2023年2月28日,上海市通信管理局通过《关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》(以下简称“《通知》”,原文请见:上海市通管局正式开展“浦江护航”2023年电信和互联网行业数据安全专项行动)向电信和互联网企业提出了数据安全六大重要任务,其中,对于重要数据和核心数据识别认定及目录备案、数据安全风险评估这两项任务,要求企业分别在5月31日及11月30日这两大期限前完成。

近一个月以来,电信和互联网领域相关企业正紧锣密鼓地开展相关工作以落实行动任务。本文将在梳理“浦江护航”行动任务主要内容的基础上,为企业开展数据安全风险评估提供进一步指引。

01 “浦江护航”行动任务的主要内容

“浦江护航”行动的法律依据

由上图可见,“浦江护航”行动六大重要任务是上海市通信管理局为了贯彻落实《数据安全法》(以下简称“《数安法》”)《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”)《上海市数据条例》(以下简称“《数据条例》”)等法律法规对数据安全的监管要求,在电信和互联网领域实施的具体监管举措。六大重要任务的要点如下:

1、试点实施电信和互联网行业首席数据保护官制度

任务内容:电信和互联网企业应当在数据管理组织中,设立本单位首席数据官并明确工作职责,并报上海市通信管理局备案。

上海市通信管理局将制定发布《上海市电信和互联网行业首席数据官制度建设指南(试行)》(以下简称“《指南》”)以指导此项任务的落实。

“首席数据官”制度直接源于《数据条例》第六条——首席数据官由本区域、本部门、本单位相关负责人担任。实践中,企业内部关于网络数据安全的工作由多部门分工负责较为常见,在正式的《指南》文件出台之前,不少企业对于落实首席数据官制度还持观望态度。我们建议,在《指南》正式出台前,电信和互联网企业可按照如下流程和规定确定责任人员,以尽快落实“浦江护航”行动任务:

2、开展重要数据和核心数据识别认定及目录管理

任务内容:电信和互联网行业数据处理者应当在5月31日前完对本单位重要数据和核心数据的识别认定,形成具体目录后,通过上海市通信管理局指定的填报工具提交备案申请。

备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,体现到备案表中需填报共计48项内容。备案填报不包括数据内容本身。

电信和互联网行业数据处理者应当每6个月进行一次更新备案,如备案内容有重大变化的,还应当履行备案变更手续。

企业应先判断自己是否属于电信数据处理者。电信业务经营者包括基础电信业务经营者和增值电信业务经营者,判断依据为工业和信息化部发布的《电信业务分类目录》。

如为电信数据处理者,应对重要数据和核心数据进行识别认定。根据《电信领域重要数据和核心数据识别指南(试行)》,具体可参照以下分类分级的维度:

3、开展电信和互联网行业数据安全风险评估管理

任务内容:电信和互联网领域的重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次数据安全风险评估,及时整改风险,并于11月30日前向上海市通信管理局提交评估报告。

评估可参照电信网和互联网数据安全有关评估要点和评估规范开展。

值得提示的是,尽管在“浦江护航”行动中要求企业在11月30前提交数据安全风险评估报告,但实际上企业在2023年5月31日前提交重要数据和核心数据目录备案时,备案表的第44至48项中便要求企业需就是否开展数据安全风险评估及相关评估情况进行填报。因此,我们建议,如企业本年度还未开展数据安全风险评估,应当尽快启动相关工作,以满足重要数据和核心数据目录备案的填报要求。

关于电信和互联网行业如何开展数据安全风险评估,将在下文中具体讲解。

4、开展常态化数据安全监测预警与通报处置

任务内容:电信和互联网企业应当依托首席数据官制度,建立内部工作机制,开展数据安全风险监测,及时排查安全隐患。

如发生可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施;在数据安全事件发生后,应当及时开展应急处置,并第一时间向市通信管理局报告。

企业应从风险监测和应急响应两个方面落实本项任务。

5、加强企业数据全生命周期安全管理

任务内容:电信和互联网企业应当对数据处理活动负安全主体责任,在数据全生命周期的处理过程中,应当:

(1)对各类数据实行分级防护;

(2)收集数据应当遵循合法、正当的原则;

(3)对外提供数据,应当明确提供的范围、类别、条件、程序等;

(4)建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存;

(5)销毁重要数据和核心数据后,不得以任何理由任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续;

(6)记录数据处理、权限管理、人员操作等日志,日志留存时间不少于六个月。

本项任务是上海市通信管理局为落实《管理办法》第三章中的规定向电信和互联网企业提出的具体要求。值得提示的是,根据《通知》,为了加强对企业数据全生命周期安全管理落实情况的督查,上海市通信管理局将开展实地专项检查工作,因此,不论企业是否属于重要数据或核心数据处理者,我们建议均应当按照数据全生命周期安全管理的要求落实数据安全保护义务。

6、加强数据安全能力建设和人才培养

任务内容:在加强数据安全能力建设方面,上海市通信管理局将围绕数据安全产业中的各大参与主体,提供相应的支持鼓励措施,包括鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,指导、鼓励在数据安全方向具备相应专业能力的机构,依据相关标准开展电信和互联网行业数据安全监测、检测、评估、认证工作。

在人才培养方面,上海市通信管理局将开展2023年“上海市通信管理局网络和数据安全支撑单位”选拔工作,并加强数据安全方向的专业机构遴选,指导行业组织、专业机构等开展数据安全公益性系列培训。

企业数据安全培训是企业实现数据安全的重要保障,对于电信和互联网企业而言,一方面,应当积极参加行业的相关外部培训;另一方面,应当在企业内部建立数据安全教育培训制度,定时开展数据安全内部培训。值得提示的是,企业内部数据安全教育培训情况需要纳入年度数据安全风险评估的内容,企业应认真开展相关培训工作,做好培训记录。

02 如何开展数据安全风险评估

开展数据安全风险评估并提交相关评估报告是“浦江护航”行动中最重要的任务之一,其旨在落实《数安法》第三十条和《管理办法》第三十一条的有关规定,是上海市通信管理局对电信和互联网企业实施数据安全全面监管的重要举措。《通知》概括性地指出各单位应当参照电信和互联网数据安全有关合规性评估要点和评估规范,从组织机构、制度建设、管控措施、安全技术、全生命周期管理等方面开展数据安全评估。具体地,电信和互联网企业如何开展数据安全风险评估,下文将根据电信和互联网数据安全有关合规性评估要点和评估规范提供初步指引。

1、评估的流程

企业开展数据安全风险评估主要可分为以下三个阶段:

针对各阶段中所涉及的重点工作及要点内容梳理如下:

2、评估的方法

根据电信和互联网数据安全评估规范,数据安全风险评估中,常用的评估方法一般包括文档查验,人员访谈,系统演示,测评验证。

以上为最常见的四种评估方法,针对各项评估指标,企业在评估过程中可以综合、结合运用各种方法,例如:

在对权限管理进行评估时:

(1)先用文档查验的方式查验企业数据访问权限管理制度,核查企业在数据访问权限方面是否具备成文的管理制度,以及制度内容中是否已明确账号权限分配、开通、使用、销毁等安全保障原则和审批流程等细则要求;

(2)除核查是否具备相应制度外,还应当通过系统演示的方法,验证企业在系统平台的数据处理活动中是否按照制度规定对账号及权限实施了访问控制等管控措施。

3、评估工作的主要内容

基于上述对评估流程和方法的介绍,评估工作的主要内容如下:

3、评估指标的框架

根据电信和互联网数据安全评估规范,数据安全风险评估可分为通用性管理评数据全生命周管理评估两部分:

评估指标的总体框架如下:

5、评估的内容

基于上述评估指标的框架,企业应当比照合规基线要求,对评估指标逐项明确评估项,形成评估要素表。评估团队将通过各种评估方法,按照评估要素表逐项进行查验和评估。企业在实践中可参考下图中的评估项内容,并依据合规尺度进一步细化。

6、评估报告的结构

根据电信和互联网数据安全评估规范,安全评估报告应当包括以下组成部分:

数据安全风险评估报告的样式可参考下图:

总结语

“浦江护航”行动是上海市通信管理局在电信和互联网领域重点开展的数据安全相关工作。随着2023年1月1日《管理办法》正式施行,上位法依据进一步完善,六大重要任务所承载的数据安全管理要求将在电信和互联网领域正式落地。值得提示的是,上海市通信管理局还将组织对电信和互联网企业落实“浦江护航”行动任务的情况进行专项督查,对工作优秀的单位将予以表扬,对责任落实不到位的单位将进行通报和处置。

我们建议,企业内部管理层应当提升对“浦江护航”行动任务的认识,尤其应充分了解数据安全相关法律责任,在组织内部自上而下协调各部门人员积极配合,结合企业实际业务和数据处理情况,组建专门工作小组并制定工作方案,以便尽快开展相关工作。此外,企业还可依托外部第三方机构的专业服务开展工作,赛博研究院作为上海市通信管理局选定的首批“数据安全评估服务机构”,具备扎实的研究能力及显著的专业优势,可为企业提供包括数据安全风险评估在内的数据合规咨询服务。‍‍‍

为更好地帮助电信和互联网企业提升数据安全防护与合规水平,上海市通信管理局推出“‘浦江护航’上海市电信和互联网行业数据安全专项行动系列公益培训”,培训活动由赛博研究院承办。本系列公益培训的第二期预计将于4月4日14:00举行,报名通道现已开启,具体请见:培训 | “浦江护航”上海市电信和互联网行业数据安全专项公益培训(第二期)报名开启

作者:上海赛博网络安全产业创新研究院 高级研究员/咨询顾问 陶然彩

如需咨询数据安全评估服务,请扫二维码联系本文作者:

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。