿了企业控制网、管理网、专用网、互联网等各个网络,数据安全涉及设备层、控制层、网络层、平台层及应用层各个层面,数据暴露面加大,数据安全风险点增多,数据安全影响面更广。
适用范围
在中华人民共和国境内开展的工业和信息化领域数据(工业数据、电信数据、无线电数据等)处理活动(数据收集、存储、使用、加工、传输、提供、公开等)及其安全监管,应当遵守相关法律、行政法规和本办法的要求。军事领域、涉密领域、政务数据的处理活动,按照有关规定执行。
监管职责
工信部负责监督指导地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构等地方行业监管部门开展数据安全监管工作,地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。
内容要点
一 术语定义
1 工业数据
工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
2 电信数据
在电信业务经营活动中产生和收集的数据。
3 无线电数据
在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
4 工业和信息化领域数据处理者
数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。
二 数据分类分级管理
1 职责分工
1、工信部负责制定标准、指导工作、明确重要数据和核心数据具体目录。
工信部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。
2、地方行业监管部门负责本地区管理、明确本地区重要数据和核心数据具体目录。
地方行业监管部门负责组织开展本地区工业和信息化领域数据分类分级管理工作及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。
3、数据处理者负责定期梳理数据、识别重要数据和核心数据。
工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。
2 数据分类规则
1、分类判定因素
行业要求、特点、业务需求、数据来源和用途
2、分类维度
包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
3 数据分级规则
1、分级判定因素
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,综合判定安全级别。
2、分级框架
工业和信息化领域数据分为一般数据、重要数据、核心数据三个级别。
3、一般数据判定标准
4、重要数据判定标准
5、核心数据判定标准
4 重要数据、核心数据备案规则
1、数据处理者向本地行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
2、地方行业监管部门二十个工作日内审核备案申请。若审核通过,将备案情况上报工信部。若审核未通过,及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。
3、备案内容发生重大变化的,数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。
三 数据全生命周期安全管理
1 总体安全要求
1、一般数据处理者
建制度:建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
配人员:根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;
确权限:合理确定数据处理活动的操作权限,严格实施人员权限管理;
定预案:根据应对数据安全事件的需要,制定应急预案,并开展应急演练;
开培训:定期对从业人员开展数据安全教育和培训;
留日志:记录数据处理、权限管理、人员操作等日志。日志留存不少于六个月。
2、重要数据和核心数据处理者
明确数据安全责任人:建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
明确关键岗位和职责:明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
建立内部登记、审批等工作机制:对重要数据和核心数据的处理活动进行严格管理并留存记录;
开展风险评估:自行或委托第三方评估机构,每年对数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
2 各环节处理活动安全要求
四 数据安全监测和应急管理
1 工信部
1、建立数据安全风险监测机制,组织制定监测预警接口和标准;
2、建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报风险信息;
3、制定数据安全事件应急预案,组织协调重要、核心数据安全事件应急处置。
2 地方行业监管部门
1、建立本地区数据安全风险监测机制,组织开展安全风险监测,及时发布预警信息;
2、汇总分析本地区数据安全风险,将可能造成重大安全事件的风险及时上报工信部;
3、开展本地区数据安全事件应急处置工作,涉及重要、核心数据的安全事件立即上报工信部。
3 数据处理者
1、开展数据安全风险监测,及时排查安全隐患,采取必要措施防范风险;
2、将可能造成较大安全事件的风险上报本地行业监管部门;
3、按照应急预案及时开展应急处置,涉及重要、核心数据的安全事件第一时间上报本地区行业监管部门,并每年上交事件处置总结报告。