12月13日,工业和信息化部发布了《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),旨在规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
根据《管理办法》,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。按照《管理办法》,工信部督促指导地方工信主管部门、地方通信管理局、地方无线电管理机构分别对工业数据、电信数据、无线电数据处理者实施数据处理活动和安全保护进行监督管理。内容主要包括数据分类分级管理,数据全生命周期安全管理,数据安全监测预警与应急管理,数据安全检测、认证、评估管理等。
《管理办法》要求实施数据分类分级管理。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。
《管理办法》要求建立数据全生命周期安全管理制度。围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。
《管理办法》要求建立数据安全风险监测机制。组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。