近日�����,工業和信息化部印發《工業和信息化領域數據安全事件應急預案(試行)》(工信部網安〔2024〕214號)(以下簡稱《應急預案》)。現就《應急預案》重點問題回應如下:
一��、《應急預案》出臺的背景和目的是什么?
當前��,數據已成為數字經濟時代最為活躍的新型生產要素。隨著數字化轉型步伐加快�����,新型工業化發展加速推進����,數據規模急劇增長����,數據流動情況愈發頻繁復雜�����,伴隨而來的數據安全風險事件時有發生�����,亟需加快構建數據安全事件應急管理體系�����,提升事件處置水平�����。為貫徹落實《數據安全法》《網絡數據安全管理條例》《工業和信息化領域數據安全管理辦法(試行)》等法律政策關于應急處置的相關要求,加快推動工業和信息化領域數據安全應急處置工作制度化���、規范化開展,我部研究制定了《應急預案》���。一是構建工業和信息化領域數據安全事件應急處置工作組織體系�����,明確工業和信息化部����、地方行業監管部門�、數據處理者���、應急支撐機構等各方職責范圍,建立權責一致的工作機制�。二是細化數據安全事件應急處置事前�����、事中、事后全流程各環節要求�����,提出分級預警、響應��、處置����、上報等各類機制����,建立銜接有序、高效運行的工作閉環����。三是根據數據安全事件應急處置工作的需要�,明確相關預防措施和保障措施��。
二、《應急預案》的定位和主要內容是什么����?
《應急預案》作為工業和信息化領域數據安全事件處置工作的指導性政策文件�,正文共八章四十條�,重點明確了以下八方面內容:一是界定《應急預案》適用范圍���,明確了數據安全事件以及事件分級的相關概念定義�;二是明確了工業和信息化領域數據安全應急處置工作的組織體系,規定了領導機構�、辦事機構����、地方行業監管部門��、數據處理者�����、應急支撐機構等單位的構成及職責;三是明確了開展數據安全風險監測預警工作的具體流程和要求����;四是明確了不同級別數據安全事件應急處置工作的具體流程和要求�����;五是規定了重大及以上數據安全事件應急工作結束后�,地方行業監管部門和數據處理者的具體工作要求��;六是提出預防保護、應急演練�、宣傳培訓����、手段建設�����、重大活動期間保障共五項預防措施;七是提出落實責任���、獎懲問責���、經費保障、工作協同�����、物資保障、國際合作����、保密管理共七項保障措施;八是規定了應急預案修訂原則和排除條款等要求��。此外��,《應急預案》在附件中還細化了數據安全事件分級方法�����、事件上報模板����、事件總結報告模板、應急處置流程圖等內容��,為各方開展應急處置工作提供細化實操指導����。
三、《應急預案》明確了怎樣的職責分工��?
《應急預案》明確了“工業和信息化部�����、地方行業監管部門、數據處理者����、應急支撐機構”等各類主體的職責分工����。其中,工業和信息化部職責主要由工業和信息化部網絡安全和信息化領導小組及工業和信息化領域數據安全工作機制承擔�����,具體為工業和信息化部網絡安全和信息化領導小組統一領導數據安全事件應急管理工作����,負責特別重大數據安全事件的統一指揮和協調。工業和信息化領域數據安全工作機制(具體工作由工業和信息化部網絡安全管理局牽頭承擔)負責統籌開展工業和信息化領域數據安全應急處置工作���;及時向部網信領導小組報告數據安全事件情況����,提出特別重大數據安全事件應對措施建議���;負責重大數據安全事件的統一指揮和協調處置��;根據需要協調較大����、一般數據安全事件應急處置工作。
地方行業監管部門主要包括各省���、自治區�����、直轄市及計劃單列市�����、新疆生產建設兵團工業和信息化主管部門�����,各省����、自治區、直轄市通信管理局和無線電管理機構�����,負責組織開展本地區本領域數據安全事件應急處置工作����,結合實際根據本預案分別制定本地區本領域數據安全事件應急預案。
數據處理者負責本單位數據安全事件預防����、監測���、應急處置��、報告等工作���,應當根據應對數據安全事件的需要,制定本單位數據安全事件應急預案�。其中,中央企業應當督促指導所屬企業在數據安全事件應急處置工作中履行屬地管理要求����,并負責全面梳理匯總企業集團本部、所屬企業的數據安全事件應急處置相關情況�����,按要求及時報送工業和信息化部。
應急支撐機構負責數據安全事件預防保護�����、監測預警�、應急處置、攻擊溯源等工作���。
四���、數據處理者如何按照《應急預案》開展事件預警監測工作?
按照《應急預案》���,工業和信息化領域數據處理者應當根據《工業和信息化領域數據安全管理辦法(試行)》��、工業和信息化領域數據安全風險信息報送與共享等要求��,加強數據安全風險監測�����、研判和上報�����,分析相關風險發生數據安全事件的可能性及其可能造成的影響����,認為可能發生較大及以上數據安全事件的,應當立即向地方行業監管部門報告��。
五�����、數據處理者如何按照《應急預案》開展應急處置工作�����?
工業和信息化領域數據處理者應當按照《應急預案》����,有序開展事件處置:一是先行處置和報告�。一旦發現數據安全事件,數據處理者應當立即根據數據安全事件對國家安全��、企業網絡設施和信息系統、生產運營��、經濟運行等造成的影響范圍和危害程度��,判定數據安全事件級別(包括特別重大����、重大、較大和一般四個級別)���。對自判為較大及以上事件的���,應當立即向地方行業監管部門報告。二是啟動應急響應�。發現數據安全事件后,涉事數據處理者立即進入應急狀態�,根據事件級別分別采取相應的處置措施,開展數據恢復或追溯工作�����。同時����,持續加強監測分析����,跟蹤事態發展�����,評估影響范圍和事件原因�����,進一步采取有效整改處置措施�����,及時匯報工作進展和處置情況����。三是事件總結上報。重大及以上數據安全事件應急處置工作結束后����,涉事數據處理者應當及時調查事件的起因����、經過���、責任,評估事件造成的影響和損失��,總結事件防范和應急處置工作的經驗教訓���,提出處理意見和改進措施�����,形成總結報告報地方行業監管部門��。
六���、下一步如何推進相關工作?
《應急預案》發布后�����,工業和信息化部將從宣貫培訓�、引導支持、監督檢查等方面抓好落實:一是加強宣貫培訓���。對《應急預案》的重點內容進行全面深入系統解讀��,指導行業數據處理者準確理解�、認真落實相關要求,提升數據安全事件應急意識和能力���,營造“個個講安全����、人人會應急”的良好氛圍�����。二是加強引導支持�����。鼓勵各單位創新工作模式�、加大工作支持,及時總結推廣在《應急預案》落地實施過程中的優秀經驗做法����,形成示范帶動效應。組織開展行業數據安全事件應急演練等工作�,鍛煉提升應急處置實戰水平�����。三是加強監督檢查。指導各有關單位根據應對數據安全事件的需要�����,細化制定本單位應急預案�����,加強責任落實�����。通過專項行動�����、監督檢查等方式���,對工作落實不到位的單位加強督導落實���,對表現突出的予以表揚激勵。
