2023 年 12 月 16 日工業情報化省(MIIT) は金曜日、実施に必要な手順を詳述した勧告草案を発表した。データセキュリティ法》《産業・情報技術分野データセキュリティ管理措置(お試し)』プラン。
工業情報化省は次のように述べています。
この作品の目的は「データセキュリティインシデントタイムリーかつ効果的な制御、緩和、排除を確実にするための包括的な対応能力データセキュリティ事件によって引き起こされる損害と損失を防止し、個人と組織の正当な権利と利益を保護し、国家安全保障と公共の利益を守ります。 」
この 25 ページの文書は、データの不正アクセス、漏洩、破壊、改ざんなどのすべてのインシデントを網羅しており、引き起こされる損害の範囲と程度に基づいて 4 つのレベルに分類されています。
赤:特に深刻。大規模なシャットダウン、業務処理能力の重大な損失、24 時間以上の中断を引き起こす重大な異常事態、24 時間以上の大規模な電波障害、10 億元の経済的損失、または 100 社以上に影響を与える重大な異常事態に該当します。百万人個人情報または1,000万人以上機密性の高い個人情報。
オレンジ色:重大、12 時間以上のダウンタイムおよび運用中断、12 時間以上の大規模な電波障害、1 億~10 億元の経済的損失、または 1,000 万人以上の個人情報または個人の機密個人情報に影響を与える場合に該当100万人以上。
黄色:規模が大きく、8 時間以上続く事業中断、8 時間以上発生する大規模な電波障害、5,000 万元から 1 億元の経済的損失、または 100 万人以上または 10 万人以上の機密性の高い個人の個人情報に影響を与える場合に適しています。情報。
青:一般に、8時間未満の業務中断、5,000万元未満の経済的損失、または100万人未満の個人情報または10万人未満の機密個人情報に影響を与える軽微なインシデントに適用されます。
新しい規制では、影響を受ける企業に対し、インシデントの深刻度を評価し、深刻であると判断された場合には、地元の業界規制当局に直ちに報告することも義務付けている。
地元の業界規制当局は当初、これが非常に重要かつ重大なものであると判断した。データセキュリティインシデントが発生した場合は、インシデント発見後 10 分間の電話報告と 30 分間の書面報告の要件に従って機構事務局に報告する必要があります。規則草案では次のように定められています。
開始された対応レベル (赤またはオレンジ) に応じて、機構事務局は産業情報技術省に報告するものとします。
規則草案は2024年1月15日までパブリックコメントを受け付けている。
分析する
工業情報化省のこの動きは、同省がデータセキュリティ保護の強化に取り組んでいることを示しています。産業および情報技術部門におけるデータ セキュリティ管理措置 (トライアル) により、政府はデータ セキュリティ インシデントにより効果的に対応し、個人と組織が安全にアクセスできるようになります。情報セキュリティー。
この標準仕様の具体的な実装内容については、パブリックコメントを募集した上で決定する予定です。しかし、現在の草案から判断すると、この制度には次のような特徴があります。
分類:インシデントを引き起こす被害の範囲と程度に基づいてインシデントを 4 つのレベルに分類することは、政府が的を絞った対応策を策定するのに役立ちます。
タイムリーな報告: 影響を受ける企業は、データ セキュリティ インシデントを地元の業界規制当局に直ちに報告する必要があります。これは、政府がインシデントの状況を理解し、できるだけ早く措置を講じるのに役立ちます。
政府主導: 政府によって設立されたメカニズムオフィスは、データセキュリティインシデントに対応するためにすべての関係者を調整する責任を負い、対応作業の円滑な進行を確保します。
全体として、工業情報化省によるこの動きは前向きであり、データセキュリティレベルの向上に役立つでしょう。
公式リファレンス:
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_7c903aac87514e26b2dbbc42f5e60347.html
元記事はSnowFlakeによるもので、転載する場合は出典を明記してください:https://cncso.com/jp/miit、データ・セキュリティ・インシデント緊急対