2023年2月8日，工信部根据《工业和信息化部全面推行行政执法公式制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求，结合有关法律法规依据的制修订情况及行政执法工作实际，编制并公布了《工业和信息化部行政执法事项清单（2022年版）》。其中数据安全的部分共15项，如下表所示。

　　本次清单中所涉及的角色分别是数据处理者、重要数据处理者、关键信息基础设施运营者以及数据交易中介服务机构。

　　数据处理者应满足“清单”中的第247、248、249、250、251、253、254、255、261项的相关要求。

　　重要数据处理者满足数据处理者相关要求的同时还应满足“清单”中的第252、256、257项的相关要求。

　　数据交易中介服务机构应满足第260项相关要求。

　　涉及数据出境场景时，数据处理者、重要数据处理者、关键信息基础设施运营者应满足第258、259、261项相关要求。

　　下面对清单中涉及的数据安全内容进行逐条解读。

　　第247项解读：

　　企业应制定数据安全管理办法、数据安全组织架构相关内容，明确数据安全保护责任义务，并建立监督检查机制，定期对数据安全制度相关要留及管理措施落实情况进行监督检查。

　　第248项解读：

　　企业应制定全流程数据安全管理制度，包括但不限于数据全生命周期周期安全管理制度、合作方管理制度、敏感操作审批流程等规章制度。

　　第249项解读：

　　企业应制定数据安全教育培训相关制度，同时设立相关岗位和人员负责数据安全培训的管理工作，包括但不限于、培训时常、培训周期、培训内容以及考核方式，并形成记录留存，便于日后监督检查工作。

　　第250项解读：

　　企业在开展数据处理活动时应配备相关技术措施保障数据的安全，同时技术措施尚不完善时，应配备其他必要措施、如人工审计、安全风险排查记录等形式，保障数据的安全可控，避免因技术能力不足导致的数据安全保障不到位的情况。

　　第251项解读：

　　使用互联网开展数据数据处理活动的应具备对应等级的等级保护备案。

　　第252项解读：

　　企业应建立数据安全组织架构，内容应包含但不限于明确数据安全责任部门、数据安全敢为及人员，并明确其权责范围、数据安全组织管理内容及相关义务。

　　第253项解读：

　　企业应建立常态化的数据安全风险监测相关机制，结合人工及工具的方式定期排查数据安全风险、平台脆弱性等并及时处置安全风险形成相关处置报告或记录。

　　第254项解读：

　　企业应建立数据安全应急预案，对数据安全事件以高中低进行影响程度分级，应急预案及响应方案应包含所有核心业务部门，并根据各业务的网络环境、平台、系统、业务敏感度等情况，形成各部门的应急响应方案，并定期对应急预案进行演练，保证应急响应方案的可行性。

　　第255项解读：

　　企业应根据业务所属行业，发生数据安全事件时，及时告知相关用户并上报业务、地区所属主管部门。

　　第256-257项解读：

　　企业应制定风险评估相关机制，内容应包含但不限于处理的重要数据种类、数量、开展数据处理活动的情况，面临的数据安全风险（如安全配置、审批流程、安全漏洞等）及其应对的措施等内容，并每年至少一次开展风险评估并报送给有关主管部门。

　　第258、259、261项解读：

　　在中华人民共和国境内运营中收集、产生、存储的重要数据，应落实《数据出境安全评估办法》相关要求，并经过有关主管机关、部门批准后才可出境。

　　第260项解读：

　　机构应制定业务合规性操作流程，内容应包含但不限于要求数据提供方说明数据来源、审核交易双方的身份等要求和流程，并留存审核、交易记录，以便日后审计、溯源工作。

　　清单为工业和信息化领域企业落实数据安全监管要求给出了明确指引，助力《数据安全法》的落地实施。

　　为帮助企业有效落地数据安全合规要求，助力产业生态健康发展，信通院安全所持续开展数据安全合规咨询业务，业务内容包括但不限于企业数据安全合规性评估、业务合规性评估、平台合规性评估、企业数据安全体系规划与建设等，已为互联网、政务、互联网金融、物流、线上教育等行业10多家企业进行了咨询工作。未来，信通院安全所将继续与产业界通力合作，帮助企业有效落实数据安全合规相关要求，提高企业自身数据安全风险防护水平。