>> 適用范圍

對中國境內工信領域重要數據和核心數據處理者數據處理活動開展的數據安全風險評估。

>> 工作原則

重要數據和核心數據處理者按照及時、客觀、有效的原則開展數據安全風險評估，形成真實、完整、準確的評估報告，并對評估結果負責。

>> 評估內容

按照法律法規(guī)、行業(yè)規(guī)定及評估標準，對數據處理活動的目的和方式、業(yè)務場景、安全保障措施、風險影響等要素，開展評估。

>> 評估報告

評估報告應當包括數據處理者基本情況、評估團隊基本情況、重要數據的種類和數量、開展數據處理活動的情況、數據安全風險評估環(huán)境，以及數據處理活動分析、合規(guī)性評估、安全風險分析、評估結論及應對措施等。

>> 對數據進行分類分級，梳理數據資產，了解企業(yè)中有哪些機密數據，并且按照保密等級進行分類，嚴格把控數據使用權限。以電信和互聯網領域為例，重要數據和核心數據的識別應在國家標準GB/T 43697-2024《數據安全技術 數據分類分級規(guī)則》基礎上，結合YD/T 3867-2024《電信領域重要數據識別指南（報批稿）》進行綜合判定。

>> 對企業(yè)內部所有重要數據進行強制、主動加密，保證數據全生命周期都在加密狀態(tài)下得到保護，防止數據被非正常獲取與使用。嚴格管控對外發(fā)送的數據，防止內部員工進行有意或無意的機密文件發(fā)送，避免數據外泄。

>> 針對研發(fā)設計、生產制造、運營維護、銷售營銷等業(yè)務部門，可以采用更靈活透明的加密技術，減少數據安全防護手段對日常工作效率的影響。部門相關人員對外提供的涉密文件還可以通過水印技術，記錄操作人員信息，在安全事故發(fā)生后第一時間鎖定泄密源頭，啟動應急措施。

>> 對于聘請第三方評估團隊的人員，在評估進程中生成的數據和記錄等都是保密要求極高的核心數據。所以應在協議中應當清楚載明相關的數據安全要求，包括但不限于在合作中需遵循的合規(guī)、內控及風險管理要求，服務質量考核評價，安全保密等內容