>> 適用范圍

對中國境內(nèi)工信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動開展的數(shù)據(jù)安全風(fēng)險評估。

>> 工作原則

重要數(shù)據(jù)和核心數(shù)據(jù)處理者按照及時、客觀、有效的原則開展數(shù)據(jù)安全風(fēng)險評估，形成真實、完整、準(zhǔn)確的評估報告，并對評估結(jié)果負(fù)責(zé)。

>> 評估內(nèi)容

按照法律法規(guī)、行業(yè)規(guī)定及評估標(biāo)準(zhǔn)，對數(shù)據(jù)處理活動的目的和方式、業(yè)務(wù)場景、安全保障措施、風(fēng)險影響等要素，開展評估。

>> 評估報告

評估報告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評估團(tuán)隊基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動的情況、數(shù)據(jù)安全風(fēng)險評估環(huán)境，以及數(shù)據(jù)處理活動分析、合規(guī)性評估、安全風(fēng)險分析、評估結(jié)論及應(yīng)對措施等。

>> 對數(shù)據(jù)進(jìn)行分類分級，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機(jī)密數(shù)據(jù)，并且按照保密等級進(jìn)行分類，嚴(yán)格把控數(shù)據(jù)使用權(quán)限。以電信和互聯(lián)網(wǎng)領(lǐng)域為例，重要數(shù)據(jù)和核心數(shù)據(jù)的識別應(yīng)在國家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》基礎(chǔ)上，結(jié)合YD/T 3867-2024《電信領(lǐng)域重要數(shù)據(jù)識別指南（報批稿）》進(jìn)行綜合判定。

>> 對企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù)，防止數(shù)據(jù)被非正常獲取與使用。嚴(yán)格管控對外發(fā)送的數(shù)據(jù)，防止內(nèi)部員工進(jìn)行有意或無意的機(jī)密文件發(fā)送，避免數(shù)據(jù)外泄。

>> 針對研發(fā)設(shè)計、生產(chǎn)制造、運營維護(hù)、銷售營銷等業(yè)務(wù)部門，可以采用更靈活透明的加密技術(shù)，減少數(shù)據(jù)安全防護(hù)手段對日常工作效率的影響。部門相關(guān)人員對外提供的涉密文件還可以通過水印技術(shù)，記錄操作人員信息，在安全事故發(fā)生后第一時間鎖定泄密源頭，啟動應(yīng)急措施。

>> 對于聘請第三方評估團(tuán)隊的人員，在評估進(jìn)程中生成的數(shù)據(jù)和記錄等都是保密要求極高的核心數(shù)據(jù)。所以應(yīng)在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險管理要求，服務(wù)質(zhì)量考核評價，安全保密等內(nèi)容