数据安全
通过科学、规范的应急处置机制,提升工业和信息化领域的数据安全防护能力,保障数据安全和信息安全。
编辑 | 数据君
为建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人、组织的合法权益,维护国家安全和公共利益,工业和信息化部(以下简称工信部)近日发布了《工业和信息化领域数据安全事件应急预案(试行)》(以下简称《预案》),自2024年11月1日起正式实施。
《预案》明确了数据安全事件的定义,即数据遭篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成危害的事件。根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。
在组织体系方面,《预案》规定了领导机构与职责、办事机构与职责、地方和数据处理者职责、应急支撑机构与职责以及协同联动机制。工信部网络安全和信息化领导小组统一领导数据安全事件应急管理工作,负责特别重大数据安全事件的统一指挥和协调。工业和信息化领域数据安全工作机制负责统筹开展工业和信息化领域数据安全应急处置工作,及时向部网信领导小组报告数据安全事件情况,提出特别重大数据安全事件应对措施建议,负责重大数据安全事件的统一指挥和协调处置,根据需要协调较大、一般数据安全事件应急处置工作。
《预案》强调,数据安全事件应急工作应当坚持统一领导、分级负责,统一指挥、密切协同、快速反应、科学处置的工作原则。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。充分发挥各方面力量,共同做好数据安全事件应急处置工作。
在监测与预警方面,《预案》要求地方行业监管部门、工业和信息化领域数据处理者、数据安全应急支撑机构加强数据安全风险监测、研判和上报,分析相关风险发生数据安全事件的可能性及其可能造成的影响。工信部统筹建立数据安全风险预警机制,根据紧急程度、发展态势、数据规模、关联影响和现实危害等,将数据安全风险预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般数据安全事件。
《预案》规定了预警发布、预警响应、预警调整和解除的具体流程和措施。发布预警信息时,应当包括预警等级、起始时间、可能的影响范围和造成的危害、警示事项、应采取的防范措施、处置时限要求、发布范围和发布机关等。
在事件响应方面,《预案》明确了响应分级、事件监测和报告、先行处置、应急响应、舆情监测和结束响应的具体要求。数据安全事件应急响应分为四级:I 级、II 级、III 级、IV 级,分别对应发生特别重大、重大、较大、一般数据安全事件的应急响应。工业和信息化领域数据处理者一旦发现数据安全事件,应当立即先行判断,对自判为较大及以上事件的,应当立即向地方行业监管部门报告,不得迟报、谎报、瞒报、漏报。
《预案》还规定了事后总结、预防措施和保障措施的具体内容。重大及以上数据安全事件应急工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急工作结束后5个工作日内形成总结报告,报地方行业监管部门。地方行业监管部门汇总审核后,在应急工作结束后10个工作日内形成报告报送数据安全机制。
预防措施方面,《预案》要求工业和信息化领域数据处理者建立健全数据安全管理制度,建设数据安全应急技术手段,重要数据和核心数据处理者应当每年至少开展一次数据安全风险评估和自查自纠,及时消除风险隐患。行业监管部门依法开展数据安全监督检查,指导督促相关单位消除风险隐患。
《预案》的发布实施,标志着我国工业和信息化领域数据安全事件应急管理工作迈上了新台阶。通过建立健全数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人、组织的合法权益,维护国家安全和公共利益。
官方解读
一、《应急预案》出台的背景和目的是什么?
当前,数据已成为数字经济时代最为活跃的新型生产要素。随着数字化转型步伐加快,新型工业化发展加速推进,数据规模急剧增长,数据流动情况愈发频繁复杂,伴随而来的数据安全风险事件时有发生,亟需加快构建数据安全事件应急管理体系,提升事件处置水平。为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策关于应急处置的相关要求,加快推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,我部研究制定了《应急预案》。一是构建工业和信息化领域数据安全事件应急处置工作组织体系,明确工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构等各方职责范围,建立权责一致的工作机制。二是细化数据安全事件应急处置事前、事中、事后全流程各环节要求,提出分级预警、响应、处置、上报等各类机制,建立衔接有序、高效运行的工作闭环。三是根据数据安全事件应急处置工作的需要,明确相关预防措施和保障措施。
二、《应急预案》的定位和主要内容是什么?
《应急预案》作为工业和信息化领域数据安全事件处置工作的指导性政策文件,正文共八章四十条,重点明确了以下八方面内容:一是界定《应急预案》适用范围,明确了数据安全事件以及事件分级的相关概念定义;二是明确了工业和信息化领域数据安全应急处置工作的组织体系,规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责;三是明确了开展数据安全风险监测预警工作的具体流程和要求;四是明确了不同级别数据安全事件应急处置工作的具体流程和要求;五是规定了重大及以上数据安全事件应急工作结束后,地方行业监管部门和数据处理者的具体工作要求;六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施;七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施;八是规定了应急预案修订原则和排除条款等要求。此外,《应急预案》在附件中还细化了数据安全事件分级方法、事件上报模板、事件总结报告模板、应急处置流程图等内容,为各方开展应急处置工作提供细化实操指导。
三、《应急预案》明确了怎样的职责分工?
《应急预案》明确了“工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构”等各类主体的职责分工。其中,工业和信息化部职责主要由工业和信息化部网络安全和信息化领导小组及工业和信息化领域数据安全工作机制承担,具体为工业和信息化部网络安全和信息化领导小组统一领导数据安全事件应急管理工作,负责特别重大数据安全事件的统一指挥和协调。工业和信息化领域数据安全工作机制(具体工作由工业和信息化部网络安全管理局牵头承担)负责统筹开展工业和信息化领域数据安全应急处置工作;及时向部网信领导小组报告数据安全事件情况,提出特别重大数据安全事件应对措施建议;负责重大数据安全事件的统一指挥和协调处置;根据需要协调较大、一般数据安全事件应急处置工作。
地方行业监管部门主要包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,负责组织开展本地区本领域数据安全事件应急处置工作,结合实际根据本预案分别制定本地区本领域数据安全事件应急预案。
数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作,应当根据应对数据安全事件的需要,制定本单位数据安全事件应急预案。其中,中央企业应当督促指导所属企业在数据安全事件应急处置工作中履行属地管理要求,并负责全面梳理汇总企业集团本部、所属企业的数据安全事件应急处置相关情况,按要求及时报送工业和信息化部。
应急支撑机构负责数据安全事件预防保护、监测预警、应急处置、攻击溯源等工作。
四、数据处理者如何按照《应急预案》开展事件预警监测工作?
按照《应急预案》,工业和信息化领域数据处理者应当根据《工业和信息化领域数据安全管理办法(试行)》、工业和信息化领域数据安全风险信息报送与共享等要求,加强数据安全风险监测、研判和上报,分析相关风险发生数据安全事件的可能性及其可能造成的影响,认为可能发生较大及以上数据安全事件的,应当立即向地方行业监管部门报告。
五、数据处理者如何按照《应急预案》开展应急处置工作?
工业和信息化领域数据处理者应当按照《应急预案》,有序开展事件处置:一是先行处置和报告。一旦发现数据安全事件,数据处理者应当立即根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,判定数据安全事件级别(包括特别重大、重大、较大和一般四个级别)。对自判为较大及以上事件的,应当立即向地方行业监管部门报告。二是启动应急响应。发现数据安全事件后,涉事数据处理者立即进入应急状态,根据事件级别分别采取相应的处置措施,开展数据恢复或追溯工作。同时,持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,进一步采取有效整改处置措施,及时汇报工作进展和处置情况。三是事件总结上报。重大及以上数据安全事件应急处置工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训,提出处理意见和改进措施,形成总结报告报地方行业监管部门。
六、下一步如何推进相关工作?
《应急预案》发布后,工业和信息化部将从宣贯培训、引导支持、监督检查等方面抓好落实:一是加强宣贯培训。对《应急预案》的重点内容进行全面深入系统解读,指导行业数据处理者准确理解、认真落实相关要求,提升数据安全事件应急意识和能力,营造“个个讲安全、人人会应急”的良好氛围。二是加强引导支持。鼓励各单位创新工作模式、加大工作支持,及时总结推广在《应急预案》落地实施过程中的优秀经验做法,形成示范带动效应。组织开展行业数据安全事件应急演练等工作,锻炼提升应急处置实战水平。三是加强监督检查。指导各有关单位根据应对数据安全事件的需要,细化制定本单位应急预案,加强责任落实。通过专项行动、监督检查等方式,对工作落实不到位的单位加强督导落实,对表现突出的予以表扬激励。
原文如下
