導航
安全產(chǎn)品
安全服務(wù)與運營(yíng)
解決方案
企業(yè)動(dòng)態(tài)
安全研究
關(guān)于國舜
◆ 網(wǎng)絡(luò )安全防護
▼
◆ 網(wǎng)絡(luò )安全檢測
▼
▼
◆ 開(kāi)發(fā)安全
▼
◆ 數據安全
▼
◆ 業(yè)務(wù)安全
▼
◆ 物聯(lián)網(wǎng)安全
▼
◆ 工控安全
▼
◆ 移動(dòng)安全
▼
◆ 安全管理
? 攻防演練服務(wù)
攻防演練服務(wù)
▼
◆ 安全技術(shù)服務(wù)
▼
◆ 安全培訓服務(wù)
▼
◆ 安全咨詢(xún)服務(wù)
▼
◆ 攻防演練服務(wù)
▼
◆ 安全運營(yíng)服務(wù)
▼
◆ 專(zhuān)項安全評估
▼
◆ 行業(yè)解決方案
▼
◆ 技術(shù)解決方案
400-696-8096
北京國舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯(lián)系我們
熱線(xiàn):400-696-8096
電話(huà):010-82838085
郵編:100044
郵箱:contact@unisguard.com
關(guān)注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網(wǎng)安備110108000272號
分類(lèi): 安全資訊
發(fā)布時(shí)間: 2023-07-26 16:44:02
標簽:
作者:
閱讀量: 146
新聞來(lái)源: 北京市通信管理局
北京地區電信領(lǐng)域數據安全管理實(shí)施細則
第一章 總則
第一條 為了加強北京地區電信領(lǐng)域數據安全管理工作,進(jìn)一步提高數據安全保護水平,根據《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國個(gè)人信息保護法》《工業(yè)和信息化領(lǐng)域數據安全管理辦法(試行)》《關(guān)于更好發(fā)揮數據要素作用進(jìn)一步加快發(fā)展數字經(jīng)濟的實(shí)施意見(jiàn)》等法律法規和有關(guān)規定,結合本市實(shí)際,制定本細則。
第二條 北京地區的電信領(lǐng)域數據處理者開(kāi)展數據處理活動(dòng)及其安全監管,應當遵守相關(guān)法律、行政法規和本細則的要求。
第三條 本細則所稱(chēng)電信領(lǐng)域數據是指在電信業(yè)務(wù)經(jīng)營(yíng)過(guò)程中產(chǎn)生和收集的數據,包括各類(lèi)基礎電信業(yè)務(wù)和增值電信業(yè)務(wù)數據。
電信領(lǐng)域數據處理者是指數據處理活動(dòng)中自主決定處理目的、處理方式的取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者。
數據處理活動(dòng)包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)。
第四條 在工業(yè)和信息化部統籌指導下,北京市通信管理局負責北京地區電信領(lǐng)域數據安全的組織協(xié)調、統籌規劃和監督管理工作。
第五條 數據安全管理應當堅持總體國家安全觀(guān),統籌數據發(fā)展與安全,鼓勵數據開(kāi)發(fā)利用,加強數據治理,保證數據供給、流通、使用全過(guò)程安全合規。
第二章 基礎性數據安全保護要求
第六條 電信領(lǐng)域數據處理者應當每年至少開(kāi)展一次數據梳理工作,按照電信領(lǐng)域重要數據和核心數據識別標準識別重要數據和核心數據,相關(guān)工作開(kāi)展情況按年度形成報告并報送北京市通信管理局,報告內容包括數據梳理工作開(kāi)展情況、數據分類(lèi)分級情況、數據分級防護措施等。
第七條 電信領(lǐng)域數據處理者應當按要求將識別出的重要數據和核心數據進(jìn)行目錄填報,并報北京市通信管理局備案。備案內容包括但不限于數據來(lái)源、類(lèi)別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況,不包括數據內容本身。
備案內容發(fā)生重大變化的,電信領(lǐng)域數據處理者應當在發(fā)生變化的三個(gè)月內履行備案變更手續。重大變化是指某類(lèi)重要數據和核心數據規模(數據條目數量或者存儲總量等)變化30%以上,重要數據或核心數據類(lèi)別新增或減少,數據安全情況、責任主體信息發(fā)生變動(dòng),或者其他備案內容發(fā)生變化。
北京市通信管理局對備案信息完整性、重要數據和核心數據類(lèi)別、級別、數據量等填報內容準確完備性進(jìn)行審核,在電信領(lǐng)域數據處理者提交備案申請的二十個(gè)工作日內完成并反饋審核結果。備案未通過(guò)的申請人應當在收到反饋情況后的十五個(gè)工作日再次提交備案申請。
北京市通信管理局對重要數據和核心數據目錄備案落實(shí)情況進(jìn)行監督檢查,電信領(lǐng)域數據處理者應當予以配合。
第八條 電信領(lǐng)域數據處理者應當根據實(shí)際工作需要配備數據安全管理人員,統籌負責數據處理活動(dòng)的安全監督管理。
電信領(lǐng)域重要和核心數據處理者還應當建立覆蓋本單位相關(guān)部門(mén)的數據安全工作體系,明確數據安全負責人和管理機構,負責牽頭內部數據安全管理工作,明確數據處理關(guān)鍵崗位和崗位職責,要并配備具備相應技能水平的專(zhuān)職人員,定期參與行業(yè)認可的數據安全考核與培訓。
第九條 電信領(lǐng)域數據處理者應加強權限審批管理,合理配置數據處理活動(dòng)的權限,明確各部門(mén)和相關(guān)人員權限管理要求,包含但不限于數據處理活動(dòng)平臺系統賬號權限分配原則、流程等,建立并定期更新權限分配表。
第十條 電信領(lǐng)域數據處理者應對數據處理、系統運行、權限管理、人員操作等日志進(jìn)行留存管理,日志留存時(shí)間不少于六個(gè)月。日志記錄信息應包括執行時(shí)間、操作賬號、處理方式等,針對數據使用加工、關(guān)聯(lián)分析、批量訪(fǎng)問(wèn)、批量復制等數據處理行為還應記錄授權情況、登錄信息等,記錄完整、準確、不可修改。
第十一條 電信領(lǐng)域數據處理者應定期開(kāi)展數據安全審計,審計對象完整覆蓋全部數據處理活動(dòng),審計發(fā)現問(wèn)題需及時(shí)進(jìn)行整改,并對審計及處置記錄進(jìn)行留存管理。
重要數據處理活動(dòng)應至少每半年開(kāi)展一次審計,核心數據處理活動(dòng)應至少每季度開(kāi)展一次審計。
第十二條 電信領(lǐng)域數據處理者應當開(kāi)展數據安全風(fēng)險監測,對數據安全風(fēng)險隱患進(jìn)行預警,并及時(shí)開(kāi)展處置。對于可能造成較大及以上安全事件的風(fēng)險,應及時(shí)向北京市通信管理局報告,報告內容包括但不限于風(fēng)險類(lèi)別和級別、涉及數據情況、產(chǎn)生時(shí)間、影響范圍等信息。
第十三條 電信領(lǐng)域數據處理者應制定數據安全事件應急預案并開(kāi)展應急演練。應急預案應充分結合數據泄露、數據濫用、數據篡改、數據損毀、數據違規使用等數據安全事件場(chǎng)景和等級明確應急響應工作責任分工、實(shí)施流程、保障措施等。
在數據安全事件發(fā)生后,電信領(lǐng)域數據處理者應當按照應急預案,及時(shí)開(kāi)展應急處置。涉及重要數據和核心數據的安全事件,第一時(shí)間向北京市通信管理局報告,事件處置完成后立即開(kāi)展事件調查、問(wèn)題整改、責任追究,在處置完成七個(gè)工作日內形成總結報告并報送北京市通信管理局。對于發(fā)生過(guò)數據安全事件的電信領(lǐng)域數據處理者還應每年向北京市通信管理局報告數據安全事件處置情況。
第十四條 電信領(lǐng)域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動(dòng)至少開(kāi)展一次風(fēng)險評估,及時(shí)整改風(fēng)險問(wèn)題,并向北京市通信管理局報送風(fēng)險評估報告。
重要數據和核心數據目錄備案內容發(fā)生重大變化的,電信領(lǐng)域數據處理者應當在履行備案變更手續后及時(shí)啟動(dòng)風(fēng)險評估,備案變更后三個(gè)月內向北京市通信管理局重新提交風(fēng)險評估報告。
電信領(lǐng)域一般數據處理者應當自行或委托第三方評估機構,每年至少開(kāi)展一次數據安全合規性評估,及時(shí)整改問(wèn)題,并向北京市通信管理局報送評估報告。評估內容包括但不限于數據合規使用情況、數據安全保障措施配備情況與完善程度、合作方數據安全保護水平等。
第十五條 電信領(lǐng)域數據處理者應加強數據安全教育培訓,鼓勵企業(yè)通過(guò)積極參與本地區、本行業(yè)數據安全人才培養計劃等方式,提升相關(guān)崗位人員數據安全保護意識和技能水平。
電信領(lǐng)域數據處理者應定期組織開(kāi)展內部數據安全教育培訓,培訓內容涵蓋數據安全法律法規、標準規范、管理制度和工作要求、知識技能、保護意識等,培訓對象覆蓋數據安全崗位人員,年度培訓時(shí)長(cháng)不小于30學(xué)時(shí)。
電信領(lǐng)域重要數據和核心數據處理者還應針對處理重要數據和核心數據的重點(diǎn)崗位人員定期開(kāi)展教育培訓,培訓內容包括但不限于重要數據和核心數據安全管理要求、安全操作規程、風(fēng)險評估規范等,年度培訓時(shí)長(cháng)不少于45學(xué)時(shí)。
第十六條 電信領(lǐng)域數據處理者應當加強對合作方管理,通過(guò)簽訂合同協(xié)議等方式,明確數據委托處理、數據處理系統開(kāi)發(fā)運維等合作方數據安全責任和義務(wù)。涉及重要數據和核心數據的,應當對合作方的數據安全保護能力、資質(zhì)進(jìn)行核驗。
第三章 數據全生命周期安全保護要求
第十七條 電信領(lǐng)域數據處理者應當對數據處理活動(dòng)負安全主體責任,建立健全全流程數據安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等環(huán)節的具體分級防護要求和操作規程。
第十八條 電信領(lǐng)域數據處理者收集數據應當遵循合法、正當的原則,不得竊取或者以其他非法方式獲取數據。
數據收集過(guò)程中,采取規范化采集流程、方式、渠道和數據格式,根據數據安全級別采取相應的安全措施,加強重要數據和核心數據收集人員、設備的管理,并對收集來(lái)源、時(shí)間、類(lèi)型、數量、頻度、流向等進(jìn)行記錄。
對直接采集或者通過(guò)間接渠道獲得的數據負有同等的保護責任和義務(wù)。通過(guò)間接途徑獲取重要數據和核心數據的,電信領(lǐng)域數據處理者應當與數據提供方通過(guò)簽署相關(guān)協(xié)議、承諾書(shū)等方式,明確雙方法律責任。
通過(guò)移動(dòng)應用程序或其他方式面向用戶(hù)直接收集個(gè)人信息類(lèi)數據的,應在業(yè)務(wù)用戶(hù)協(xié)議或隱私政策文件中明確個(gè)人信息收集的目的、用途和范圍,按照公開(kāi)透明原則將收集規則以通俗易懂、簡(jiǎn)單明了的文字向用戶(hù)明示,在獲得授權或有其他合法性基礎的前提下開(kāi)展。
第十九條 電信領(lǐng)域數據處理者應當按照法律、行政法規規定和用戶(hù)約定的方式、期限進(jìn)行數據存儲,應結合數據分類(lèi)分級策略明確差異化數據存儲安全策略和操作規程。
存儲重要數據和核心數據的,應當采用校驗技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲,并實(shí)施數據容災備份和存儲介質(zhì)安全管理,定期開(kāi)展數據恢復測試,對備份數據的有效性和可用性進(jìn)行檢查和恢復驗證。
第二十條 電信領(lǐng)域數據處理者進(jìn)行數據使用加工應遵循目的明確原則,制定不同目的下數據使用審批流程、數據脫敏處理使用規則,明確數據使用結果發(fā)布和使用的安全保護規則。
利用數據進(jìn)行自動(dòng)化決策的,應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的,還應當加強訪(fǎng)問(wèn)控制。
第二十一條 電信領(lǐng)域數據處理者應當根據傳輸的數據類(lèi)型、級別和應用場(chǎng)景,制定安全策略并采取保護措施。針對不同網(wǎng)絡(luò )安全域之間的數據傳輸采取訪(fǎng)問(wèn)控制、監控等安全防護技術(shù)措施。傳輸重要數據和核心數據的,應當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。
第二十二條 電信領(lǐng)域數據處理者對外提供數據,應當明確提供的范圍、類(lèi)別、條件、程序等,對數據提供形式、期限、涉及的業(yè)務(wù)或系統、數據安全保護措施等實(shí)施管理。提供重要數據和核心數據的,應當與數據獲取方簽訂數據安全協(xié)議,對數據獲取方數據安全保護能力進(jìn)行核驗,采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道、安全傳輸協(xié)議等必要的安全保護措施。
第二十三條 電信領(lǐng)域數據處理者應當在數據公開(kāi)前分析研判可能對國家安全、公共利益產(chǎn)生的影響,擬公開(kāi)前十個(gè)工作日前向北京市通信管理局提交重要數據和核心數據公開(kāi)申請,審批通過(guò)后予以公開(kāi),存在重大影響的不得公開(kāi)。對于法律、行政法規要求公開(kāi)的數據場(chǎng)景,應采用靜態(tài)脫敏等措施防止數據泄露或濫用。
第二十四條 電信領(lǐng)域數據處理者在中華人民共和國境內收集和產(chǎn)生的重要數據和核心數據,法律、行政法規有境內存儲要求的,應當在境內存儲,確需向境外提供的,應當依法依規進(jìn)行數據出境安全評估。
第二十五條 電信領(lǐng)域數據處理者應當建立數據銷(xiāo)毀制度,明確銷(xiāo)毀對象、規則、流程和技術(shù)等要求,對銷(xiāo)毀活動(dòng)進(jìn)行記錄和留存。個(gè)人、組織按照法律規定、合同約定等請求銷(xiāo)毀的,電信領(lǐng)域數據處理者應當銷(xiāo)毀相應數據。
銷(xiāo)毀重要數據和核心數據的,應當設置銷(xiāo)毀相關(guān)監督角色并采用多人操作模式,單人不得擁有完整操作權限。重要數據和核心數據銷(xiāo)毀后,不得以任何理由、任何方式進(jìn)行恢復;引起重要數據和核心數據目錄備案內容發(fā)生變化的,應當履行備案變更手續。
電信領(lǐng)域數據處理者發(fā)生重組、解散、宣告破產(chǎn)、業(yè)務(wù)撤銷(xiāo)等情形的,應當在有關(guān)情形發(fā)生前向北京市通信管理局報告,按照相關(guān)要求移交或銷(xiāo)毀數據。
第二十六條 跨主體提供、轉移、委托處理核心數據的,電信領(lǐng)域數據處理者應當評估安全風(fēng)險,采取必要的安全保護措施,并報送北京市通信管理局。北京市通信管理局按照有關(guān)規定進(jìn)行審查后報工業(yè)和信息化部。
第四章 支持與保障
第二十七條 加強數據安全人才培養和引進(jìn),推動(dòng)北京地區高等院校和職業(yè)院校加強數據安全相關(guān)學(xué)科建設;創(chuàng )新教育培養模式,鼓勵高等院校、職業(yè)院校、優(yōu)質(zhì)企業(yè)和培訓機構深化產(chǎn)教融合,培養實(shí)用型、復合型數據安全專(zhuān)業(yè)技術(shù)技能人才和優(yōu)秀管理人才。
第二十八條 鼓勵開(kāi)展數據安全知識宣傳普及、教育培訓,增強全市公共數據安全保護意識,推動(dòng)有關(guān)部門(mén)、行業(yè)組織、科研機構、企業(yè)和個(gè)人共同參與數據安全保護工作,提高數據安全風(fēng)險管理能力。
第二十九條 加強投訴舉報,北京市通信管理局健全數據安全違法行為投訴舉報機制,依法接收、處理投訴舉報,根據工作需要開(kāi)展執法調查。鼓勵電信領(lǐng)域數據處理者建立用戶(hù)投訴處理機制。
第五章 附則
第三十條 本細則自印發(fā)之日起施行。