-1-工业和信息化领域数据安全风险评估实施细则（试行） 第一条根据《中华人民共和国数据安全法》《中华人民 共和国网络安全法》等法律，按照《工业和信息化领域数据 安全管理办法（试行）》有关要求，为引导工业和信息化领 域数据处理者规范开展数据安全风险评估工作，提升数据安 全管理水平，维护国家安全和发展利益，制定本细则。 第二条本细则适用于对中华人民共和国境内工业和信 息化领域重要数据和核心数据处理者数据处理活动开展的 数据安全风险评估。 第三条工业和信息化部统一管理、监督和指导工业和 信息化领域数据安全风险评估工作，组织开展相关评估标准 制修订及推广应用。 各省、自治区、直辖市及计划单列市、新疆生产建设兵 团工业和信息化主管部门，各省、自治区、直辖市通信管理 局和无线电管理机构（以下统称地方行业监管部门）依据职 责分别负责监督管理本地区工业、电信、无线电重要数据和 核心数据处理者开展数据安全风险评估工作。 工业和信息化部及地方行业监管部门统称为行业监管 部门。 第四条重要数据和核心数据处理者按照及时、客观、-2-有效的原则开展数据安全风险评估，形成真实、完整、准确 的评估报告，并对评估结果负责。 第五条重要数据和核心数据处理者按照国家法律法 规、行业监管部门有关规定以及评估标准，对数据处理活动 的目的和方式、业务场景、安全保障措施、风险影响等要素， 开展数据安全风险评估，重点评估以下内容： （一）数据处理目的、方式、范围是否合法、正当、必 要； （二）数据安全管理制度、流程策略的制定和落实情况； （三）数据安全组织架构、岗位配备和职责履行情况； （四）数据安全技术防护能力建设及应用情况； （五）数据处理活动相关人员是否熟悉数据安全相关政 策法规、是否具备数据安全知识技能、是否接受数据安全相 关教育培训等情况； （六）发生数据遭到篡改、破坏、泄露、丢失或者被非 法获取、非法利用等安全事件，对国家安全、公共利益的影 响范围、程度等风险； （七）涉及数据提供、委托处理、转移的，数据获取方 或受托方的安全保障能力、责任义务约束和履行情况； （八）涉及国家法律法规中规定需要申报的数据出境安 全评估情形，履行数据出境安全评估要求情况。 第六条重要数据和核心数据处理者每年至少开展一次-3-数据安全风险评估，评估结果有效期为一年，以评估报告首 次出具日期计算。评估报告应当包括数据处理者基本情况、 评估团队基本情况、重要数据的种类和数量、开展数据处理 活动的情况、数据安全风险评估环境，以及数据处理活动分 析、合规性评估、安全风险分析、评估结论及应对措施等。 在有效期内出现以下情形之一的，重要数据和核心数据 处理者应当及时对发生变化及其影响的部分开展风险评估： （一）新增跨主体提供、委托处理、转移核心数据的； （二）重要数据、核心数据安全状态发生变化对数据安 全造成不利影响的，包括但不限于数据处理目的、方式、适 用范围和安全制度策略等发生重大调整的； （三）发生涉及重要数据、核心数据的安全事件的； （四）重要数据和核心数据目录备案内容发生重大变化 的； （五）行业监管部门要求进行评估的其他情形。 第七条重要数据和核心数据处理者可以自行或者委托 具有工业和信息化数据安全工作能力的第三方评估机构开 展评估。评估过程应当建立至少包括组织管理、业务运营、 技术保障、安全合规等人员的专业化评估团队，制定完备的 评估工作方案，配备有效的技术评测工具。 第八条重要数据和核心数据处理者委托第三方评估机 构开展数据安全风险评估的，可以通过订立合同或者其他具-4-有法律效力的文件，明确双方的权利和责任，向第三方评估 机构提供必需的材料和条件，确保相关材料的真实性和完整 性，并确认评估结果。 第九条重要数据和核心数据处理者对评估中发现的数 据安全风险隐患，应当及时采取适当措施消除或降低风险隐 患。 第十条重要数据和核心数据处理者应当在评估工作完 成后的10个工作日内，向本地区行业监管部门报送评估报 告。 中央企业督促指导所属企业履行属地数据安全风险评 估及评估报告报送要求，并将梳理汇总的企业集团本部、所 属公司的评估报告报送工业和信息化部。 地方行业监管部门将本地区本领域重要数据和核心数 据处理者的评估结果报送工业和信息化部。 第十一条地方行业监管部门发现不符合法律法规和有 关规定的，应当及时通知重要数据和核心数据处理者依法予 以改正。地方行业监管部门于12月25日前，将本地区本年 度评估报告接收和审核情况报送工业和信息化部。工业和信 息化部视情对评估报告组织抽查审核。 涉及跨主体提供、转移、委托处理核心数据的，地方行 业监管部门应当在数据处理者提交评估报告的20个工作日 内完成审查，并报工业和信息化部按照国家有关规定进行复