工業・情報化部 データ安全事件に対する応急対応案を発表
2024. 11. 14
工業・情報化部 データ安全事件に対する応急対応案を発表
このほど、工業・情報化部は「工業・情報化分野におけるデータ安全事件に対する応急対応案(試行)」を発表した。
当該対応案は中国国内で発生する工業・情報化分野のデータ安全事件を応急処置する活動であり、ともに本対応案を遵守すべき要求を規定している。本対応案にいうデータ安全事件とは、データが改ざん、破壊、漏洩または不正に取得、不正利用され、国の安全、公益または個人、組織の合法的権益に危害を及ぼす事件を指す。データ安全事件が国の安全、企業のネットワーク施設と情報システム、生産運営、経済運営などに対して与える影響範囲と危害程度に基づいて、データ安全事件を特に重大、重大、比較的大きい、一般の4つのレベルに分ける。
当該対応案は工業と情報化分野のデータ処理者が一旦、データ安全事件を発見すると、直ちに判断を行わなければならず、比較的に大きい或いはそれ以上の事件と自己判断した場合、直ちに地方監督管理部門に報告しなければならず、報告を怠たり、虚偽の報告、隠蔽、報告漏れをしてはならない。同時に、直ちに応急対応をスタートさせ、応急チームと従業員に応急処置措置を取らせ、データの回復・遡及を行い、できるだけユーザーと社会への影響を抑えると同時に、関連痕跡と証拠を保存しなければならない。
重大或いはそれ以上のデータ安全事件の応急作業が終了した後、関連データ処理者は事件の起因、経過、責任を適時に調査し、事件による影響と損失評価を行い、事件の予防と応急処置作業の経験と教訓を整理し、処理意見と改善措置を提出し、応急作業終了後の5営業日以内に総括報告書を取り纏め、地方業界監督管理部門に報告しなければならない。
なお、当該対応案は工業・情報化分野のデータ取扱者がデータ安全管理制度の整備、データ安全緊急時対応技術手段の構築を行い、重要データとコアデータ取扱者は年最低1回データ安全リスク評価と自己チェック・是正を展開し、隠れたリスクを早い段階で取り除かなければならないことを要求している。
原文リンク:
