1.數據泄露,包括但不限於相關風險,如數據被惡意獲取,或被傳輸或發布到不安全的環境中;
2.數據篡改,包括但不限於導致數據破壞的修改、添加、刪除等相關風險;
3.數據濫用,包括但不限於與數據超範圍、不使用和超時使用相關的風險;
4.非法傳輸,包括但不限於未按相關規定授權傳輸數據等相關風險;
5.非法訪問,包括但不限於未經授權訪問數據等相關風險;
6.異常流量,包括但不限於數據流量規模異常、流量內容異常等相關風險;
7.其他信息,包括政府相關部門監控的暴露在互聯網上的數據庫、大數據平臺等數據資產信息,以及相關單位掌握的其他威脅數據安全的風險信息。
根據工作指引,風險信息報送是指相關單位向工業和信息化部、地方工業和信息化主管部門、地方通信管理局報送數據安全風險信息的行為。
風險信息共享是指經工業和信息化部、地方工業和信息化主管部門、地方通信管理局審核授權後,將風險提示告知相關部門和單位的行為。風險信息報送和共享應堅持“及時、客觀、準確、真實、完整”的原則,不得拖延、隱瞞或謊報。
同時,工業和信息化部(NSA)鼓勵部系統各單位、安全企業、數據處理器、科研院所、行業組織等單位報送風險信息,選擇支撐服務能力強、技術水平高、報送信息質量優的單位建立風險報告單位名單。
並實現動態目錄管理。地方工業和信息化主管部門、地方通信管理局應當組織開展地方風險申報單位的評選和推薦工作,建立地方風險申報單位名單,並加強名單管理。
工業和信息化部(網絡安全局)根據數據安全風險範圍開展以下風險信息共享和通報工作:
1,對於可能影響公眾的風險信息,可通過部網站等渠道進行通報;
2、對於區域性風險信息,通報給相關地方工業和信息化主管部門或地方通信管理局;
3、對於可以確定的具體通報單位,同時向該單位主體及其所在地工業和信息化主管部門或通信管理局通報。