北京國舜科技股份有限公司

Beijing UnisGuard Technology Co.,Ltd

北京市海淀區高梁橋斜街42號融匯國際大廈東區三層

安全產品

開發安全

SOAR

業務安全

網頁防篡改

安全服務

安全培訓

安全咨詢

攻防演練

安全評估

解決方案

開發安全

實戰攻防演練

城市安全運營

銀行行業

關于我們

企業介紹

榮譽認可

加入我們

聯系我們

聯系我們

熱線:400-696-8096

電話:010-82838085

郵編:100044

郵箱:contact@unisguard.com

關注我們

Copyright ?

unisguard.com All Rights Reserved.

北京國舜科技股份有限公司

版權所有

京ICP備09050222號

京公網安備110108000272號

《北京地區電信領域數據安全管理實施細則》全文

分類: 安全資訊

發布時間: 2023-07-26 16:44:02

標簽:

作者:

閱讀量: 155

新聞來源: 北京市通信管理局

《北京地區電信領域數據安全管理實施細則》全文

北京地區電信領域數據安全管理實施細則

第一章 總則

第一條 為了加強北京地區電信領域數據安全管理工作,進一步提高數據安全保護水平,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《工業和信息化領域數據安全管理辦法(試行)》《關于更好發揮數據要素作用進一步加快發展數字經濟的實施意見》等法律法規和有關規定,結合本市實際,制定本細則。

第二條 北京地區的電信領域數據處理者開展數據處理活動及其安全監管,應當遵守相關法律、行政法規和本細則的要求。

第三條 本細則所稱電信領域數據是指在電信業務經營過程中產生和收集的數據,包括各類基礎電信業務和增值電信業務數據。

電信領域數據處理者是指數據處理活動中自主決定處理目的、處理方式的取得電信業務經營許可證的電信業務經營者。

數據處理活動包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開等活動。

第四條 在工業和信息化部統籌指導下,北京市通信管理局負責北京地區電信領域數據安全的組織協調、統籌規劃和監督管理工作。

第五條 數據安全管理應當堅持總體國家安全觀,統籌數據發展與安全,鼓勵數據開發利用,加強數據治理,保證數據供給、流通、使用全過程安全合規。

第二章 基礎性數據安全保護要求

第六條 電信領域數據處理者應當每年至少開展一次數據梳理工作,按照電信領域重要數據和核心數據識別標準識別重要數據和核心數據,相關工作開展情況按年度形成報告并報送北京市通信管理局,報告內容包括數據梳理工作開展情況、數據分類分級情況、數據分級防護措施等。

第七條 電信領域數據處理者應當按要求將識別出的重要數據和核心數據進行目錄填報,并報北京市通信管理局備案。備案內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況,不包括數據內容本身。

備案內容發生重大變化的,電信領域數據處理者應當在發生變化的三個月內履行備案變更手續。重大變化是指某類重要數據和核心數據規模(數據條目數量或者存儲總量等)變化30%以上,重要數據或核心數據類別新增或減少,數據安全情況、責任主體信息發生變動,或者其他備案內容發生變化。

北京市通信管理局對備案信息完整性、重要數據和核心數據類別、級別、數據量等填報內容準確完備性進行審核,在電信領域數據處理者提交備案申請的二十個工作日內完成并反饋審核結果。備案未通過的申請人應當在收到反饋情況后的十五個工作日再次提交備案申請。

北京市通信管理局對重要數據和核心數據目錄備案落實情況進行監督檢查,電信領域數據處理者應當予以配合。

第八條 電信領域數據處理者應當根據實際工作需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理。

電信領域重要和核心數據處理者還應當建立覆蓋本單位相關部門的數據安全工作體系,明確數據安全負責人和管理機構,負責牽頭內部數據安全管理工作,明確數據處理關鍵崗位和崗位職責,要并配備具備相應技能水平的專職人員,定期參與行業認可的數據安全考核與培訓。

第九條 電信領域數據處理者應加強權限審批管理,合理配置數據處理活動的權限,明確各部門和相關人員權限管理要求,包含但不限于數據處理活動平臺系統賬號權限分配原則、流程等,建立并定期更新權限分配表。

第十條 電信領域數據處理者應對數據處理、系統運行、權限管理、人員操作等日志進行留存管理,日志留存時間不少于六個月。日志記錄信息應包括執行時間、操作賬號、處理方式等,針對數據使用加工、關聯分析、批量訪問、批量復制等數據處理行為還應記錄授權情況、登錄信息等,記錄完整、準確、不可修改。

第十一條 電信領域數據處理者應定期開展數據安全審計,審計對象完整覆蓋全部數據處理活動,審計發現問題需及時進行整改,并對審計及處置記錄進行留存管理。

重要數據處理活動應至少每半年開展一次審計,核心數據處理活動應至少每季度開展一次審計。

第十二條 電信領域數據處理者應當開展數據安全風險監測,對數據安全風險隱患進行預警,并及時開展處置。對于可能造成較大及以上安全事件的風險,應及時向北京市通信管理局報告,報告內容包括但不限于風險類別和級別、涉及數據情況、產生時間、影響范圍等信息。

第十三條 電信領域數據處理者應制定數據安全事件應急預案并開展應急演練。應急預案應充分結合數據泄露、數據濫用、數據篡改、數據損毀、數據違規使用等數據安全事件場景和等級明確應急響應工作責任分工、實施流程、保障措施等。

在數據安全事件發生后,電信領域數據處理者應當按照應急預案,及時開展應急處置。涉及重要數據和核心數據的安全事件,第一時間向北京市通信管理局報告,事件處置完成后立即開展事件調查、問題整改、責任追究,在處置完成七個工作日內形成總結報告并報送北京市通信管理局。對于發生過數據安全事件的電信領域數據處理者還應每年向北京市通信管理局報告數據安全事件處置情況。

第十四條 電信領域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動至少開展一次風險評估,及時整改風險問題,并向北京市通信管理局報送風險評估報告。

重要數據和核心數據目錄備案內容發生重大變化的,電信領域數據處理者應當在履行備案變更手續后及時啟動風險評估,備案變更后三個月內向北京市通信管理局重新提交風險評估報告。

電信領域一般數據處理者應當自行或委托第三方評估機構,每年至少開展一次數據安全合規性評估,及時整改問題,并向北京市通信管理局報送評估報告。評估內容包括但不限于數據合規使用情況、數據安全保障措施配備情況與完善程度、合作方數據安全保護水平等。

第十五條 電信領域數據處理者應加強數據安全教育培訓,鼓勵企業通過積極參與本地區、本行業數據安全人才培養計劃等方式,提升相關崗位人員數據安全保護意識和技能水平。

電信領域數據處理者應定期組織開展內部數據安全教育培訓,培訓內容涵蓋數據安全法律法規、標準規范、管理制度和工作要求、知識技能、保護意識等,培訓對象覆蓋數據安全崗位人員,年度培訓時長不小于30學時。

電信領域重要數據和核心數據處理者還應針對處理重要數據和核心數據的重點崗位人員定期開展教育培訓,培訓內容包括但不限于重要數據和核心數據安全管理要求、安全操作規程、風險評估規范等,年度培訓時長不少于45學時。

第十六條 電信領域數據處理者應當加強對合作方管理,通過簽訂合同協議等方式,明確數據委托處理、數據處理系統開發運維等合作方數據安全責任和義務。涉及重要數據和核心數據的,應當對合作方的數據安全保護能力、資質進行核驗。

第三章  數據全生命周期安全保護要求

第十七條 電信領域數據處理者應當對數據處理活動負安全主體責任,建立健全全流程數據安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程。

第十八條 電信領域數據處理者收集數據應當遵循合法、正當的原則,不得竊取或者以其他非法方式獲取數據。

數據收集過程中,采取規范化采集流程、方式、渠道和數據格式,根據數據安全級別采取相應的安全措施,加強重要數據和核心數據收集人員、設備的管理,并對收集來源、時間、類型、數量、頻度、流向等進行記錄。

對直接采集或者通過間接渠道獲得的數據負有同等的保護責任和義務。通過間接途徑獲取重要數據和核心數據的,電信領域數據處理者應當與數據提供方通過簽署相關協議、承諾書等方式,明確雙方法律責任。

通過移動應用程序或其他方式面向用戶直接收集個人信息類數據的,應在業務用戶協議或隱私政策文件中明確個人信息收集的目的、用途和范圍,按照公開透明原則將收集規則以通俗易懂、簡單明了的文字向用戶明示,在獲得授權或有其他合法性基礎的前提下開展。

第十九條 電信領域數據處理者應當按照法律、行政法規規定和用戶約定的方式、期限進行數據存儲,應結合數據分類分級策略明確差異化數據存儲安全策略和操作規程。

存儲重要數據和核心數據的,應當采用校驗技術、密碼技術等措施進行安全存儲,并實施數據容災備份和存儲介質安全管理,定期開展數據恢復測試,對備份數據的有效性和可用性進行檢查和恢復驗證。

第二十條 電信領域數據處理者進行數據使用加工應遵循目的明確原則,制定不同目的下數據使用審批流程、數據脫敏處理使用規則,明確數據使用結果發布和使用的安全保護規則。

利用數據進行自動化決策的,應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的,還應當加強訪問控制。

第二十一條 電信領域數據處理者應當根據傳輸的數據類型、級別和應用場景,制定安全策略并采取保護措施。針對不同網絡安全域之間的數據傳輸采取訪問控制、監控等安全防護技術措施。傳輸重要數據和核心數據的,應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施。

第二十二條 電信領域數據處理者對外提供數據,應當明確提供的范圍、類別、條件、程序等,對數據提供形式、期限、涉及的業務或系統、數據安全保護措施等實施管理。提供重要數據和核心數據的,應當與數據獲取方簽訂數據安全協議,對數據獲取方數據安全保護能力進行核驗,采取校驗技術、密碼技術、安全傳輸通道、安全傳輸協議等必要的安全保護措施。

第二十三條 電信領域數據處理者應當在數據公開前分析研判可能對國家安全、公共利益產生的影響,擬公開前十個工作日前向北京市通信管理局提交重要數據和核心數據公開申請,審批通過后予以公開,存在重大影響的不得公開。對于法律、行政法規要求公開的數據場景,應采用靜態脫敏等措施防止數據泄露或濫用。

第二十四條 電信領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據,法律、行政法規有境內存儲要求的,應當在境內存儲,確需向境外提供的,應當依法依規進行數據出境安全評估。

第二十五條 電信領域數據處理者應當建立數據銷毀制度,明確銷毀對象、規則、流程和技術等要求,對銷毀活動進行記錄和留存。個人、組織按照法律規定、合同約定等請求銷毀的,電信領域數據處理者應當銷毀相應數據。

銷毀重要數據和核心數據的,應當設置銷毀相關監督角色并采用多人操作模式,單人不得擁有完整操作權限。重要數據和核心數據銷毀后,不得以任何理由、任何方式進行恢復;引起重要數據和核心數據目錄備案內容發生變化的,應當履行備案變更手續。

電信領域數據處理者發生重組、解散、宣告破產、業務撤銷等情形的,應當在有關情形發生前向北京市通信管理局報告,按照相關要求移交或銷毀數據。

第二十六條 跨主體提供、轉移、委托處理核心數據的,電信領域數據處理者應當評估安全風險,采取必要的安全保護措施,并報送北京市通信管理局。北京市通信管理局按照有關規定進行審查后報工業和信息化部。

第四章  支持與保障

第二十七條 加強數據安全人才培養和引進,推動北京地區高等院校和職業院校加強數據安全相關學科建設;創新教育培養模式,鼓勵高等院校、職業院校、優質企業和培訓機構深化產教融合,培養實用型、復合型數據安全專業技術技能人才和優秀管理人才。

第二十八條 鼓勵開展數據安全知識宣傳普及、教育培訓,增強全市公共數據安全保護意識,推動有關部門、行業組織、科研機構、企業和個人共同參與數據安全保護工作,提高數據安全風險管理能力。

第二十九條 加強投訴舉報,北京市通信管理局健全數據安全違法行為投訴舉報機制,依法接收、處理投訴舉報,根據工作需要開展執法調查。鼓勵電信領域數據處理者建立用戶投訴處理機制。

第五章  附則

第三十條 本細則自印發之日起施行。

国产波霸爆乳一区二区_色欲天天天无码视频_国产91色在线 | 亚洲_国产毛片毛多水多的特级毛片_久久综合狠狠综合