近日, 为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全事件应急预案(试行)》,并向全社会发布征求意见稿。

主要内容

《应急预案》根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。《应急预案》提出,数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。

《应急预案》共八章三十九条,主要内容包括:

(一)关于总则(第 1.1 至 1.6 节)。一是明确编制目的、 依据和适用范围。二是明确事件定义和分级方法。三是提出 应急处置工作应当坚持统一领导、分级负责等原则。

(二)关于组织体系(第 2.1 至 2.4 节)。明确工业和信 息化部、地方行业主管部门、数据处理者、应急支撑机构以 及专家组的工作职责,建立统一指挥、协同配合工作机制。

(三)关于监测与预警(第 3.1 至 3.5 节)。一是建立数 据安全风险监测发现、研判分析以及报告机制。二是按照紧 急程度、发展态势、数据规模、关联影响和现实危害等,明 确数据安全风险预警等级。三是规定预警信息发布、响应以 及解除等方面具体措施要求。

(四)关于事件应急响处置(第 4.1 至 5.2 节)。一是事 前建立数据安全事件监测和报告机制,明确数据处理者应急 处置要求。二是事中按照事件级别和响应等级,明确数据安 全事件应急处置采取的措施和具体要求。三是事后加强总 结,明确涉事数据处理者应当评估形成总结报告。

(五)关于预防措施(第 6.1 至 6.5 节)。一是提出预防 保护、应急演练、宣传培训、手段建设等措施,提升日常数 据安全意识和防护、应对能力。二是明确要加强国家重大活 动期间数据安全风险监测、威胁研判和事件处置,强化风险 防范与应对措施。

(六)关于保障措施(第 7.1 至 7.7 节)。提出落实责任、奖惩问责、经费保障、队伍建设、工作协同、物资保障、国际合作等有关保障措施要求,提升工业和信息化领域数据安全事件综合应对能力。

外媒报道

据路透社12月15日报道,中国有关部门15日发布了一个包含“四级分类”的应急预案(征求意见稿),以应对数据安全事件。此举凸显了中国政府对境内大规模数据泄露和黑客攻击的担忧。

在该草案出台之际,中国与美国及其盟友的地缘政治紧张局势不断加剧。中国工信部公开征求对《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》的意见。该案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。

根据该案,数据遭到篡改、破坏、泄露或者非法获取、非法利用,造成特别重大经济损失,损失10亿元人民币(含)以上的情形;发生特别严重个人信息安全事件,涉及1亿人(含)以上个人信息或者1000万人(含)以上敏感个人信息的情形,均为特别重大数据安全事件,应发布红色预警。

此外,工业和信息化领域数据处理者一旦发生数据安全事件,应当立即先行判断,对自判为较大以上事件的,应当立即向地方行业监管部门报告,不得迟报、谎报、瞒报、漏报。

原文链接

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html