《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)》印發(fā)

　　近日，工業(yè)和信息化部印發(fā)《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)》(以下簡稱《實施細則》)，明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風險評估?！秾嵤┘殑t》2024年6月1日起施行。

　　《實施細則》提出，評估結果有效期為一年，以評估報告首次出具日期計算。評估報告應當包括數(shù)據(jù)處理者基本情況、評估團隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風險評估環(huán)境，以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風險分析、評估結論及應對措施等。

　　同時，在有效期內出現(xiàn)以下情形之一的，重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當及時對發(fā)生變化及其影響的部分開展風險評估：新增跨主體提供、委托處理、轉移核心數(shù)據(jù)的;重要數(shù)據(jù)、核心數(shù)據(jù)安全狀態(tài)發(fā)生變化對數(shù)據(jù)安全造成不利影響的，包括但不限于數(shù)據(jù)處理目的、方式、適用范圍和安全制度策略等發(fā)生重大調整的;發(fā)生涉及重要數(shù)據(jù)、核心數(shù)據(jù)的安全事件的;重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內容發(fā)生重大變化的;行業(yè)監(jiān)管部門要求進行評估的其他情形。

　　對于中央企業(yè)，《實施細則》明確中央企業(yè)應督促指導所屬企業(yè)履行屬地數(shù)據(jù)安全風險評估及評估報告報送要求，并將梳理匯總的企業(yè)集團本部、所屬公司的評估報告報送工業(yè)和信息化部。(張冉)