工业和信息化领域数据安全合规指引
AI智能总结
工业信息安全产业发展联盟中国钢铁工业协会 中国有色金属工业协会 中国石油和化学工业联合会中国建筑材料联合会 中国机械工业联合会中国汽车工业协会中国纺织工业联合会中国轻工业联合会 中国电子信息行业联合会中国计算机行业协会 中国通信企业协会中国互联网协会 中国通信标准化协会 中国中小企业国际合作协会中国通信学会 工业和信息化部商用密码应用产业促进联盟 数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通等各环节,保障数据安全,事关国家安全大局。工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。随着数字化转型进入全面加速期,数据的价值和重要性不断提升,数据泄露、篡改、破坏导致的影响日趋严重。国家层面对数据安全更加重视,《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》等数据安全相关法律法规、政策文件不断颁布实施,为开展数据安全监管和保护工作提供了根本遵循,对数据处理者落实数据安全保护责任义务指明了方向、提出了要求。 工业和信息化部作为工业和电信行业数据安全工作的主管部门,结合行业实际,衔接法律法规,陆续出台发布了《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全行政处罚裁量指引(征求意见稿)》《工业和信息化领域数据安全风险评估实施细则(试行)》《工业和信息化领域数据安全事件应急预案(试行)》等政策文件,细化了工业和信息化领域数据处理者合法合规开展数据处理活动的实施路径和主要内容。编制《工业和信息化领域数据安全合规指引》,聚焦数据处理者在履行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,有利于支撑数据处理者全面、准确、规范开展数据安全合规管理,提升数据安全保护能力。 1工业和信息化领域数据安全合规建设概述1 1.1数据安全合规建设目的1 1.2数据安全合规建设依据1 1.3适用范围2 1.4术语和定义2 2数据分类分级4 2.1数据调研4 2.2数据梳理4 2.3数据分类4 2.4数据分级5 2.5目录报备5 2.6目录动态更新6 3数据安全管理体系7 3.1数据安全组织架构7 3.2数据安全管理制度10 3.3权限管理10 3.4内部审批、登记11 3.5系统与设备安全管理11 3.6容灾备份12 3.7合作方管理13 3.8日志管理15 3.9监督检查16 3.10配合监管17 4数据全生命周期保护19 4.1数据收集19 4.2数据存储20 4.3数据使用加工20 4.4数据传输21 4.5数据提供22 4.6数据公开23 4.7数据销毁23 4.8数据委托处理24 4.9数据转移24 4.10其他事项25 5数据安全风险监测预警、报告、处置26 5.1数据安全风险监测预警26 5.2数据安全风险信息报告26 5.3数据安全风险处置27 6数据安全事件应急处置28 6.1制定应急预案28 6.2开展应急演练28 6.3数据安全事件报告28 6.4应急响应28 6.5先行处置29 6.6总结上报29 6.7数据安全事件告知29 7数据安全风险评估30 7.1组建评估团队30 7.2确定评估范围30 7.3制定评估方案31 7.4实施风险评估31 7.5形成评估报告31 7.6评估时间及上报行业监管部门32 7.7风险评估特殊场景32 8数据出境安全管理33 8.1数据出境安全评估33 8.2订立个人信息出境标准合同36 8.3通过个人信息保护认证36 8.4个人信息出境的注意事项37 8.5数据出境的豁免情形37 8.6遵守出口管制要求的合规义务38 8.7境外执法或司法机构调取数据时合规义务38 9数据交易39 1工业和信息化领域数据安全合规建设概述 1.1数据安全合规建设目的 为引导工业和信息化领域数据处理者合法合规开展数据处理活动,履行数据安全保护义务,保障数据安全,保护个人、组织的合法权益,维护国家主权、安全和发展利益,根据我国现行数据安全法律法规以及工业和信息化领域相关政策标准,制定本指引。 1.2数据安全合规建设依据 《中华人民共和国国家安全法》 《中华人民共和国数据安全法》 《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》 《网络数据安全管理条例》 《促进和规范数据跨境流动规定》 《数据出境安全评估办法》 《个人信息出境标准合同办法》 《个人信息保护认证实施规则》 《工业和信息化领域数据安全管理办法(试行)》 《工业和信息化领域数据安全风险评估实施细则(试行)》 《工业和信息化领域数据安全事件应急预案(试行)》 《数据安全技术数据分类分级规则》 《信息安全技术信息系统密码应用基本要求》 《工业领域重要数据识别指南》 《工业企业数据安全防护要求》 《工业领域数据安全风险评估规范》 《电信领域重要数据识别指南》 《电信领域数据安全分级保护要求》 《电信领域数据安全风险评估规范》 1.3适用范围 工业和信息化领域数据处理者可参照本指引开展数据处理活动全生命周期安全保护工作。本指引所称工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、电信和互联网企业,以及无线电频率、台(站)使用单位等工业和信息化领域各类主体。 数据处理过程中涉及工业和信息化领域数据的其他有关主体,可参照本指引落实数据安全责任义务。 1.4术语和定义 1.4.1重要数据 指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响工业和信息化领域数据处理者自身的数据一般不作为重要数据。 1.4.2核心数据 指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可直接对国家安全、经济运行、社会稳定、公共健康和安全造成严重危害的数据。 1.4.3一般数据 核心数据、重要数据之外的其他数据。 1.4.4重要数据和核心数据处理者 数据处理活动中自主决定重要数据和核心数据处理目的、处理方式的主体。 1.4.5一般数据处理者 数据处理活动中自主决定一般数据处理目的、处理方式的主体。 1.4.6行业监管部门 本地区本领域的工业和信息化主管部门、通信管理局和无线电管理机构,统称为地方行业监管部门。 工业和信息化部及地方行业监管部门统称为行业监管部门。 1.4.7工业数据 工业领域各行业企业在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。 1.4.8电信数据 电信和互联网企业在经营活动中产生和收集的数据。 2数据分类分级 2.1数据调研 定期对本单位数据情况,以及数据安全管理制度、组织架构、人员配备、技术防护、风险监测能力等内容进行现状调研,明确当前所处数据安全管理水平,明晰数据安全保护薄弱环节,为进一步做好数据安全工作提出工作举措。 2.2数据梳理 (1)每年对本单位数据至少开展一次全面梳理,形成数据清单,并跟踪维护。数据清单包含数据类型、级别、规模、数据处理方式、存储位置、用途、出境情况、共享应用情况等内容,详见附件。 (2)梳理过程中,可综合考虑业务规模、种类,数据数量、种类,涉及系统的复杂程度等因素,组建由管理层、数据安全管理责任部门、数据所属部门(包括职能部门和业务部门)等人员组成的工作团队,制定工作计划,分解任务,全面、系统梳理数据。 (3)建立数据清单的例行维护机制,对数据变更的跟踪、审核和更新进行动态管理。 2.3数据分类 按所属行业要求、特点、业务需求、数据来源和用途等,对数据进行分类,具体可采取“所属行业——业务领域——业务特点(属性)——细化业务特点(属性)”的分类方式制定数据分类规则: (1)工业领域可分为研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据、人事财务数据等)、外部数据域(与其他主体共享的数据等)等。 (2)电信数据分类可分为网络规划运维数据域(网络规划建设、网络运行维护等)、安全保障数据域(网络与数据安全保障、物理安全保障、应急通信保障等)、经济运行与业务发展数据域(发展战略与重大决策、关系国家安全和公 共利益的非公开统计数据等)、关键技术成果数据域(涉及电信领域出口管制物项相关数据,重大科技成果、国家科技计划等活动中产生的先进技术数据等)等。 可结合自身业务特点进一步细化三、四级数据分类。 2.4数据分级 工业和信息化领域数据分为一般数据、重要数据和核心数据三级,具体数据分级步骤如下: (1)重要数据识别 工业领域重要数据从国家秘密生成、国家安全、行业发展安全、出口管制物项、行业特色以及其他共6个维度进行识别。具体识别规则可参照《工业领域重要数据识别指南》。 电信领域重要数据从反映信息系统重要程度、影响行业发展程度、科技成果先进程度数据,以及人群覆盖程度等维度进行识别。具体识别规则可参照《电信领域重要数据识别指南》。 (2)核心数据识别 核心数据识别由行业监管部门审核确定。 (3)一般数据识别 结合本单位业务情况及业务经营管理需求,可对一般数据进行进一步细化分级。 2.5目录报备 (1)完成全部重要数据识别工作后,根据识别结果规范填写重要数据目录备案表。备案表主要包括数据基本情况、责任主体情况、数据处理情况、数据安全情况等信息。 (2)按工作部署要求主动报送重要数据目录,如每年8月30日前向地方行业监管部门报送重要数据目录。 (3)如重要数据目录未获得地方行业监管部门审核认定,则按要求修改完善目录后重新报备,或者重新开展重要数据识别和目录报送工作。 (4)根据地方行业监管部门审核认定的重要数据目录,按要求开展保护。 2.6目录动态更新 发生下述情形之一时,在发生变化的三个月内向地方行业监管部门履行备案变更手续,更新目录备案表,说明具体情况。 (1)重要数据和核心数据的类别或规模(条目数量或者存储总量)变化30%以上。 (2)其他备案内容发生重大变化的,如变更重要数据和核心数据的详细描述、数据安全风险评估情况、数据安全负责人等。 (3)销毁、转移重要数据和核心数据。 在上述工作中,可根据自身业务发展需要,聘请技术专家、第三方咨询机构参与、指导数据梳理、数据分类分级、目录备案管理等工作,确保结果的准确性、规范性。 3数据安全管理体系 3.1数据安全组织架构 3.1.1一般数据处理者 (1)配备数据安全管理责任部门 明确数据安全管理责任部门,配备熟悉数据安全相关法律法规、专业技术知识等的专职或兼职数据安全管理人员。 数据安全管理责任部门负责统筹本单位数据处理活动的安全监督管理,可独立设置,也可结合实际情况由职责相近的有关部门负责,主要承担以下职责: 组织制定本单位数据安全管理制度规范与工作计划,并推动其有效实施。 统筹实施、指导数据安全管理工作,并对数据安全管理情况进行评估与检查。 为单位内相关职能部门提供数据安全咨询与支持。 及时向管理层报告数据安全重大风险和数据安全工作落实情况。 对行业监管部门开展监管执法工作予以积极配合。 与其他数据所属部门协同,确保数据安全管理工作的全面性与有效性。 (2)开展数据安全教育与培训 定期组织或协助相关部门开展数据安全培训,每年至少开展一次。 结合业务经营需求制定数据安全培训计划,明确培训内容、频率、人员、时长、考核要求等。 培训范围包括数据安全管理、评估、审计以及系统开发运维、业务运营、客户服务等人员。 培训内容包含岗位内数据安全有关职责、数据安全法规、
