2023年12月14日,为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全事件应急预案(试行)》。
数据安全应急处置是做好数据安全监管和保护工作的重要一环。《数据安全法》明确“国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息”。《管理办法》提出“工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作”。为进一步细化行业数据安全事件应急处置流程、机制和要求,指导各方规范化开展应急处置工作,有效提升数据安全事件应急处置水平,我们研究起草了《应急预案》。
《应急预案》共八章三十九条,主要内容包括:
(一)关于总则(第 1.1 至 1.6 节)。一是明确编制目的、依据和适用范围。二是明确事件定义和分级方法。三是提出应急处置工作应当坚持统一领导、分级负责等原则。
(二)关于组织体系(第 2.1 至 2.4 节)。明确工业和信息化部、地方行业主管部门、数据处理者、应急支撑机构以及专家组的工作职责,建立统一指挥、协同配合工作机制。
(三)关于监测与预警(第 3.1 至 3.5 节)。一是建立数据安全风险监测发现、研判分析以及报告机制。二是按照紧急程度、发展态势、数据规模、关联影响和现实危害等,明确数据安全风险预警等级。三是规定预警信息发布、响应以及解除等方面具体措施要求。
(四)关于事件应急响处置(第 4.1 至 5.2 节)。一是事前建立数据安全事件监测和报告机制,明确数据处理者应急处置要求。二是事中按照事件级别和响应等级,明确数据安全事件应急处置采取的措施和具体要求。三是事后加强总结,明确涉事数据处理者应当评估形成总结报告。
(五)关于预防措施(第 6.1 至 6.5 节)。一是提出预防保护、应急演练、宣传培训、手段建设等措施,提升日常数据安全意识和防护、应对能力。二是明确要加强国家重大活动期间数据安全风险监测、威胁研判和事件处置,强化风险防范与应对措施。
(六)关于保障措施(第 7.1 至 7.7 节)。提出落实责任、奖惩问责、经费保障、队伍建设、工作协同、物资保障、国际合作等有关保障措施要求,提升工业和信息化领域数据安全事件综合应对能力。
现向社会公开征求意见,如有意见或建议,请于2024年1月15日前反馈。请在信封上注明“《工业和信息化领域数据安全事件应急预案(试行)》(征求意见稿)意见反馈”。
传真:010-66069561
邮箱:zhanghong@miit.gov.cn
地址:北京市西城区西长安街13号工业和信息化部网络安全管理局(邮编:100804)
下载附件:
1. 工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)
2. 起草说明
一条评论