5月24日，工業(yè)和信息化部印發(fā)的《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則(試行)》提出，重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風險評估，評估報告應當包括數(shù)據(jù)處理者基本情況、評估團隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風險評估環(huán)境，以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風險分析、評估結論及應對措施等。細則自6月1日起施行。

專家表示，開展數(shù)據(jù)安全風險評估是整體性構建數(shù)據(jù)安全合規(guī)保障體系的重要環(huán)節(jié)，旨在讓數(shù)據(jù)要素更好地應用在工業(yè)、農(nóng)業(yè)、金融、科技創(chuàng)新等重點領域，發(fā)揮出更大的乘數(shù)效應。在政策推動下，網(wǎng)絡安全合規(guī)服務需求將增加。

提出八方面重點評估內容

實施細則提出，重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關規(guī)定以及評估標準，對數(shù)據(jù)處理活動的目的和方式、業(yè)務場景、安全保障措施、風險影響等要素，開展數(shù)據(jù)安全風險評估。

重點評估以下內容：一是數(shù)據(jù)處理目的、方式、范圍是否合法、正當、必要；二是數(shù)據(jù)安全管理制度、流程策略的制定和落實情況；三是數(shù)據(jù)安全組織架構、崗位配備和職責履行情況；四是數(shù)據(jù)安全技術防護能力建設及應用情況；五是數(shù)據(jù)處理活動相關人員是否熟悉數(shù)據(jù)安全相關政策法規(guī)、是否具備數(shù)據(jù)安全知識技能、是否接受數(shù)據(jù)安全相關教育培訓等情況；六是發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件，對國家安全、公共利益的影響范圍、程度等風險；七是涉及數(shù)據(jù)提供、委托處理、轉移的，數(shù)據(jù)獲取方或受托方的安全保障能力、責任義務約束和履行情況；八是涉及國家法律法規(guī)中規(guī)定需要申報的數(shù)據(jù)出境安全評估情形，履行數(shù)據(jù)出境安全評估要求情況。

奇安信集團董事長齊向東向記者表示，當前我國大力開展“數(shù)據(jù)要素×”和“人工智能+”行動，數(shù)據(jù)的流通速度會更快、規(guī)模會更大、通過的節(jié)點會更多、價值會更高，數(shù)據(jù)安全變得尤為重要。

壓實主體責任

實施細則提出，重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照及時、客觀、有效的原則開展數(shù)據(jù)安全風險評估，形成真實、完整、準確的評估報告，并對評估結果負責。重要數(shù)據(jù)和核心數(shù)據(jù)處理者對評估中發(fā)現(xiàn)的數(shù)據(jù)安全風險隱患，應當及時采取適當措施消除或降低風險隱患。

實施細則還表示，鼓勵熟悉工業(yè)和信息化領域數(shù)據(jù)安全工作，滿足資質要求的認證機構開展第三方評估機構的能力認證。

齊向東表示，壓實數(shù)據(jù)安全主體責任，將使得網(wǎng)絡安全合規(guī)服務需求增加。這意味著政企機構要主動承擔好網(wǎng)絡安全和數(shù)據(jù)安全保護責任，嚴格遵守相關法律法規(guī)不越“紅線”。網(wǎng)絡安全企業(yè)亟需與各行業(yè)頭部企業(yè)開展合作，進行數(shù)據(jù)安全與特色業(yè)務場景的融合創(chuàng)新。