炼石图解工业和信息化领域数据安全合规指引.V1(11月)
AI智能总结
炼石 ClpherGatewoy 图解 《工业和信息化领域数据安全合规指引》 (2024年) 炼石网络 2024年11月 总体结构及参考文献炼石 本次耀 0103040506 ClpherGatewcy 工业和信息化领域工业和信息化领域工业和信息化领域工信领域数据安全工信领域数据安全 数据安全合规指引数据安全管理办法数据安全风险评估风险信息报送共享行政处罚裁量指引 合规建设权述1总则1管理机构与评估机构总则1总则 32数据分类分级 2评估内容与评估流程2监督检查 4 政据安全管理体系2数据分类分级管理 数据全生命固期保护 3评估准备与信息调研组织机构及职责 3数据安全行政处罚情形 5风险监测预警报告处置 3致据全生命周期安全管理 4风险识别与风险控制 4行改处罚裁量权适用规则 6数据安全手件应总处置 7致据安全风险评估 4监测预警与应急管理5评估总结与评估报送 风险信息报送 4 工业和信息化领域数据安全行政处 8数据出境工业和信息化额媒数基安全风险评 风险信息研判与共享 罚极量指引(试行)延求意见稿) 9数据交易 02 5检测、认证、评估管理 6监督检查 5保障措施 工业领域数据安全能力提升实施方案 7法律责任相关模板 1总体要求8附则工业和信息化领域数据安全风险 2重点任务信息报送与共享工作指引(试行) 3保障措施工业和信息化领域数据安全 工业领域数据安全能力提升 实施方案(2024-2026年) 管理办法(试行)网络数抵安全风险评估实指引07 工业和信息化领域 数据安全建设实践 1工业国密合规实践 2工业数据安全实战防护实践 3工业数据要系流通实践 炼石 CipherGatewoy 01工业和信息化领域数据安全合规指引 02工业领域数据安全能力提升实施方案 03工业和信息化领域数据安全管理办法 04工业和信息化领域数据安全风险评估 05工信领域数据安全风险信息报送共享 06工信领域数据安全行政处罚裁量指引 0了工业和信息化领域数据安全建设实践 《工业和信息化领域数据安全合规指引》发布 炼石 CipherGatewcy 关于联合发布(工业和值息化领地监提安全合规制型)的通知 中国石省化学工业员会 疗,生国机械工业联合会中国纺织工业联合会 中国电子信息行业联有司2A中国计择执行业协会中国通信企业的会中国平联用的鱼 中国中小全业国际业国协会 》工业和信惠化部高用密高应用产北促进联量 2024年11月19日,为贯彻落实《数据安全法》《网络数据安全管理条例”工业和信息化领域数据安全管理办法(试行)等法律政策要求, 化领域数据安全合规指引》正式发布,聚焦数据处理者在展行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,有利于支撑数据处理者全面、准确、规范开展数据安全合规管理,提升数据安全保护能力。 法律依据T法规依据T 数据安全法网络安全法个人信息保护法网络数据安全管理条例数据出境安全评估办法促进和规范数据跨境流动规定 行业法规 工业和信息化领域数据安全管理办法(试行)工业和信息化领域数据安全行政处罚裁量指引(征) 工业和信息化领域数据安全出件应急预案(试行)工业和信息化领域数据安全风险评估实施细则(试行) 炼石 《工业和信息化领域数据安全合规指引》制定背景CipherGotewos 工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军 敬据作为新型生产要素,是数字化、国家层面对数据安全更加重视,数工业和信息化部作为工业和电信行业缩制&工业和信息化领域数据安全合网络化、智能化的基础,已快速融入据安全法”网络安全法”个人信数据安全工作的主管部门,结合行业规指引,聚焦数据处理者在履行致 生产。分配、流通等各环节,保障数息保护法》《网络敌据安全管理条例实际,街接法律法规,陆续出台发布据安全保护义务过程中的难点问题,据安全,事关国家安全大局。工业和敌据出境安全评估办法促进和工业和信息化领域数据安全管理办明确数据安全合规依据,提供实务指 信息化领域是数字经济发展的主阵地规范数据跨境流动规定:等数据安全法(试行)》工业和信息化领域数引,有利于支撑数据处理者全面、准和先导区,是推进数字经济做强做优相指关法律法规、政策文件不断领布实据安全行政处罚裁量指引(征工确、规范开展数据安全合规管理,提 做大的主力军。随若数字化转型进入施,为开展数据安全监管和保护工作业和信息化领域数据安全风险评估实升数据安全保护能力。全面加速期,数据的价值和重要性不提供了根本遵循,对数据处理者落实施细则(试行)《工业和信息化领 断提升,数据泄露、喜改、破坏导致数据安全保护责任义务指明了方向、域数据安全事件应急预案(试行)》 5 的响月趋严重。提出了要求。等政策,细化工业和信息化领域数据处理者合法合规开展数据处理活动的 实施路径和主要内容。 锚定合规建设目的、细化建设依据 炼石 CipherGatewey 1.合规建设概述数据安全合规建设目的 人 2.数据分类分级为引导工业和信息化领域数据处理者合法合规开展数据处理活动,履行数据安全保护义务,保障数据安全,保护个组织的合法校益,维护国家主权、安全和展利益,根据我国现行数据安全法律法规以及工业和信息化领域相 3.效培安全首理体系关政策标准,制定本指引。 4.数据全生命周期保 护 5.效培安全风险监测 数据安全合规建设依据 序号类型名称序号类型名称 预警、报告、处置中华人民共和国国录安全法》13 设据安全技术致据分类分规规则3 2法律 “中华人民共和国数据支全法》 信息安全技术信息系统密蚂皮用基本要求 6.效挥安全亦件应急3中华人民共和国网端安全法14 处置4(中华人民共和国个人信息保护法) 5(网络致据安全管理案例) 15《工业领域重要数据识别指百》 7.效培安全风险评估6【促进和规范数据跨坏激动规定】16标注《工业企业数据安全防护装究” 17 T微据出境安全原告办法) 8电门《个人信息出境标准合同办法 超市工业教垃数基安全风险计估规范3 8.数据出境9规章个人信息保护认证实施规则18“电信领域重要数据识划指南” 10(工业和信息化额基数表安全管理办法(试行)) 11工业和信息化量域数据变全风险评估实起组则【试行】》 19《电信额垃数择安全分级保护更求》 9.效据交易12《江业和信息化彻域数据变全事件控急预案《试行)》20《电信额域数据安全风险评估规范芯》 明确适用范围及重要定义 炼石 CipherGatewey 1.合规建设概述适用范国 2.数据分类分级工业和信息化领域数据处理者可态照本指引开展数据处理活动全生命周期安全保护工作。 本指引所称工业和信息化领域数据处理者是指数店处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业,电信和互联 网企业,以及无线电频率、台(站)使用单位等工业和信息化领域各类主体。 3.效培安全首理体系数据处理过程中涉及工业和信息化领域数据的其他有关主体,可参照本指引落实敌据安全责任义务。 数据处理活动中自土决定处理日的,处理方式的工业企业软件和信息提术服充企业电慎和互联网企业无城电额率,台(站》使用单位 4.数据全生命周期保 护 5.效培安全风险监测 术语和定义 预警、报告、处置本要数据工业数据行业监管部门 特定酒域、特定群体、特定区或者达到一定精度和现模,一旦适到本地区本领城的工业和信息化主管部门、通信 6.效择安全事件应急总改、表坏,过露或者非法获取,非法利用,可能直按位害国家安全,工业域各行业企业在研发设计、生管理局和无线电管理机构,统称为地方行业置 处置经济运行、社会程定、公共健康和支全的致露。仅影响工业和信息化 管部门,工业和信息化部及地方行业监管门 产制造、经营管理、运行维护、平台统辞为行业监管部门。 领域致据处理者自身的效据一般不作为重要致据。运营节过程中产生和收生的数量。 7.效培安全风险评估核心激据 特定参域、特定群体、特定区成或者达到一定精度和规权,一日造到稳改。电信数据 破坏、汇靠或普非法获取、非法利用,可直接对国家安全、经济运行、社 重要数据和核心数据处理者 数提处理活动中自土决定重费效据和校心数担处理目的、处理方式的主体。 8.数据出境 会稳定,公共社中和安全造成严重危害的数据。 电信和互联网企业在经营活动中产 般数据处理者 般数据生和收集的致据数据处理活动中白主决定一散数据处理目的。 9.数据交易格心数据,重婴数求之外的其他改据。处理方式的主体。 明确当前所处数据安全管理水平,明晰数据安全保护薄弱环节 炼石 CipherGatewet 1.合规建设概达1数据调研》2数据梳理》3数据分类》4数据分级5目录报备》6目录动态更新 2效据分类分级 定期对本单位数据情况,以及数据安全管理制度、组织架构、人员配备、技术防护、风险监测能力等 3.数培安全管理体系内容进行现状调研,明确当前所处数据安全管理水平,明晰数据安全保护薄弱环节,为进一步做好数 据安全工作提出工作举措。 4.数据全生命周期保 中 5.效培安全风险监测 预警、报告、处置 6.效据安全事件应息 处互 BECURITY RISKMANAGEMENT 7.效培安全风险评估 8.数据出境 9.效据交易 本单位数据情况数据安全管理制度组织架构人员配备技术防护风险监测能力 全面厘清数据资产情况,提升数据资产全过程管理水平 炼石 CipherGotewcy 1.合规建设概达》5目录报备》6目录动态更新 2.数据分类分级梳理数据资产清单 3.效培安全首理体系 + 每年对本单位数据至少开展一次全面梳理,形成数据清单,并跟踪维护。 4.数据全生命周期保 护 数据资产消单内容 包含数据类型、级别、规模、数据处理方式、存储位置、用途、出境情况、共享应用情况等 5.效培安全风险监测内容,详见附件 预警、报告,处置 6.效据安全事件应息 处互 考忠因本综合考虑业务规模、种类,数据数量、种类,涉及系统的复杂程度等因素 工作团队 组建由管理层、数据安全管理责任部门、数据所居部门(包括职能部门和业务部门)等人员组成的工作团队 7.效培安全风险评估 梳理过程 梳理流程制定工作计划,分解任务,全面、系统梳理数据 8.数据出境 持续跟踪建立数据洁单的例行维护机制,对数据变更的跟踪、审核和更新进行动态管理 9.效据交易 炼石 rGatewa 1.合规建设概达1数据调研2数据梳理3数据分类4数据分级5日录报备》6日录动态史新 2.数据分类分级按所属行业要求、特点、业务需求、数据来源和用途等,对数据进行分类,具体可采取“所属行业一一业务领域一一业务特点 (屈性)一细化业务特点(屈性)的分类方式制定数据分类规则 3.效培安全管理体系研发数据域(研发设计数据、开发测试数据等) 生产数据域(控制信息、工况状态、工艺参数、系统日志等) 4.数据全生命周期保 护 5.效培安全风险监测 预警、报告、处置 运维数据域(物流数据、产品售后服务数据等) 工业数据分类管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据、人事财务 敬据等) 外部据域(与其他主体共享的敬据等)等 6.效据安全事件应息 处置 网络规划运维数据域(网络规划建设、网络运行维护等) 安全保障数据域(网络与数据安全保障、物理安全保障、应急通信保障等) 经济运行与业务发展数据域(发展战路与重大决策、关系国家安全和公共利益的非公开统计数起 7.效培安全风险评估电信数据分类( 关键技术成果数据域(涉及电信领域出口管制物项相关数据,重大科技成果、国家科技计划等活 8.数据出境动中产生的先进技术数据等)等 9.效据交易 可结合自身业务特点进一步细化三、四级数据分类。 明确工业和信息化领域数据分级规则及参照指南 炼石 CipherGotewcy 1.合规建设概达1数据调研2数据梳理3数据分类4数据分级5日录报备6日录动态史新 2效据分类分级工业和信息化领域数据分为一般数据、重要数据和核心数据三级,具体数据分级步骤如下: 《 3.效培安全首理体系 4.数据全生命
