为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全。12月13日,工业和信息化部发布了《工业和信息化领域数据安全管理办法(试行)》,该办法共八章,四十二条,除总则、监督检查、法律责任和附则外,对数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理均进行详细要求。本办法将于2023年1月1日起施行。
第四章 数据安全监测预警与应急管理
第二十六条 工业和信息化部建立数据安全风险监测机制,组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。
地方行业监管部门分别建设本地区数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和信息化领域数据处理者及时采取应对措施。
工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十七条 工业和信息化部建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。
地方行业监管部门分别汇总分析本地区数据安全风险,及时将可能造成重大及以上安全事件的风险上报工业和信息化部。
工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。
第二十八条 工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。
工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。
工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第二十九条 工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道,地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。
第五章 数据安全检测、认证、评估管理
第三十条 工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。
第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。
地方行业监管部门分别负责组织开展本地区数据安全评估工作。
工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
第六章 监督检查
第三十二条 行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。
工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。
第三十三条 工业和信息化部在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。
第三十四条 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
第七章 法律责任
第三十五条 行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。
第三十六条 有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第三十七条 中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。
第三十八条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第三十九条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
第四十条 工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。
第四十一条 国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本办法另行制定。
第四十二条 本办法自2023年1月1日起施行。
中嘉和信作为深耕IDC行业十余年的数据中心服务商,致力于成为行业领先的数字化业务连续性保障服务提供商。业务覆盖金融机构、银行保险、人工智能、电商零售、交通运输、生产制造、能源化工、地产建安、生活服务等多个行业。中嘉和信为客户提供数据中心规划建设、数据中心托管运营、公有云、私有云、混合云、DCI全球组网、云网融合、集成实施等定制化解决方案,依托经验丰富的专业技术服务团队和先进的运维服务管理体系,持续为各行业客户提供一站式数字化业务连续性保障服务,陪伴客户共同成长,助力客户实现梦想。如有业务需求请拨打010-51265666进行咨询,欢迎预约参观机房!
文章来源:互联网,如有侵权联系删除!
相关文章推荐《工信部印发<工业和信息化领域数据安全管理办法(试行)>上》
