附件 1 工业和信息化领域数据安全风险评估 实施细则（试行） （征求意见稿） 第一条【目的依据】根据《中华人民共和国数据安全法》 《中华人民共和国网络安全法》《工业和信息化领域数据安 全管理办法（试行）》等法律法规、政策文件有关要求，引 导工业和信息化领域数据处理者规范开展数据安全风险评 估工作，提升数据安全管理水平，维护国家安全和发展利益， 制定本细则。 第二条【适用范围】本细则适用于中华人民共和国境内 工业和信息化领域重要数据和核心数据处理者开展的数据 安全风险评估活动。 一般数据处理者可参照本细则开展数据安全风险评估。 第三条【管理机构】工业和信息化部统一管理、监督和 指导工业和信息化领域数据安全风险评估工作，组织开展相 关评估标准制修订及推广应用。 各省、自治区、直辖市及计划单列市、新疆生产建设兵 团工业和信息化主管部门，各省、自治区、直辖市通信管理 局和无线电管理机构（以下统称地方行业监管部门）依据职 责分别负责监督管理本地区工业、电信、无线电重要数据和 -1- 核心数据处理者开展数据安全风险评估工作。 工业和信息化部及地方行业监管部门统称为行业监管 部门。 第四条【工作原则】重要数据和核心数据处理者按照及 时、客观、有效的原则开展数据安全风险评估，形成真实、 完整、准确的评估报告，并对评估结果负责。 第五条【评估内容】重要数据和核心数据处理者按照国 家法律法规、行业监管部门有关规定以及评估标准，对数据 处理活动的目的和方式、业务场景、安全保障措施、风险影 响等要素，开展数据安全风险评估，重点评估以下内容： （一）数据处理目的、方式、范围是否合法、正当、必 要； （二）数据安全管理制度、流程策略的制定和落实情况； （三）数据安全组织架构、岗位配备和职责履行情况； （四）数据安全技术防护能力建设及应用情况； （五）数据处理活动相关人员的数据安全意识、知识技 能、从业背景情况； （六）发生数据遭到篡改、破坏、泄露、丢失或者被非 法获取、非法利用等安全事件，对国家安全、公共利益的影 响范围、程度等风险； （七）涉及数据提供、委托处理、转移的，数据提供方、 接收方的安全保障能力、诚信守法和责任义务约束情况； -2- （八）涉及国家法律法规中规定需要申报的数据出境安 全评估情形，履行数据出境安全评估要求落实情况；已通过 国家有关部门组织的数据出境安全评估且在有效期内的，实 际数据出境的规模、范围、种类、敏感程度等要素与申报事 项的符合情况。 第六条【评估期限】重要数据和核心数据处理者每年完 成至少一次数据安全风险评估，并形成评估报告。数据安全 风险评估结果有效期为一年，自评估报告首次出具之日起计 算。 在有效期内出现以下情形之一的，重要数据和核心数据 处理者对发生变化及其影响的部分，重新开展数据安全风险 评估，并更新评估报告： （一）拟新增跨主体提供、委托处理、转移重要数据或 者核心数据的； （二）重要数据、核心数据安全状态发生变化对数据安 全造成不利影响的，包括但不限于数据处理目的、方式、适 用范围和安全制度策略等发生重大调整的； （三）发生涉及重要数据、核心数据的安全事件的； （四）行业监管部门要求进行评估的其他情形。 第七条【评估方式】重要数据和核心数据处理者可以自 行或者委托具有工业和信息化数据安全工作经验的第三方 评估机构开展评估。评估过程应当建立至少包括组织管理、 -3- 业务运营、技术保障、安全合规等人员的专业化评估团队， 制定完备的评估工作方案，配备有效的技术评测工具。 第八条【委托评估】重要数据和核心数据处理者委托第 三方评估机构开展数据安全风险评估的，可以通过订立合同 或者其他具有法律效力的文件，明确双方的权利和责任，向 第三方评估机构提供必需的材料和条件，确保相关材料的真 实性和完整性，并确认评估结果。 第九条【风险控制】重要数据和核心数据处理者对评估 中发现的数据安全风险隐患，及时采取适当措施消除或降低 风险隐患。 第十条【评估报送】重要数据和核心数据处理者在评估 工作完成后的 10 个工作日内，向本地区行业监管部门报送 或更新评估报告。 中央企业督促指导所属企业履行属地数据安全风险评 估及评估报告报送要求，并将梳理汇总的企业集团本部、所 属公司的评估报告报送工业和信息化部。 根据工作需要，地方行业监管部门将本地区本领域重要 数据和核心数据处理者的评估报告报送工业和信息化部备 案。 第十一条【报告审核】行业监管部门根据管理需要，可 以自行或委托专业机构对评估报告进行审核，发现不符合国 家及行业有关规定和标准的，通知重要数据和核心数据处理 -4- 者改正。 涉及跨境提供、转移、委托处理重要数据和核心数据的， 或者跨主体提供、转移、委托处理核心数据的，地方行业监 管部门对评估报告审查后，报工业和信息化部。工业和信息 化部按照国家有关规定进行复核。 第十二条【评估机构认定】鼓励具有工业和信息化领域 数据安全工作经验的认证机构开展第三方评估机构的能力 认证。 相关认证机构配备相应的人员和技术保障能力，建立第 三方评估机构能力评定制度，明确第三方评估机构在管理体 系、人员能力、工具设施、评估领域等方面的规范要求，跟 踪管理第三方评估机构的服务质量，督促第三方评估机构独 立、公正、客观、科学的开展数据安全风险评估工作。 第十三条【评估机构义务】第三方评估机构应当履行下 列义务： （一）对评估工作中知悉的国家秘密、重要数据和核心 数据的目录与内容、商业秘密、个人隐私等严格保密； （二）严格按照国家法律法规、行业监管部门有关规定 以及评估标准，公正、独立地开展评估并出具评估报告，全 面、准确地反映重要数据和核心数据处理者的数据安全风险 状况，提供务实有效的风险整改建议措施； （三）除重要数据和核心数据处理者明确同意或者法 -5- 律、行政法规另有规定外，不得向其他组织或个人提供其收 集掌握的技术保护措施、关键岗位人员和安全风险等相关信 息。 第十四条【监督检查】工业和信息化部根据技术能力、 人员配备、信誉资质等情况，择优遴选通过能力评定的第三 方评估机构，建立工业和信息化领域数据安全风险评估支撑 机构库。地方行业监管部门可以参照建立本地区数据安全风 险评估支撑机构库。 行业监管部门根据工作需要，可以自行或委托数据安全 风险评估支撑机构库中的机构，对重要数据和核心数据处理 者的数据处理活动开展专项风险评估，或对重要数据和核心 数据处理者的风险评估工作落实情况进行监督检查。 重要数据和核心数据处理者对行业监管部门开展的专 项风险评估及监督检查予以配合，并对评估发现的相关问题 及时进行改正。 第十五条【机构监管】行业监管部门对于违反国家认证 认可相关规定的认证机构，将相关线索移交市场监督管理部 门处理。 行业监管部门对第三方评估机构的评估活动进行监督 管理，对违反法律法规、未按行业规定和标准开展评估活动、 未履行保密义务的第三方评估机构，视情按照规定权限和程 序进行约谈、通报或指导相关认证机构撤销认证。 -6- 第十六条【保密要求】行业监管部门及委托支撑机构的 工作人员对在履行职责中知悉的国家秘密、商业秘密、个人 信息、评估工作信息等，负有保密义务。 第十七条【其他规定参照】涉及军事、国家秘密信息等 数据处理活动，按照国家有关规定执行。 -7-