国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》
国家互联网信息办公室于12月6日就《网络数据安全风险评估办法(征求意见稿)》公开征求意见,旨在规范网络数据安全风险评估活动,保障网络数据安全,并促进网络数据依法合理有效利用。
根据《征求意见稿》,重要数据处理者需每年对其网络数据处理活动开展风险评估,若重要数据安全状态发生重大变化可能对数据安全造成不利影响时,应及时对变化及其影响的部分开展风险评估。同时,鼓励一般数据处理者至少每3年开展一次风险评估。
主要内容
《征求意见稿》明确了网络数据安全风险评估的定义,即对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。国家网信部门负责统筹各地区、各部门开展风险评估,加强工作协调和信息共享。
各有关主管部门应按照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织开展本行业、本领域风险评估,并可对重要数据处理者开展风险评估情况进行检查,每年1月底前向国家网信部门报送年度风险评估及检查计划。
风险评估工作应按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》(GB/T 45577)等有关国家标准开展。网络数据处理者可以自行或委托第三方评估机构开展风险评估,且应优先选择通过认证的评估机构。
评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通报网络数据处理者,并按照有关规定向省级以上网信部门、有关主管部门报告。
重要数据处理者应在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。省级以上网信部门和有关部门可对网络数据处理者的评估报告真实性、准确性进行抽查核验。
若网络数据处理者未按规定开展风险评估,省级以上网信部门和有关部门将依据《中华人民共和国数据安全法》等法律法规予以处置处罚。
风险评估报告要求
风险评估报告至少保存3年。重要数据处理者应按照本办法附件模板编制评估报告,一般数据处理者可以参照编制。
| 报告要求 | 重要数据处理者应在年度风险评估完成后的10个工作日内报送评估报告。 |
|---|---|
| 保存期限 | 风险评估报告至少保存3年。 |
《征求意见稿》还规定了风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合时,相关结果可以互相采信,避免重复评估、审计、认证。
