工业和信息化领域数据安全风险评估实施细则（试行）

工业和信息化领域数据安全风险评估实施细则（试行）

第一条 根据《中华人民共和国数据安全法》《中华人民 共和国网络安全法》等法律，按照《工业和信息化领域数据 安全管理办法（试行）》有关要求，为引导工业和信息化领 域数据处理者规范开展数据安全风险评估工作，提升数据安 全管理水平，维护国家安全和发展利益，制定本细则。

第二条 本细则适用于对中华人民共和国境内工业和信 息化领域重要数据和核心数据处理者数据处理活动开展的 数据安全风险评估。

第三条 工业和信息化部统一管理、监督和指导工业和 信息化领域数据安全风险评估工作，组织开展相关评估标准 制修订及推广应用。

各省、 自治区、直辖市及计划单列市、新疆生产建设兵 团工业和信息化主管部门，各省、 自治区、直辖市通信管理 局和无线电管理机构（ 以下统称地方行业监管部门）依据职 责分别负责监督管理本地区工业、电信、无线电重要数据和 核心数据处理者开展数据安全风险评估工作。

工业和信息化部及地方行业监管部门统称为行业监管 部门。

第四条 重要数据和核心数据处理者按照及时、客观、

有效的原则开展数据安全风险评估，形成真实、完整、准确 的评估报告，并对评估结果负责。

第五条 重要数据和核心数据处理者按照国家法律法 规、行业监管部门有关规定以及评估标准，对数据处理活动 的目的和方式、业务场景、安全保障措施、风险影响等要素， 开展数据安全风险评估，重点评估以下内容：

（ 一）数据处理目的、方式、范围是否合法、正当、必 要；

（ 二）数据安全管理制度、流程策略的制定和落实情况；

（ 三）数据安全组织架构、 岗位配备和职责履行情况；

（ 四）数据安全技术防护能力建设及应用情况；

（ 五）数据处理活动相关人员是否熟悉数据安全相关政 策法规、是否具备数据安全知识技能、是否接受数据安全相 关教育培训等情况；

（ 六）发生数据遭到篡改、破坏、泄露、丢失或者被非 法获取、非法利用等安全事件，对国家安全、公共利益的影 响范围、程度等风险；

（七）涉及数据提供、委托处理、转移的，数据获取方 或受托方的安全保障能力、责任义务约束和履行情况；

（ 八）涉及国家法律法规中规定需要申报的数据出境安 全评估情形，履行数据出境安全评估要求情况。

第六条 重要数据和核心数据处理者每年至少开展一次

数据安全风险评估，评估结果有效期为一年， 以评估报告首 次出具日期计算。评估报告应当包括数据处理者基本情况、 评估团队基本情况、重要数据的种类和数量、开展数据处理 活动的情况、数据安全风险评估环境， 以及数据处理活动分 析、合规性评估、安全风险分析、评估结论及应对措施等。

在有效期内出现以下情形之一的，重要数据和核心数据 处理者应当及时对发生变化及其影响的部分开展风险评估：

（ 一）新增跨主体提供、委托处理、转移核心数据的；

（ 二）重要数据、核心数据安全状态发生变化对数据安 全造成不利影响的，包括但不限于数据处理目的、方式、适 用范围和安全制度策略等发生重大调整的；

（ 三）发生涉及重要数据、核心数据的安全事件的；

（ 四）重要数据和核心数据目录备案内容发生重大变化 的；

（ 五）行业监管部门要求进行评估的其他情形。

第七条 重要数据和核心数据处理者可以自行或者委托 具有工业和信息化数据安全工作能力的第三方评估机构开 展评估。评估过程应当建立至少包括组织管理、业务运营、 技术保障、安全合规等人员的专业化评估团队，制定完备的 评估工作方案，配备有效的技术评测工具。

第八条 重要数据和核心数据处理者委托第三方评估机 构开展数据安全风险评估的，可以通过订立合同或者其他具

有法律效力的文件，明确双方的权利和责任，向第三方评估 机构提供必需的材料和条件，确保相关材料的真实性和完整 性，并确认评估结果。

第九条 重要数据和核心数据处理者对评估中发现的数 据安全风险隐患，应当及时采取适当措施消除或降低风险隐 患。

第十条 重要数据和核心数据处理者应当在评估工作完 成后的 10 个工作日 内， 向本地区行业监管部门报送评估报告。

中央企业督促指导所属企业履行属地数据安全风险评 估及评估报告报送要求，并将梳理汇总的企业集团本部、所 属公司的评估报告报送工业和信息化部。

地方行业监管部门将本地区本领域重要数据和核心数 据处理者的评估结果报送工业和信息化部。

第十一条 地方行业监管部门发现不符合法律法规和有 关规定的，应当及时通知重要数据和核心数据处理者依法予 以改正。地方行业监管部门于 12 月 25  日前，将本地区本年 度评估报告接收和审核情况报送工业和信息化部。工业和信 息化部视情对评估报告组织抽查审核。

涉及跨主体提供、转移、委托处理核心数据的，地方行 业监管部门应当在数据处理者提交评估报告的20 个工作日 内完成审查，并报工业和信息化部按照国家有关规定进行复核。

第十二条 鼓励熟悉工业和信息化领域数据安全工作， 满足资质要求的认证机构开展第三方评估机构的能力认证。

相关认证机构配备相应的人员和技术保障能力，建立第 三方评估机构能力认证制度，明确第三方评估机构在管理体 系、人员能力、工具设施、评估领域等方面的规范要求，跟 踪管理第三方评估机构的服务质量，督促第三方评估机构独 立、公正、客观、科学地开展数据安全风险评估工作。

第十三条 第三方评估机构应当履行下列义务：

（ 一）对评估工作中知悉的国家秘密、重要数据和核心 数据的目录与内容、商业秘密、个人隐私， 以及与数据处理 者签署的保密协议中约定的保密信息等严格保密；

（ 二）严格按照国家法律法规、行业监管部门有关规定 以及评估标准，公正、独立地开展评估并出具评估报告，全 面、准确、客观地反映重要数据和核心数据处理者的数据安 全风险状况，提供务实有效的风险整改建议措施；

（ 三）除重要数据和核心数据处理者书面同意或者法 律、行政法规另有规定外，不得向其他组织或个人提供评估 中收集掌握的相关信息。

第十四条 工业和信息化部根据技术能力、人员配备、 信誉资质等情况，择优遴选通过能力认证的第三方评估机 构，建立工业和信息化领域数据安全风险评估支撑机构库。

地方行业监管部门可以参照建立本地区数据安全风险评估 支撑机构库。

行业监管部门根据工作需要，可以自行或组织数据安全 风险评估支撑机构库中的机构，对重要数据和核心数据处理 者的数据处理活动开展专项风险评估，或对重要数据和核心 数据处理者的风险评估工作落实情况进行监督检查。

重要数据和核心数据处理者对行业监管部门发起的专 项风险评估及监督检查应当予以配合，并对评估发现的相关 问题及时进行改正。

第十五条 行业监管部门对于违反国家认证认可相关规 定的认证机构，将相关线索移交市场监督管理部门处理。

行业监管部门对第三方评估机构的评估活动进行监督 管理，对违反法律法规、未按行业规定和标准开展评估活动、 未履行保密义务的第三方评估机构，视情按照规定权限和程 序进行约谈、通报，认证机构应根据通报信息，对不符合认 证要求的第三方评估机构依法暂停直至撤销其相应认证证 书。

第十六条 有违反本实施细则行为的， 由行业监管部门 按照相关法律法规，根据情节严重程度给予行政处罚；构成 犯罪的，依法追究刑事责任。

第十七条 行业监管部门及委托支撑机构的工作人员对 在履行职责中知悉的国家秘密、商业秘密、个人信息、评估

工作信息等，负有保密义务。

第十八条 对一般数据处理者数据处理活动开展的数据 安全风险评估可参照本细则实施。涉及军事、国家秘密信息 等数据处理活动，按照国家有关规定执行。

第十九条 本细则自 2024 年 6 月 1  日起施行。