>> 適用范圍

對(duì)中國(guó)境內(nèi)工信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動(dòng)開(kāi)展的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。

>> 工作原則

重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照及時(shí)、客觀、有效的原則開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成真實(shí)、完整、準(zhǔn)確的評(píng)估報(bào)告，并對(duì)評(píng)估結(jié)果負(fù)責(zé)。

>> 評(píng)估內(nèi)容

按照法律法規(guī)、行業(yè)規(guī)定及評(píng)估標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)處理活動(dòng)的目的和方式、業(yè)務(wù)場(chǎng)景、安全保障措施、風(fēng)險(xiǎn)影響等要素，開(kāi)展評(píng)估。

>> 評(píng)估報(bào)告

評(píng)估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類(lèi)和數(shù)量、開(kāi)展數(shù)據(jù)處理活動(dòng)的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境，以及數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等。

>> 對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機(jī)密數(shù)據(jù)，并且按照保密等級(jí)進(jìn)行分類(lèi)，嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。以電信和互聯(lián)網(wǎng)領(lǐng)域?yàn)槔?，重要?shù)據(jù)和核心數(shù)據(jù)的識(shí)別應(yīng)在國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類(lèi)分級(jí)規(guī)則》基礎(chǔ)上，結(jié)合YD/T 3867-2024《電信領(lǐng)域重要數(shù)據(jù)識(shí)別指南（報(bào)批稿）》進(jìn)行綜合判定。

>> 對(duì)企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動(dòng)加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù)，防止數(shù)據(jù)被非正常獲取與使用。嚴(yán)格管控對(duì)外發(fā)送的數(shù)據(jù)，防止內(nèi)部員工進(jìn)行有意或無(wú)意的機(jī)密文件發(fā)送，避免數(shù)據(jù)外泄。

>> 針對(duì)研發(fā)設(shè)計(jì)、生產(chǎn)制造、運(yùn)營(yíng)維護(hù)、銷(xiāo)售營(yíng)銷(xiāo)等業(yè)務(wù)部門(mén)，可以采用更靈活透明的加密技術(shù)，減少數(shù)據(jù)安全防護(hù)手段對(duì)日常工作效率的影響。部門(mén)相關(guān)人員對(duì)外提供的涉密文件還可以通過(guò)水印技術(shù)，記錄操作人員信息，在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭，啟動(dòng)應(yīng)急措施。

>> 對(duì)于聘請(qǐng)第三方評(píng)估團(tuán)隊(duì)的人員，在評(píng)估進(jìn)程中生成的數(shù)據(jù)和記錄等都是保密要求極高的核心數(shù)據(jù)。所以應(yīng)在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求，服務(wù)質(zhì)量考核評(píng)價(jià)，安全保密等內(nèi)容