欢迎您访问河南省工业信息安全产业发展联盟网站!
联盟公众号
工信部印发《工业和信息化领域数据安全事件应急预案(试行)》(附全文)

工业和信息化部关于印发《工业和信息化领域数据安全事件应急预案(试行)》的通知

各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,青海、宁夏无线电管理机构,部属各单位,部属各高校,各有关企业:

现将《工业和信息化领域数据安全事件应急预案(试行)》印发给你们,请认真遵照执行。

工业和信息化部

2024年10月29日

《工业和信息化领域数据安全事件应急预案(试行)》重点问题回应

近日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》(工信部网安〔2024〕214号)(以下简称《应急预案》)。现就《应急预案》重点问题回应如下:

一、《应急预案》出台的背景和目的是什么?

当前,数据已成为数字经济时代最为活跃的新型生产要素。随着数字化转型步伐加快,新型工业化发展加速推进,数据规模急剧增长,数据流动情况愈发频繁复杂,伴随而来的数据安全风险事件时有发生,亟需加快构建数据安全事件应急管理体系,提升事件处置水平。为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策关于应急处置的相关要求,加快推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,我部研究制定了《应急预案》。一是构建工业和信息化领域数据安全事件应急处置工作组织体系,明确工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构等各方职责范围,建立权责一致的工作机制。二是细化数据安全事件应急处置事前、事中、事后全流程各环节要求,提出分级预警、响应、处置、上报等各类机制,建立衔接有序、高效运行的工作闭环。三是根据数据安全事件应急处置工作的需要,明确相关预防措施和保障措施。

二、《应急预案》的定位和主要内容是什么?

《应急预案》作为工业和信息化领域数据安全事件处置工作的指导性政策文件,正文共八章四十条,重点明确了以下八方面内容:一是界定《应急预案》适用范围,明确了数据安全事件以及事件分级的相关概念定义;二是明确了工业和信息化领域数据安全应急处置工作的组织体系,规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责;三是明确了开展数据安全风险监测预警工作的具体流程和要求;四是明确了不同级别数据安全事件应急处置工作的具体流程和要求;五是规定了重大及以上数据安全事件应急工作结束后,地方行业监管部门和数据处理者的具体工作要求;六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施;七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施;八是规定了应急预案修订原则和排除条款等要求。此外,《应急预案》在附件中还细化了数据安全事件分级方法、事件上报模板、事件总结报告模板、应急处置流程图等内容,为各方开展应急处置工作提供细化实操指导。

三、《应急预案》明确了怎样的职责分工?

《应急预案》明确了“工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构”等各类主体的职责分工。其中,工业和信息化部职责主要由工业和信息化部网络安全和信息化领导小组及工业和信息化领域数据安全工作机制承担,具体为工业和信息化部网络安全和信息化领导小组统一领导数据安全事件应急管理工作,负责特别重大数据安全事件的统一指挥和协调。工业和信息化领域数据安全工作机制(具体工作由工业和信息化部网络安全管理局牵头承担)负责统筹开展工业和信息化领域数据安全应急处置工作;及时向部网信领导小组报告数据安全事件情况,提出特别重大数据安全事件应对措施建议;负责重大数据安全事件的统一指挥和协调处置;根据需要协调较大、一般数据安全事件应急处置工作。

地方行业监管部门主要包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,负责组织开展本地区本领域数据安全事件应急处置工作,结合实际根据本预案分别制定本地区本领域数据安全事件应急预案。

数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作,应当根据应对数据安全事件的需要,制定本单位数据安全事件应急预案。其中,中央企业应当督促指导所属企业在数据安全事件应急处置工作中履行属地管理要求,并负责全面梳理汇总企业集团本部、所属企业的数据安全事件应急处置相关情况,按要求及时报送工业和信息化部。

应急支撑机构负责数据安全事件预防保护、监测预警、应急处置、攻击溯源等工作。

四、数据处理者如何按照《应急预案》开展事件预警监测工作?

按照《应急预案》,工业和信息化领域数据处理者应当根据《工业和信息化领域数据安全管理办法(试行)》、工业和信息化领域数据安全风险信息报送与共享等要求,加强数据安全风险监测、研判和上报,分析相关风险发生数据安全事件的可能性及其可能造成的影响,认为可能发生较大及以上数据安全事件的,应当立即向地方行业监管部门报告。

五、数据处理者如何按照《应急预案》开展应急处置工作?

工业和信息化领域数据处理者应当按照《应急预案》,有序开展事件处置:一是先行处置和报告。一旦发现数据安全事件,数据处理者应当立即根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,判定数据安全事件级别(包括特别重大、重大、较大和一般四个级别)。对自判为较大及以上事件的,应当立即向地方行业监管部门报告。二是启动应急响应。发现数据安全事件后,涉事数据处理者立即进入应急状态,根据事件级别分别采取相应的处置措施,开展数据恢复或追溯工作。同时,持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,进一步采取有效整改处置措施,及时汇报工作进展和处置情况。三是事件总结上报。重大及以上数据安全事件应急处置工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训,提出处理意见和改进措施,形成总结报告报地方行业监管部门。

六、下一步如何推进相关工作?

《应急预案》发布后,工业和信息化部将从宣贯培训、引导支持、监督检查等方面抓好落实:一是加强宣贯培训。对《应急预案》的重点内容进行全面深入系统解读,指导行业数据处理者准确理解、认真落实相关要求,提升数据安全事件应急意识和能力,营造“个个讲安全、人人会应急”的良好氛围。二是加强引导支持。鼓励各单位创新工作模式、加大工作支持,及时总结推广在《应急预案》落地实施过程中的优秀经验做法,形成示范带动效应。组织开展行业数据安全事件应急演练等工作,锻炼提升应急处置实战水平。三是加强监督检查。指导各有关单位根据应对数据安全事件的需要,细化制定本单位应急预案,加强责任落实。通过专项行动、监督检查等方式,对工作落实不到位的单位加强督导落实,对表现突出的予以表扬激励。

附全文:

《工业和信息化领域数据安全事件应急预案(试行)》

1. 总则

1.1 编制目的

建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人、组织的合法权益,维护国家安全和公共利益。

1.2 编制依据

《中华人民共和国突发事件应对法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规和《工业和信息化领域数据安全管理办法(试行)》等相关政策制度。

1.3 适用范围

在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动,应当遵守相关法律、行政法规和本预案的要求。

工业和信息化部对重大活动期间数据安全事件应急处置工作另有规定的,从其规定。

1.4 事件定义

本预案所称数据安全事件,是指数据遭篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成危害的事件。

1.5 事件分级

根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安 全事件分为特别重大、重大、较大和一般四个级别(见附件 1)。

1.6 工作原则

数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。坚持充分发挥各方面力量,共同做好数据安全事件应急处置工作。

2. 组织体系

2.1 领导机构与职责

在国家数据安全工作协调机制统筹协调下,工业和信息化部网络安全和信息化领导小组(以下简称部网信领导小组)统一领导数据安全事件应急管理工作,负责特别重大数据安全事件的统一指挥和协调。

2.2 办事机构与职责

在部网信领导小组统一领导下,工业和信息化领域数据安全工作机制(以下简称数据安全机制)负责统筹开展工业和信息化领域数据安全应急处置工作;及时向部网信领导小组报告数据安全事件情况,提出特别重大数据安全事件应对措施建议;负责重大数据安全事件的统一指挥和协调处置;根据需要协调较大、一般数据安全事件应急处置工作。

数据安全机制具体工作由工业和信息化部网络安全管理局牵头承担。

2.3 地方和数据处理者职责

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)负责组织开展本地区本领域数据安全事件应急处置工作,结合实际根据本预案分别制定本地区本领域数据安全事件应急预案。

工业和信息化领域数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作,应当根据应对数据安全事件的需要,制定本单位数据安全事件应急预案。

中央企业应当督促指导所属企业在数据安全事件应急处置工作中履行属地管理要求,并负责全面梳理汇总企业集团本部、所属企业的数据安全事件应急处置相关情况,按要求及时报送工业和信息化部。

2.4 应急支撑机构与职责

工业和信息化部及地方行业监管部门(以下统称行业监管部门)根据需要遴选部级与属地两级专业数据安全应急支撑机构,负责开展数据安全事件预防保护、监测预警、应急处置、攻击溯源等工作。

2.5 协同联动

行业监管部门按照有关法律、行政法规,与有关部门加强协同联动,依法配合有关部门开展数据安全事件应急处置工作。

3. 监测与预警

3.1 预警监测和报告

地方行业监管部门、工业和信息化领域数据处理者、数据安全应急支撑机构应当按照《工业和信息化领域数据安全管理办法(试行)》、工业和信息化领域数据安全风险信息报送与共享等要求,加强数据安全风险监测、研判和上报,分析相关风险发生数据安全事件的可能性及其可能造成的影响。

地方行业监管部门认为可能发生重大及以上数据安全事件的,应当立即上报数据安全机制。

工业和信息化领域数据处理者、数据安全应急支撑机构认为可能发生较大及以上数据安全事件的,应当立即向地方行业监管部门报告(模板见附件 2)。

3.2 预警分级

工业和信息化部统筹建立数据安全风险预警机制,根据紧急程度、发展态势、数据规模、关联影响和现实危害等,将数据安全风险预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般数据安全事件。

行业监管部门及时汇总分析数据安全风险和预警信息,必要时组织数据安全应急支撑机构、专家、相关企业进行会商谈判,明确预警等级。

3.3 预警发布

认为需要发布红色、橙色预警的,由数据安全机制报部网信领导小组同意后统一发布,红色预警同步报国家数据安全工作协调机制办公室;认为需要发布黄色和蓝色预警的,由相关地方行业监管部门在本地区本领域内发布。

发布预警信息时,应当包括预警等级、起始时间、可能的影响范围和造成的危害、警示事项、应采取的防范措施、处置时限要求、发布范围和发布机关等。

3.4 预警响应

发布黄色和蓝色预警后,地方行业监管部门应当针对即将发生的数据安全事件特点和可能造成的危害,采取下列措施:

(1) 要求涉及预警信息的数据处理者及时收集、报告有 关信息,加强数据安全风险监测;

(2) 组织数据安全应急支撑机构加强预警信息分析评估与事态跟踪,密切关注事态发展,提出下步工作措施;

(3) 组织专家加强风险研判及原因、影响等分析,提出 应急处置方法和整改措施建议。

发布红色和橙色预警后,数据安全机制除采取黄色和蓝色预警响应措施外,还应当针对即将发生的数据安全事件特点和可能造成的危害,采取下列措施:

(1) 要求地方行业监管部门、涉及预警信息的数据处理 者等相关单位加强值班值守,相关人员保持通信联络畅通;

(2) 组织研究制定防范措施和应急工作方案,组织专家 会商研提意见,协调各方资源,做好各项准备工作;

(3) 要求相关数据安全应急支撑机构进入待命状态,针 对预警信息研究制定应对方案,检查应急设备、软件工具等使用情况,确保处于良好状态。

3.5 预警调整和解除

数据安全机制、地方行业监管部门发布预警后,应当根据事态发展,适时调整预警级别并按照权限重新发布。经研判不可能发生事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关预警响应措施。

4. 事件响应

4.1 响应分级

数据安全事件应急响应分为四级:I 级、II 级、III 级、IV级,分别对应发生特别重大、重大、较大、一般数据安全事件的应急响应。

4.2 事件监测和报告

工业和信息化领域数据处理者一旦发现数据安全事件,应当立即先行判断,对自判为较大及以上事件的,应当立即向地方行业监管部门报告,不得迟报、谎报、瞒报、漏报。

数据安全应急支撑机构应当通过多种途径监测、收集数据安全事件信息,及时向行业监管部门报告。

地方行业监管部门初步研判为特别重大、重大数据安全事件的,应当在发现事件后按照“电话 10 分钟、书面 30 分钟”的要求向数据安全机制报告。

数据安全机制按照有关规定将涉及重大及以上的数据安全事件报送国家数据安全工作协调机制办公室。

报告事件研判信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

4.3 先行处置

数据安全事件发生后,工业和信息化领域数据处理者应当立即启动应急响应工作,组织本单位应急队伍和工作人员采取应急处置措施,开展数据恢复或追溯工作,尽可能减少对用户和社会的影响,同时保存相关痕迹和证据。

4.4 应急响应

行业监管部门视情组织数据安全应急支撑机构、专家等进行研判,确定事件级别和响应等级,启动应急响应。

4.4.1 I 级响应

根据国家数据安全工作协调机制有关决定或经部网信领导小组批准后启动,由数据安全机制统一指挥、协调。

数据安全机制在发现事件后按照“电话 20 分钟、书面 40 分钟”的要求将事件情况向部网信领导小组报告;进入应急状态, 加强值班值守,相关人员保持联络畅通,相关单位派员参加数据安全机制工作;视情设立应急恢复、事件溯源、影响评估、信息发布、跨部门协调、国际协调等工作组;召开紧急会议, 听取各相关方面情况汇报,研究紧急应对措施,对应急处置工作进行决策部署,指导相关地方行业监管部门、数据处理者开展应对工作;视事件严重程度和涉事数据处理者整改处置情况, 评估是否开展现场检查。

地方行业监管部门立即启动本地区本领域数据安全事件应急预案,进入应急状态,加强值班值守,相关人员保持联络畅通,派员参加数据安全机制工作;加强事件跟踪监测、研判分析和排查处置,全面了解本地区本领域相关数据处理者受事件影响情况。

涉事数据处理者立即进入应急状态,数据安全第一责任人(本单位法定代表人或主要负责人)牵头组建事件应对工作专班,组织研究应对措施,统筹开展应急处置工作。数据安全直接责任人(本单位数据安全工作分管领导)对应急处置工作进行具体部署,组织专班加强值班值守,相关人员保持联络畅通;持续加强监测分析,跟踪事态发展,评估影响范围和事件原因, 采取有效整改处置措施,并及时汇报工作进展和处置情况。

相关部级与属地数据安全应急支撑机构进入应急状态,加强值班值守,相关人员保持联络畅通;持续加强监测分析,跟踪事态发展变化、处置进展情况,评估影响范围。

组织专家加强安全事件研判分析,配合开展会商研讨,提出应急处置决策建议。

4.4.2 II 级响应

由数据安全机制决定启动,并负责统一指挥、协调。

数据安全机制在发现事件后按照“电话 20 分钟、书面 40 分钟”的要求将事件情况向部网信领导小组报告;进入应急状态, 相关人员保持联络畅通,相关单位派员参加数据安全机制工作;召开紧急会议,听取各相关方面情况汇报,研究紧急应对措施, 对应急处置工作进行决策部署;视事件严重程度和涉事数据处理者整改处置情况,评估是否开展现场检查。

地方行业监管部门立即启动本地区本领域数据安全事件应急预案,进入应急状态,相关人员保持联络畅通,派员参加数据安全机制工作;加强事件跟踪监测、研判分析和排查处置,全面了解本地区本领域相关企业受事件影响情况。

涉事数据处理者立即进入应急状态,数据安全直接责任人牵头研究应对措施,统筹部署开展应急处置工作,相关人员保持联络畅通;持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,采取有效整改处置措施,并及时汇报工作进展和处置情况。

相关部级与属地数据安全应急支撑机构进入应急状态,相关人员保持联络畅通;持续加强监测分析,跟踪事态发展变化、处置进展情况,评估影响范围。

组织专家加强安全事件研判分析,配合开展会商研讨,提出应急处置决策建议。

4.4.3 III 级响应

由相关地方行业监管部门按照本地区本领域数据安全事件应急预案决定启动,并负责指挥、协调。

相关行业监管部门组织涉事数据处理者、数据安全应急支撑机构等加强事态跟踪研判、开展事件处置,及时将事件进展及重要情况报数据安全机制,通知可能受影响的其他区域做好数据安全应急处置工作。

涉事数据处理者持续开展监测分析,跟踪事态发展,评估影响范围和事件原因;加强相关业务系统应用安全加固措施, 提升数据安全防护能力,采取有效整改处置措施,并及时汇报工作进展和处置情况。

相关属地数据安全应急支撑机构持续加强监测分析,跟踪事态发展变化、处置进展情况,评估影响范围。

4.4.4 IV 级响应

涉事数据处理者应当按照行业数据安全保护相关政策标准及时采取有效措施处置事件,加强数据安全防护。

4.4.5 响应级别调整

涉事数据处理者可根据事态发展等情况,向属地行业监管部门申请调整事件响应级别。

地方行业监管部门根据涉事数据处理者的申请情况或者事态发展情况等,适时调整事件响应级别,涉及 I、II 级响应级别调整的应当报数据安全机制同意。

数据安全机制根据地方行业监管部门上报情况或者事态发展情况等,适时调整事件响应级别。

4.5 舆情监测

行业监管部门组织监测公开信息发布渠道,密切关注数据安全事件舆情信息,跟踪掌握事件影响程度和范围。

4.6 结束响应

事件的影响和危害得到控制或消除后,I 级响应应当根据国家数据安全工作协调机制有关决定或经部网信领导小组批准后结束;II 级响应由数据安全机制决定结束,并报部网信领导小组;III 级响应由相关地方行业监管部门决定结束,并报数据安全机制;IV 级响应由相关涉事数据处理者决定结束。

5. 事后总结

5.1 事件总结上报

重大及以上数据安全事件应急工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急工作结束后 5 个工作日内形成总结报告(模板见附件 3),报地方行业监管部门。地方行业监管部门汇总审核后,在应急工作结束后 10 个工作日内形成报告报送数据安全机制。

5.2 事件警示

行业监管部门应及时向社会发布与公众有关的警示信息, 引导做好数据安全风险防范。

6. 预防措施

6.1 预防保护

工业和信息化领域数据处理者应当根据有关法律法规和标准的规定,建立健全数据安全管理制度,建设数据安全应急技术手段,重要数据和核心数据处理者应当每年至少开展一次数据安全风险评估和自查自纠,及时消除风险隐患。

行业监管部门依法开展数据安全监督检查,指导督促相关单位消除风险隐患。

6.2 应急演练

行业监管部门应当定期组织开展数据安全事件应急演练, 提高数据安全事件应对能力。

工业和信息化领域数据处理者应当积极参与行业监管部门的应急演练,开展本单位数据安全事件应急演练,提高数据安全事件应对能力。重要数据和核心数据处理者应当加强应急演练。

6.3 宣传培训

行业监管部门应当组织开展数据安全事件应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关单位和社会公众的数据安全意识和防护、应急能力。

工业和信息化领域数据处理者应当面向本单位员工加强数据安全应急宣传教育和培训,鼓励开展各种形式的数据安全应急相关竞赛。

6.4 手段建设

工业和信息化部统筹建设工业和信息化领域数据安全监测预警与应急处置相关技术手段,对数据泄露、篡改、非法访问、违规传输、流量异常等安全风险和事件进行监测预警,并及时开展应急处置。

地方行业监管部门建立本地区本领域数据安全监测预警与应急处置能力,组织相关企业开展数据安全风险和事件监测预警工作,及时开展风险和事件应急处置。

工业和信息化领域数据处理者等单位应当开展数据安全风险和事件监测,积极配合行业监管部门开展数据安全风险监测和技术能力联动等工作,及时排查安全隐患,采取必要的措施防范、处置数据安全风险和事件。

6.5 重大活动期间的预防措施

在国家重大活动期间,行业监管部门组织指导数据处理者、数据安全应急支撑机构等加强数据安全风险监测、威胁研判和事件处置,强化风险防范与应对措施。相关重点单位、重点岗位加强值班值守。

7. 保障措施

7.1 落实责任

工业和信息化部加强数据安全事件应急处置工作督导和落实。地方行业监管部门、工业和信息化领域数据处理者、数据安全应急支撑机构应当把数据安全应急工作责任落实到单位负责人、具体部门、具体岗位和个人。

7.2 奖惩问责

工业和信息化部对数据安全事件应急处置工作中作出突出贡献的集体和个人给予表扬。

对未按照本预案开展数据安全事件应急处置工作的,行业监管部门依法依规对数据处理者进行约谈或给予行政处罚。

7.3 经费保障

行业监管部门、数据安全应急支撑机构等为数据安全事件应急处置工作提供必要的经费保障。

工业和信息化领域数据处理者应当安排必要的专项资金, 支持本单位数据安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。

7.4 工作协同

行业监管部门与其他相关部门加强沟通协调,支持相关企业、科研院所、高等学校开展应急技术攻关、产品服务和能力供给,培养数据安全应急技术人才,形成应急响应工作合力。

7.5 物资保障

行业监管部门和应急支撑机构应当加强对数据安全应急装备、工具的储备,及时调整、升级、优化软件硬件工具,不断增强应急技术支撑能力。

7.6 国际合作

工业和信息化部根据职责建立国际合作渠道,必要时通过国际合作应对数据安全事件。鼓励相关企业、科研院所、高等学校、工业和信息化领域数据处理者等开展数据安全国际交流与合作。

7.7 保密管理

行业监管部门、应急支撑机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。

8. 附则

8.1 预案修订

本预案原则上每年评估一次,根据实际情况由工业和信息化部适时进行修订。

8.2 排除条款

涉及军事、国家秘密信息等数据安全事件应急响应的,按照国家有关规定执行。

涉及国防科技工业、烟草领域数据安全事件应急响应的, 由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本预案另行制定。

涉及工业和信息化领域政务数据安全事件应急响应的,由工业和信息化部另行规定。

8.3 预案解释

本预案由工业和信息化部负责解释。

8.4 实施日期

本预案自 2024 年 11 月 1 日起实施。

来源:工业和信息化部网站