2023年12月16日,工业和信息化部(MIIT)周五公布了一份建议草案,详细说明了为贯彻落实《資料安全法》《工业和信息化领域数据安全管理办法(试行)》的计划。
工信部表示:
这项工作旨在 “提高数据安全事件的综合应对能力,确保及时有效地控制、减轻和消除資料安全事件造成的危害和损失,保护个人和组织的合法权益,维护国家安全和公共利益。”
这份长达 25 页的文件涵盖了所有数据被非法访问、泄露、破坏或篡改的事件,并根据造成危害的范围和程度将其分为四个等级:
红色:特别重大,适用于大面积停机、业务处理能力严重丧失、严重异常情况导致中断超过 24 小时、发生重大无线电干扰超过 24 小时、经济损失 10 亿元,或影响 1 亿多人的個人資訊或 1000 多万人的敏感个人信息。
橙色:重大,适用于停机和运行中断 12 小时以上,发生重大无线电干扰 12 小时以上,经济损失 1 亿元至 10 亿元,或影响 1000 万人以上的个人信息或 100 万人以上的敏感个人信息。
黄色:较大,适用于业务中断时间超过 8 小时,发生重大无线电干扰超过 8 小时,经济损失在 5000 万元至 1 亿元之间,或影响 100 万人以上的个人信息或 10 万人以上的敏感个人信息。
蓝色:一般,适用于造成运营中断时间少于 8 小时、经济损失少于 5000 万元,或影响到少于 100 万人的个人信息或少于 10 万人的敏感个人信息的轻微事件。
新规定还要求受影响的公司对事件的严重程度进行评估,如果认为严重,应立即向当地行业监管部门报告。
地方行业监管部门初步判定为特别重大、重大資料安全事件的,应当按照发现事件后10分钟电话报告、30 分钟书面报告的要求向机制办公室报告。规则草案规定。
根据启动的响应级别(红色或橙色),机制办公室应向工信部报告。
规则草案公开征求公众意见,截止日期为 2024 年 1 月 15 日。
分析
工业与信息化部的这一举措表明,它正致力于加强数据安全保护。工业和信息化领域数据安全管理办法(试行)将使政府能够更有效地应对数据安全事件,并确保个人和组织的个人資訊安全。
该标准规范的具体实施细则将在征求公众意见后确定。然而,从目前的草案来看,该系统具有以下几个特点:
分级分类:根据事件造成的危害范围和程度将其分为四个等级,这将有助于政府制定针对性的应对措施。
及时报告:受影响的公司应立即向当地行业监管部门报告数据安全事件,这将有助于政府尽早掌握事件情况并采取行动。
政府主导:由政府成立的机制办公室将负责协调各方力量应对数据安全事件,这将有助于确保应对工作的顺利进行。
总体而言,工业和信息化部的这一举措是积极的,将有助于提高数据安全水平。
官方参考:
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_7c903aac87514e26b2dbbc42f5e60347.html
原创文章,作者:SnowFlake,如若转载,请注明出处:https://www.cncso.com/tw/miit-releases-data-security-incident-emergency-plan.html
