網站首頁
產品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務與支持
關于敏捷
行業(yè)資訊
重磅丨工信部發(fā)布《工業(yè)和信息化領域數據安全行政處罰裁量指引(試行)》征求意見稿
發(fā)布時間:2023-11-23    作者:敏捷科技

今日,為貫徹落實《數據安全法》《工業(yè)和信息化領域數據安全管理辦法(試行)》,推動工業(yè)和信息化領域數據安全行政處罰工作制度化、規(guī)范化開展,工業(yè)和信息化部網絡安全管理局研究起草了《工業(yè)和信息化領域數據安全行政處罰裁量指引(試行)》,現向社會公開征求意見。


640.jpg



《數據安全法》施行兩年來,網安部門聚焦信息數據泄露、濫用、篡改等行業(yè)領域問題亂象,加大監(jiān)督檢查、通報預警和行政執(zhí)法力度。嚴厲懲治不履行數據安全保護義務的違法行為,全面壓緊壓實網絡運營單位數據安全主體責任。


截止2023年三季度,僅江蘇公安已累計依據《數據安全法》辦理行政案件336起,單筆處罰金額高達百萬元。說明隨著《數據安全法》實施和相關配套體系的完善,相關部門正加大執(zhí)法力度和頻度。


數據安全行政處罰關注重點


(一)未定期梳理數據,按照相關標準規(guī)范識別重要數據和核心數據并形成本單位具體目錄;

(二)未建立數據全生命周期安全管理制度,未針對不同級別數據明確數據收集、存儲、使用、加工、傳輸、提供、公開、銷毀、轉移、委托處理等環(huán)節(jié)的具體分級防護要求和操作規(guī)程;

(三)未根據需要配備數據安全管理人員,統(tǒng)籌負責數據處理活動的安全監(jiān)督管理,協(xié)助行業(yè)(領域)監(jiān)管部門開展工作;

(四)未合理確定數據處理活動的操作權限,嚴格實施人員權限管理;

(五)未根據應對數據安全事件的需要,制定應急預案,并開展應急演練;

(六)未定期對從業(yè)人員開展數據安全教育和培訓; 

(七)未開展數據安全風險監(jiān)測,及時排查安全隱患,采取必要的措施防范數據安全風險;

(八)發(fā)現可能造成較大及以上數據安全事件的風險后,未按照風險信息報送與共享工作機制向所在地行業(yè)監(jiān)管部門報告并及時處置;

(九)數據安全事件發(fā)生后,未按照應急預案開展應急處置;

(十) 數據安全事件發(fā)生后,未按照規(guī)定向所在地行業(yè)監(jiān)管部門報告;

(十一) 數據安全事件發(fā)生后,未按照規(guī)定及時告知用戶,并提供減輕危害措施;

(十二)未在數據全生命周期處理過程中,記錄數據處理、權限管理、人員操作等日志。日志留存時間少于六個月;

(十三)工業(yè)和信息化領域重要數據和核心數據處理者未建立覆蓋本單位相關部門的數據安全工作體系,未明確數據安全負責人和管理機構,未建立常態(tài)化溝通與協(xié)作機制;

(十四)工業(yè)和信息化領域重要數據和核心數據處理者未明確數據處理關鍵崗位和崗位職責,未要求關鍵崗位人員簽署數據安全責任書;

(十五)工業(yè)和信息化領域重要數據和核心數據處理者未建立數據內部登記、審批等工作機制,未對重要數據和核心數據的處理活動進行嚴格管理并留存記錄;

(十六)工業(yè)和信息化領域重要數據和核心數據處理者未按照有關規(guī)定做好重要數據和核心數據目錄備案管理; 

(十七)涉及重要數據和核心數據的安全事件,未第一時間向所在地行業(yè)監(jiān)管部門報告,事件處置完成后未在規(guī)定期限內形成總結報告,每年未向本地區(qū)行業(yè)監(jiān)管部門報告數據安全事件處置情況;

(十八)工業(yè)和信息化領域重要數據和核心數據處理者未按照規(guī)定對其數據處理活動每年至少開展一次風險評估,及時整改風險問題,并向有關主管部門報送風險評估報告;

(十九)工業(yè)和信息化領域重要數據和核心數據處理者報送的風險評估報告未包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等;

(二十)對于核心數據跨主體提供、轉移、委托處理,未按照有關規(guī)定進行評估、保護、報批等;

(二十一)其他不履行數據安全保護義務的。


數據安全主體單位應對措施


>> 加強數據安全內部防護


1、對數據進行分類分級,梳理數據資產,了解企業(yè)中有哪些機密數據,并且按照保密等級進行分類,嚴格把控數據使用權限。


2、對企業(yè)內部所有重要數據進行強制、主動加密,保證數據全生命周期都在加密狀態(tài)下得到保護,防止數據被非正常獲取與使用。


3、對外發(fā)數據進行嚴格管控,經過相關領導審批后內部文件才能擺脫密文狀態(tài),進行查看和編輯。防止內部員工進行有意或無意的機密文件發(fā)送,避免數據外泄。


4、對外提供的文件打上水印,記錄操作人員信息,在安全事故發(fā)生后第一時間鎖定泄密源頭,啟動應急措施。


>> 完善數據安全管理制度


1、根據《網絡安全法》、《數據安全法》、《個人信息保護法》等相關規(guī)定,對數據進行分類分級,梳理數據資產,按照“最小必要”原則收集數據,遵循合法、正當、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。


2、對于第三方或者聘用人員,在協(xié)議中應當清楚載明相關的數據安全要求,包括但不限于在合作中需遵循的合規(guī)、內控及風險管理要求,服務質量考核評價,安全保密等內容;


3、對數據交互過程進行持續(xù)監(jiān)控,制定和落實網絡和信息安全管理措施,盡可能降低過程中的網絡和信息安全風險;


4、建立數據安全事件應急處理機制,并定期進行事故處置演練。開展員工數據安全意識培訓,了解最新的數據安全國家政策和行業(yè)規(guī)范,強化員工數據安全意識,明確數據泄密后企業(yè)和個人將會承擔的法律后果。



當前,還是有不少企業(yè)或組織對于數據安全的認知和重視性不足,投入較少,存在僥幸心理。在執(zhí)法趨嚴的形勢下,各企業(yè)或組織還需盡快查缺補漏、落實數據保護義務,防止重大數據安全事件發(fā)生,避免遭受處罰。


電話:18120179909