关于开展“之江数安”2023年浙江省电信和互联网行业数据安全专项行动的通知

为进一步提升浙江省电信和互联网行业数据安全防护水平,做好杭州亚运会数据安全保障工作,根据工业和信息化部、省委省政府有关工作部署,现决定开展“之江数安”2023年浙江省电信和互联网行业数据安全专项行动。有关事项通知如下:

一、总体要求

以习近平新时代中国特色社会主义思想为指导,深入学习贯彻党的二十大精神,按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》与《工业和信息化领域数据安全管理办法(试行)》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等法律政策要求,统筹发展与安全,全面提升电信和互联网行业数据安全管理水平,加快推动数据安全管理工作制度化、规范化,促进数据合规流通和利用,以高质量数据安全管理保障高质量数字经济发展。

二、工作内容

1、建立数据安全责任人机制,试点首席数据官制度。各企业应建立完整的数据安全工作体系,明确数据安全负责人和管理机构及数据处理关键岗位和岗位职责。各企业法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人。鼓励基础电信企业、重点互联网企业试点建立首席数据官制度,设置首席数据官(CDO),负责数据安全管理与合规基础上的数据开发利用。

2、重要数据和核心数据识别与备案。各企业应做好数据分类分级和数据保护工作,按照《工业和信息化领域数据安全管理办法(试行)》等相关要求识别重要数据和核心数据,形成具体目录并报我局备案,备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。具有重要数据和核心数据的企业为电信和互联网行业重要数据和核心数据处理者,要建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。每6个月进行一次更新备案,有重大变化的(标准详见《工业和信息化领域数据安全管理办法(试行)》)应当依法依规履行备案变更手续。

3、数据安全风险评估管理。各企业均应全面开展电信和互联网行业数据安全风险评估管理。电信和互联网行业重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对本单位数据处理活动至少开展一次风险评估,及时整改风险问题,形成风险评估报告。电信和互联网领域数据安全风险评估内容包括合规性评估、安全风险分析两部分,其中合规性评估重点分析数据处理的种类、数量、目的、方式、范围以及保障能力等是否符合法律、行政法规要求,安全风险分析主要为识别风险源、安全影响分析以及综合风险研判。

4、数据安全监测预警与通报。各企业应当建立内部工作机制,开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险;对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施;在发生数据安全事件后,各企业应当及时开展应急处置,并第一时间向省通信管理局报告,在事件处置完毕后5个工作日内,向省通信管理局提交调查评估报告。鼓励本省各安全服务机构、行业组织、科研机构等依法合规开展数据安全风险信息监测、上报和共享。

5、数据全生命周期安全管理。各企业应切实履行数据安全的主体责任,严格落实数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期的安全管理要求,建立数据全生命周期处理记录文档,记录数据处理、权限管理、人员操作等日志。电信和互联网行业重要数据和核心数据处理者应采取必要的管理和技术措施强化重要数据和核心数据安全保护。在数据全生命周期处理过程中,各企业应完整、准确记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。

6、数据安全能力建设。鼓励企业开展数据开发利用和数据安全技术研究,加强工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。鼓励在数据安全方向具备相应专业能力的机构,依据相关标准开展电信和互联网行业数据安全监测、检测、评估、认证工作,提升我省数据安全保障能力,促进数据创新应用。

7、数据安全人才队伍建设。建立完善数据安全支撑单位、人才库建设,遴选一批技术先进、特点突出、应用成效显著的数据安全典型案例和创新主体,加强示范引领。依托省互联网协会,建立以技术实力、服务能力为导向的数据安全支撑力量,加快数据安全专业人才队伍培养,赋能数据安全合规实践,促进行业数据安全产业发展。

三、工作安排

本次专项行动分为3个阶段,自即日开始到2023年12月结束,力争取得阶段性成效,之后转入巩固期,确保专项整治取得真正实效。

(一)部署实施阶段(通知印发之日起至8月30日)

省通信管理局将召开会议部署专项工作;建立健全重要数据和核心数据目录备案审核、报备机制,形成浙江省电信领域数据安全风险防控重点企业名录;指导浙江省互联网协会开展培训工作。

(二)监督检查阶段(9月1日至11月15日)

省通信管理局将组织专业技术机构通过现场检查、远程抽测等方式开展合规督查,结合日常监督情况,依托社会团体等组织对工作优秀的企业予以表扬。

(三)总结提升阶段(11月15日起至12月15日)

各单位要结合实际,总结专项行动中取得的成功经验、存在的问题,浙江省电信领域数据安全风险防控重点企业(另行通知)应于12月15日前将数据安全工作总结报送我局。

四、工作要求

(一)提高思想认识,加强组织落实。各企业要深刻认识数据安全的重要性和紧迫性,根据专项行动要求,建立一把手负责制,强化组织落实、加强内部协同、细化工作措施,分步骤、有重点地推进数据安全管理工作。

(二)健全长效机制,强化主体责任。各企业要建立健全涵盖识别、备案、评估、全生命周期管理等内容的数据安全长效管理机制。电信和互联网领域重要数据和核心数据处理者应于2023年8月30日前将本单位重要数据和核心数据目录报我局备案,11月15日前将数据安全风险评估报告报送我局。后续,新识别出重要数据和核心数据的企业应及时进行重要数据和核心数据目录备案,已完成重要数据和核心数据目录备案的企业应按文件要求开展备案变更工作。

(三)加大社会共治,强化行业自律。浙江省互联网协会要发挥好数据安全专业委员会作用,强化数据安全技术能力研究,开展数据安全新技术、新产品应用试点示范,加强学习培训和宣传引导,引导全行业牢固树立数据安全责任意识,提升数据安全管理水平和保障能力,推进形成行业自律、协同共治的工作格局。

浙江省通信管理局

声明:本文来自浙江省通信管理局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。