背景

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,加强工业和信息化领域数据安全风险防范和处置,按照国家数据安全工作协调机制有关要求,工信部组织开展2024年“数安护航”专项行动,要求参与本年度“数安护航”专项行动的工业领域企业应依照《工业领域数据安全风险排查和防范指导手册(2024版)》(以下简称“指导手册”),开展数据安全风险自查评估。

本文将结合指导手册要求,介绍工业领域企业如何开展数据安全风险自查评估,形成自查报告。

一、指导手册主要内容

指导手册围绕数据安全防护能力薄弱引发的风险数据处理人员违规操作引发的风险两大方面,共列出了工业领域企业数据安全7项重点风险,并就每项风险对应的排查方式与防范措施做了详尽的介绍。指导手册主要内容框架如下图所示:

指导手册就上述各项风险给出了详细、具体的排查方式和防范措施,是企业开展数据安全风险自查评估工作的重要参考资料。为确保自查评估工作的高效、有序推进,企业可将自查评估工作按照流程顺序分为自查准备、自查实施、自查报告三个阶段,具体可参考下表:

二、自查准备阶段

 01  系统平台范围

企业应当重点自查的系统平台范围包括:

1.处理重要数据和核心数据的系统平台;

2.集中处理大量数据(含个人信息)的系统平台;

3.存在技术服务外包情况的平台。

 02  数据处理人员范围

数据处理人员的范围应当包括:

1.重要数据和核心数据处理活动所涉及的操作人员;

2.技术服务外包场景下可能涉及的供应商人员。

企业可以通过各部门梳理相关数据处理活动涉及的岗位职责人员及相应操作权限,形成重要数据和核心数据处理操作人员清单,重点自查与防范数据处理人员违规操作引发的风险。

 03  制度和技术措施

企业应当提前梳理好与数据安全相关的制度文件,包括工作流程中可能涉及到的记录文件、表格工具等。此外,企业负责自查工作小组人员还可以提前了解熟悉数据处理流程中所涉及的相关安全技术措施,以及历史发生过数据安全事件的系统或数据处理环节,可视情况将其一并纳入自查范围或作为重点自查内容。

三、自查实施阶段

本次工业领域的“数安护航”专项行动中有关数据安全风险自查评估工作具有高度针对性,监管集中关注企业在数据安全高风险领域的风险排查和管控情况,故指导手册是开展自查工作的重要依据。除此之外企业还可参考《网络安全法》《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》等法律法规及其他标准的要求。

就具体实施而言,建议企业可对指导手册中对各项风险的排查方式及防范措施进行拆分,形成具体的自查要点,并制作形成自查矩阵;自查矩阵形成后,可采取包括文件审查、日志分析、技术检查(如系统演示、穿行测试、技术验证)等方法逐项开展自查评估。

自查矩阵中可包括以下要素:风险点内容、自查项、自查要点、自查结果、自查评价,在自查结果中描述企业目前针对自查要点中所述要求的落实情况;在自查评价中,具体描述是否发现相关风险,若有,则应进一步对相关风险内容进行描述和分析。下列样表可供参考:

四、自查报告阶段

根据本年度工信部“数安护航”文件附件有关内容,《数据安全风险自查报告》的框架与内容如下:

随报告一同附上的,还有《排查的系统平台情况表》《排查的风险信息表》,这两张表根据风险自查工作开展的实际情况,据实填写即可。

(来源:赛博研究院)