—1—附件 工业和信息化领域数据安全风险信息报送与共享 工作指引（试行） 第一章总则 第一条为加强工业和信息化领域数据安全风险信息获取、 分析、研判和预警工作，及时掌握工业和信息化领域数据安全 整体态势，提高数据安全风险处置能力，根据《中华人民共和 国数据安全法》等法律法规，制定本指引。 第二条本指引所称数据安全风险信息，是指通过检测、评 估、信息搜集、授权监测等手段获取的，包括但不限于数据泄 露、数据篡改、数据滥用、违规传输、非法访问、流量异常等 数据安全风险： （一）数据泄露，包括但不限于数据被恶意获取，或者转 移、发布至不安全环境等相关风险； （二）数据篡改，包括但不限于造成数据破坏的修改、增 加、删除等相关风险； （三）数据滥用，包括但不限于数据超范围、超用途、超 时间使用等相关风险； （四）违规传输，包括但不限于数据未按照有关规定擅自 进行传输等相关风险；—2—（五）非法访问，包括但不限于数据遭未授权访问等相关 风险； （六）流量异常，包括但不限于数据流量规模异常、流量 内容异常等相关风险； （七）其他信息，包括由相关政府部门组织授权监测的暴 露在互联网上的数据库、大数据平台等数据资产信息，以及有 关单位掌握的威胁数据安全的其他风险信息等。 第三条本指引所称风险信息报送，是指有关单位向工业和 信息化部、地方工业和信息化主管部门、地方通信管理局报送 数据安全风险信息的行为。 第四条本指引所称风险信息共享，是指经工业和信息化 部、地方工业和信息化主管部门、地方通信管理局审核、授权 后，向有关部门、单位告知风险提示的行为。 第五条风险信息报送与共享工作坚持“及时、客观、准确、 真实、完整”的原则，不得迟报、瞒报、谎报。 第二章组织机构及职责 第六条工业和信息化部指导、监督工业和信息化领域数据 安全风险信息报送与共享工作。具体工作由工业和信息化部网 络安全管理局（以下简称网安局）会同各相关业务司局共同开 展。其中，网安局统筹协调风险信息报送与共享工作，各相关 业务司局负责参与风险信息评估、研判、处置等工作。 第七条地方工业和信息化主管部门负责本地区工业领域—3—数据安全风险信息报送与共享工作。 地方通信管理局负责本地区电信和互联网领域数据安全风 险信息报送与共享工作。 第八条工业和信息化部（网安局）组织建设、运行工业和 信息化领域数据安全风险信息报送与共享平台（以下简称平 台），收集、汇总数据安全风险信息，并发布、通报风险提示。 第九条工业和信息化部选择有条件的部属单位作为支撑 单位，负责运行维护平台，并支撑工业和信息化部（网安局） 开展风险信息报送与共享工作。 第三章风险信息报送 第十条工业和信息化部（网安局）鼓励部系统各单位、安 全企业、数据处理者、科研院所、行业组织等单位（以下简称 风险报送单位）开展风险信息报送，遴选支撑服务能力强、技 术水平高、报送信息质量优的单位建立风险直报单位名录，并 实施名录动态管理。 地方工业和信息化主管部门、地方通信管理局应当组织开 展本地区风险报送单位遴选、推荐等工作，建立本地区风险报 送单位名录，并加强名录管理。 第十一条风险直报单位应当通过平台直接向工业和信息 化部（网安局）报送数据安全风险信息。 其他风险报送单位应当通过平台及时向所在地工业和信息 化主管部门、通信管理局报送掌握的工业、电信和互联网领域—4—数据安全风险信息。 第十二条地方工业和信息化主管部门、地方通信管理局应 当组织开展本地区风险信息报送工作，审核研判本地区收到的 风险信息，及时向工业和信息化部（网安局）报送涉及重要数 据和核心数据的、跨地区的或者可能造成重大事件的相关风险 信息，并每半年向工业和信息化部（网安局）报送风险信息报 送工作总结。 第四章风险信息研判与共享 第十三条工业和信息化部（网安局）组织支撑单位对部级 平台收到的风险信息进行评估和研判，对于确认的风险信息开 展共享和通报，达到应急标准的，应当同时启动应急预案。 支撑单位对风险信息进行分类、研判、整理，及时分析总 结风险信息报送与共享情况，并向工业和信息化部（网安局） 报送。 第十四条工业和信息化部（网安局）根据数据安全风险影 响范围等情况，分别开展以下风险信息共享和通报工作： （一）对于可能影响社会公众的风险信息，可通过部网站 等渠道通报； （二）对于区域性的风险信息，通报至有关地方工业和信 息化主管部门或者地方通信管理局； （三）对于能够确定具体通报单位的，同时向该单位主体 及其所在地工业和信息化主管部门或者通信管理局通报；—5—（四）工业和信息化部（网安局）加强数据安全态势分析， 不定期通报行业数据安全情况。 第十五条地方工业和信息化主管部门、地方通信管理局应 当及时接收工业和信息化部（网安局）发送的数据安全风险信 息，并指导、督促相关单位开展风险处置。应当及时研判分析 本地区数据安全风险信息，并将相关信息通报至相关单位进行 处置。 第十六条数据处理者接到通报信息后，应当及时处置风 险，并按要求反馈处置情况。 第五章保障措施 第十七条工业和信息化部（网安局）组建数据安全风险分 析专家组，为风险信息报送与共享工作提供技术咨询和决策支 持。 第十八条工业和信息化部（网安局）每年对风险报送单位 报送信息的数量、质量等进行评比，对表现突出的单位予以鼓 励。 第十九条地方工业和信息化主管部门、地方通信管理局、 风险报送单位应当指定风险信息报送与共享工作联络员，报工 业和信息化部（网安局）备案。联络员和联络方式发生变化时， 应当在5个工作日内报送变更情况。应当加强数据安全风险信 息报送与共享工作保障，对表现突出的风险报送单位予以鼓励。 第二十条参与风险信息报送与共享工作的相关机构和人—6—员应当对获悉的信息承担保密义务，不得泄露或者非法向他人 提供。 第二十一条地方工业和信息化主管部门、地方通信管理局 应当参照本指引，建立完善本地区工业、电信和互联网领域数 据安全风险信息报送和共享工作机制。 第二十二条本指引自发布之日起实施。—7—附件1：风险信息报送模板 数据安全风险信息 xx年xx月xx日，xx（风险报送单位）发现xx公司（风险 所在单位）xx系统存在数据安全风险。有关情况如下。 一、风险基本情况 （一）风险类别和级别 风险类别1： 风险级别2： （二）风险涉及数据情况 涉及数据类型3： 涉及数据级别4： 涉及数据量：（暂时无法确定的可写暂不确定） （三）风险产生时间 xx年xx月xx日（暂时无法确定的可写暂不确定） （四）风险范围 影响地区： 影响单位： 影响行业： 1参考本指引第二条所列举的风险类型。 2风险级别分为高危、中危、低危。其中，高危风险主要指涉及重要数据或核心数据的，或者涉及数据量大、影 响区域范围广的风险，中危风险主要指涉及数据量较少、影响范围较小的风险，低危风险主要指造成轻微影响的 风险。 3数据类型参考《工业和信息化领域数据安全管理办法（试行）》中列举的主要类型，可在此基础上进行细分类。 4数据级别包括核心数据、重要数据、一般数据。—8—（五）风险概述 简要概述风险情况 （五）其他风险相关信息 系统名称: 系统域名： IP地址： 端口： 风险URL: IP所属地区： IP所属运营商： ICP备案号： 二、风险分析 描述风险产生原因、发现方式、验证情况及风险后果影响， 并提供截图等证明。 三、风险处置建议 针对风险提出处置建议。 四、风险报送单位 单位名称： 联系人及联系方式：