データ運用部門の責任（データセキュリティを誰が管理し、何を管理するのか、どのように管理するのか？工業情報化部が管理措置を発表：データの分類と等級付け、ライフサイクル全体のセキュリティ管理を実施）

データ セキュリティを誰が管理し、何を管理し、どのように管理するのでしょうか?工業情報化部は管理措置を発表：データの分類と格付け、ライフサイクル全体のセキュリティ管理を実施

中国ビジネスネットワーク記者：張睿 中国ビジネスネットワーク編集者：陳旭

12月14日、工業情報化部は「工業情報化分野のデータセキュリティ管理弁法（試行）」（以下、「弁法」という）を通知し、印刷・配布した。

この弁法は、産業および情報技術分野におけるさまざまなデータセキュリティ要件について詳細な規定を設けており、データの分類と等級管理、ライフサイクル全体にわたるデータセキュリティ管理、データセキュリティの監視と早期警告、データセキュリティのテスト、認証、評価管理に重点を置いています。

デイリー・エコノミック・ニュースの記者は、この措置がデータの分類と等級付けの保護や重要なデータの管理などのタスクを実行するための具体的な要件を明確にし、データのライフサイクル全体にわたるデータのセキュリティ義務を詳細に規定していることに注目した。同時に、工業情報化分野におけるデータセキュリティ監督システムが確立され、工業情報化部と地方の業界規制部門の責任が明確化され、一貫した権利と責任を持つ作業メカニズムが確立されました。

産業・情報技術分野のデータには、産業データ、通信データ、無線データなどが含まれます。

このうち、産業データとは、さまざまな業界や分野における研究開発設計、生産・製造、業務管理、運用・保守、プラットフォーム運用などのプロセスで生成・収集されるデータを指します。通信データとは、通信事業の運営中に生成・収集されるデータのことを指します。無線データとは、無線事業活動の過程で生成され収集される無線周波数、局、その他の電波パラメータデータを指します。

工業情報化部のサイバーセキュリティ管理局は、この措置の重要な問題に応えて、データはデジタル経済時代の最も活発な新しい生産要素となっていると述べた。同時に、データセキュリティリスクはますます顕著になり、個人の権利や利益、公共の利益、国家の安全保障に影響を及ぼす重要な要素になりつつあります。

2021年9月1日、「中華人民共和国データセキュリティ法」が正式に施行され、データセキュリティの監督と保護のための法的根拠と基本的なガイドラインが提供されました。この法律は、工業情報化部が工業および通信業界におけるデータセキュリティの監督責任を負うことを明確に規定し、データ処理者のセキュリティ保護義務に関する関連要件を提示しています。

中国科学技術大学公共事務学院およびサイバースペースセキュリティ学院の左暁東教授は、WeChat上の日刊経済新聞のインタビューで、「わが国のデータセキュリティ管理システムによれば、工業情報化部は工業および通信業界の所管部門として、国家データセキュリティの総合的要件に基づき、この業界と分野向けのデータセキュリティ管理政策を発行している」と述べた。

工業情報化部サイバーセキュリティ管理局は、工業情報技術分野はデジタル経済発展の主戦場と模範分野であり、デジタル経済をより強く、より良く、より大きく推進する主力であると述べた。データセキュリティ法を施行し、工業および情報技術分野におけるデータセキュリティ管理の制度化と標準化を加速するために、工業情報化部は「措置」を検討し、起草しました。

この措置は、産業と情報技術分野における国家データセキュリティ管理システムの要求をさらに精緻化し、データの分類と等級付けの保護、重要なデータ管理などの業務を遂行するための具体的な要求を明確にし、データのライフサイクル全体にわたるセキュリティ義務を精緻化し、産業データセキュリティ監督に制度的保証を提供します。

この措置では、工業および情報技術分野におけるデータセキュリティ監督システムの確立も提案されており、工業情報化部と地方の業界規制部門の責任も明確にされている。 「工業情報化部、地方業界監督管理部門」の2段階の監督メカニズムを確立し、一貫した権利と責任を持つ作業メカニズムの構築を要求している。

さらに、本弁法は、産業、電気通信、無線分野の実際の状況に基づいて、データのライフサイクル全体にわたってデータを保護するための要件を明確にし、データ処理者がデータのセキュリティ管理と技術的保護措置を改善し、セキュリティ保護の主要な責任を果たすように導きます。

工業情報化部サイバーセキュリティ管理局は、「弁法」は工業・情報技術分野におけるデータセキュリティ管理の最上位システム文書として、工業・情報技術分野におけるデータセキュリティを「誰が管理するか、何を管理し、どのように管理するか」という問題を解決することに重点を置いていると述べた。文書の主な内容は次の 7 つの側面から構成されます。

まず、産業と情報技術分野におけるデータとデータ処理者の概念を定義し、監督の範囲と責任を明確にします。

2 つ目は、データの分類と格付け管理、および重要なデータの識別とファイリングの要件を決定することです。

データ分類と等級管理に関する具体的な要件 画像出典: 工業情報化部

第三に、さまざまなレベルのデータについては、データの収集、保管、処理、送信、提供、開示、破棄、外部への転送、委託処理に関して、対応するセキュリティ管理および保護要件が提示されます。

4番目に、データセキュリティの監視と早期警告、リスク情報の報告と共有、緊急対応、苦情や報告の受付のための作業メカニズムを確立します。

5 番目に、データ セキュリティの監視、認証、評価に関する関連要件を明確にします。

第六に、監督や検査などの業務要件が規定されている。

7. 関連する違法行為や不正行為に対する法的責任と処罰措置を明確にする。

左暁東氏は、今回発表された「弁法」のハイライトについて、この文書は産業と情報技術分野におけるデータの分類と等級管理体制を明確にしたと述べた。データセキュリティ保護義務を実施できるように、データ処理者に対してライフサイクル全体にわたるデータセキュリティ管理要件を提示しました。

「同時に、この文書はデータセキュリティ監視、早期警告、緊急管理のメカニズムを確立し、この作業における工業情報化部、地方の業界規制部門、データ処理者の責任と義務を明確にした。」左暁東氏は、この文書では産業と情報技術分野におけるデータセキュリティのテスト、認証、評価サービスをどのように実施するかについての原則的な要求も提示し、産業と情報技術分野におけるデータセキュリティの監督検査業務システムを確立したと述べた。

毎日の経済ニュース