『工業・情報化分野のデータ安全リスク評価実施細則(試行)』
[要約]データ安全管理水準を引き上げ、国家の安全と発展の利益を守る
概 要
5月24日、工業・情報化部は「工業・情報化分野データ安全リスク評価実施細則(試行)」(以下、細則)を発表し、6月1日により施行した。
細則では、以下の内容を重点的に評価するとされている。1.データ処理の目的、方法、範囲の合法性、正当性、必要性。2.データセキュリティ管理制度、プロセスポリシーの制定と実行の状況。3.データセキュリティの組織構造、部署配置と職責履行の状況。4.データセキュリティ技術の防護の構築及び応用の状況、5.データ処理の関係者がデータセキュリティ関連の政策法規を熟知しているか、データセキュリティの知識・技能を備えているか、データセキュリティ関連の教育訓練を受けているかなどの状況。6.データが改ざん・破壊・漏洩・紛失され、或いは不法取得・不法利用されるなどの安全事件、国家安全・公共利益への影響範囲・程度などのリスク。7.データの提供、委託処理、移転に関わる場合、データ取得者或いは受託者の安全保障能力、責任義務の制約及び履行状況。8.国の法律・法規に申告が必要と規定されたデータの越境安全評価要求の履行状況。
細則は、原則として、重要なデータとコアデータの処理者が適時、客観的、効果的にデータ安全リスク評価を実施し、真実、完全、正確な評価報告書を作成し、評価結果に責任を負うとした。さらに、評価の中で発見されたデータセキュリティリスクについて、適時適切な措置を講じてリスクを移転又は低減しなければならない。
