工业和信息化领域数据安全风险信息报送与共享工作指引（试行）

为贯彻落实《中华人民共和国数据安全法》等法律法规，加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作，及时掌握工业和信息化领域数据安全整体态势，提高数据安全风险处置能力，工业和信息化部研究起草了《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）（征求意见稿）》（见附件），拟以规范性文件形式印发，现面向社会公开征求意见。

如有意见或建议，请于2022年1月22日前反馈。

传真：010-66069561

邮箱：zhanghong@miit.gov.cn

地址：北京市西城区西长安街13号工业和信息化部网络安全管理局（邮编：100804）。请在信封上注明“《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）（征求意见稿）》意见反馈”。

工业和信息化部

2021年12月22日

附件：

工业和信息化领域数据安全风险信息报送与共享工作指引（试行）

第一章 总则

第一条 为加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作，及时掌握工业和信息化领域数据安全整体态势，提高数据安全风险处置能力，根据《中华人民共和国数据安全法》等法律法规，制定本指引。

第二条 本指引所称数据安全风险信息，是指通过检测、评估、信息搜集、授权监测等手段获取的，包括但不限于数据泄 露、数据篡改、数据滥用、违规传输、非法访问、流量异常等 数据安全风险：

（一）数据泄露，包括但不限于数据被恶意获取，或者转 移、发布至不安全环境等相关风险；

（二）数据篡改，包括但不限于造成数据破坏的修改、增 加、删除等相关风险；

（三）数据滥用，包括但不限于数据超范围、超用途、超 时间使用等相关风险；

（四）违规传输，包括但不限于数据未按照有关规定擅自 进行传输等相关风险；

（五）非法访问，包括但不限于数据遭未授权访问等相关 风险；

（六）流量异常，包括但不限于数据流量规模异常、流量 内容异常等相关风险；

（七）其他信息，包括由相关政府部门组织授权监测的暴 露在互联网上的数据库、大数据平台等数据资产信息，以及有 关单位掌握的威胁数据安全的其他风险信息等。

第三条 本指引所称风险信息报送，是指有关单位向工业和信息化部、地方工业和信息化主管部门、地方通信管理局报送 数据安全风险信息的行为。

第四条 本指引所称风险信息共享，是指经工业和信息化部、地方工业和信息化主管部门、地方通信管理局审核、授权 后，向有关部门、单位告知风险提示的行为。

第五条 风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”的原则，不得迟报、瞒报、谎报。

第二章 组织机构及职责

第六条 工业和信息化部指导、监督工业和信息化领域数据安全风险信息报送与共享工作。具体工作由工业和信息化部网 络安全管理局（以下简称网安局）会同各相关业务司局共同开 展。其中，网安局统筹协调风险信息报送与共享工作，各相关 业务司局负责参与风险信息评估、研判、处置等工作。

第七条 地方工业和信息化主管部门负责本地区工业领域数据安全风险信息报送与共享工作。地方通信管理局负责本地区电信和互联网领域数据安全风 险信息报送与共享工作。

第八条 工业和信息化部（网安局）组织建设、运行工业和信息化领域数据安全风险信息报送与共享平台（以下简称平台），收集、汇总数据安全风险信息，并发布、通报风险提示。

第九条 工业和信息化部选择有条件的部属单位作为支撑单位，负责运行维护平台，并支撑工业和信息化部（网安局） 开展风险信息报送与共享工作。

第三章 风险信息报送

第十条 工业和信息化部（网安局）鼓励部系统各单位、安全企业、数据处理者、科研院所、行业组织等单位（以下简称 风险报送单位）开展风险信息报送，遴选支撑服务能力强、技 术水平高、报送信息质量优的单位建立风险直报单位名录，并 实施名录动态管理。

地方工业和信息化主管部门、地方通信管理局应当组织开 展本地区风险报送单位遴选、推荐等工作，建立本地区风险报 送单位名录，并加强名录管理。

第十一条 风险直报单位应当通过平台直接向工业和信息化部（网安局）报送数据安全风险信息。

其他风险报送单位应当通过平台及时向所在地工业和信息 化主管部门、通信管理局报送掌握的工业、电信和互联网领域数据安全风险信息。

第十二条 地方工业和信息化主管部门、地方通信管理局应当组织开展本地区风险信息报送工作，审核研判本地区收到的 风险信息，及时向工业和信息化部（网安局）报送涉及重要数 据和核心数据的、跨地区的或者可能造成重大事件的相关风险 信息，并每半年向工业和信息化部（网安局）报送风险信息报 送工作总结。

第四章 风险信息研判与共享

第十三条 工业和信息化部（网安局）组织支撑单位对部级平台收到的风险信息进行评估和研判，对于确认的风险信息开 展共享和通报，达到应急标准的，应当同时启动应急预案。

支撑单位对风险信息进行分类、研判、整理，及时分析总 结风险信息报送与共享情况，并向工业和信息化部（网安局） 报送。

第十四条 工业和信息化部（网安局）根据数据安全风险影响范围等情况，分别开展以下风险信息共享和通报工作：

（一）对于可能影响社会公众的风险信息，可通过部网站 等渠道通报；

（二）对于区域性的风险信息，通报至有关地方工业和信 息化主管部门或者地方通信管理局；

（三）对于能够确定具体通报单位的，同时向该单位主体 及其所在地工业和信息化主管部门或者通信管理局通报；

（四）工业和信息化部（网安局）加强数据安全态势分析， 不定期通报行业数据安全情况。

第十五条 地方工业和信息化主管部门、地方通信管理局应当及时接收工业和信息化部（网安局）发送的数据安全风险信 息，并指导、督促相关单位开展风险处置。应当及时研判分析 本地区数据安全风险信息，并将相关信息通报至相关单位进行 处置。

第十六条 数据处理者接到通报信息后，应当及时处置风险，并按要求反馈处置情况。

第五章 保障措施

第十七条 工业和信息化部（网安局）组建数据安全风险分析专家组，为风险信息报送与共享工作提供技术咨询和决策支 持。

第十八条 工业和信息化部（网安局）每年对风险报送单位报送信息的数量、质量等进行评比，对表现突出的单位予以鼓 励。

第十九条 地方工业和信息化主管部门、地方通信管理局、风险报送单位应当指定风险信息报送与共享工作联络员，报工业和信息化部（网安局）备案。联络员和联络方式发生变化时， 应当在 5 个工作日内报送变更情况。应当加强数据安全风险信息报送与共享工作保障，对表现突出的风险报送单位予以鼓励。

第二十条 参与风险信息报送与共享工作的相关机构和人员应当对获悉的信息承担保密义务，不得泄露或者非法向他人 提供。

第二十一条 地方工业和信息化主管部门、地方通信管理局应当参照本指引，建立完善本地区工业、电信和互联网领域数 据安全风险信息报送和共享工作机制。

第二十二条 本指引自发布之日起实施。