上海市通信管理局開展“浦江護航”2023年電信和互聯網行業數據安全專項行動
分類: 安全資訊
發布時間: 2023-03-14 16:28:43
標簽:
作者:
閱讀量: 342
新聞來源: 上海市通信管理局
上海市通信管理局關于開展“浦江護航”2023年電信和互聯網行業數據安全專項行動的通知
本市各電信和互聯網企業��,各相關單位:
根據《數據安全法》《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》《工業和信息化領域數據安全管理辦法(試行)》《上海市數據條例》《關于促進數據安全產業發展的指導意見》等法律法規和文件精神�,結合上海市電信和互聯網行業數據安全和發展實際�����,我局決定開展“浦江護航”——2023年電信和互聯網行業數據安全專項行動?�,F將有關事項通知如下:
一��、指導思想
以習近平新時代中國特色社會主義思想為指導��,深入貫徹黨的二十大精神�����,按照《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》《上海市數據條例》等法律法規和《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》《關于促進數據安全產業發展的指導意見》等文件精神�,統籌數據發展與安全��,貫徹實施數據安全法律法規和政策標準��,科學有序提升本市電信和互聯網行業數據安全管理水平�����,促進本市電信和互聯網行業數據高效合規流通和利用����,切實保護個人�、組織的合法權益��,維護國家安全和發展利益����,護航本市數字化轉型和數字經濟繁榮發展��。
二����、重點任務
(一)試點實施電信和互聯網行業首席數據官制度
貫徹《數據安全法》《上海市數據條例》有關規定精神���,健全電信和互聯網行業數據治理體系�,堅持數據處理活動安全與發展并重����,試點實施電信和互聯網行業首席數據官制度��。
市通信管理局將制定發布《上海市電信和互聯網行業首席數據官制度建設指南(試行)》�,優化完善電信和互聯網企業數據管理組織�����,指導首席數據官制度建設�����,全面落實數據安全與發展統籌管理工作�����。
各電信和互聯網企業要參照相關指南要求�����,積極建立首席數據官制度�����,明確本單位首席數據官及其工作職責并報市通信管理局備案���。要依托首席數據官制度����,構建����、激活企業數據管理能力��,加強企業數據安全管理體系建設��,落實企業數據保護責任��。
(二)開展重要數據和核心數據識別認定及目錄管理
落實《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》有關規定�,組織開展全市電信和互聯網行業數據分類分級管理工作�,重點做好重要數據和核心數據的識別認定及目錄管理�����。
本市電信和互聯網行業數據處理者須在5月31日前���,依據相關標準規范對本單位重要數據和核心數據進行識別認定��,并形成具體目錄����,通過指定填報工具提交備案申請���,備案內容包括但不限于數據來源����、類別���、級別�����、規模�����、載體��、處理目的和方式����、使用范圍�、責任主體����、對外共享�����、跨境傳輸���、安全保護措施等基本情況��,不包括數據內容本身���。市通信管理局將對備案內容進行審核��,對符合要求的予以備案并納入行業重要數據和核心數據目錄�����。
重要數據和核心數據處理者應當每6個月進行一次更新備案�,備案內容有重大變化的���,應當依法依規履行備案變更手續�����。市通信管理局定期對電信和互聯網行業數據處理者開展檢查���,對漏報��、瞞報重要數據和核心數據的單位依法依規予以通報和處罰��。
(三)開展電信和互聯網行業數據安全風險評估管理
按照《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》有關規定����,全面開展電信和互聯網行業數據安全風險評估管理�。各重要數據和核心數據處理者應當自行或委托第三方評估機構����,每年對其數據處理活動至少開展一次風險評估���,及時整改風險問題�����,并于11月30日前向市通信管理局提交評估報告���。
各單位應當參照電信和互聯網數據安全有關合規性評估要點和評估規范�,從組織機構��、制度建設����、管控措施�、安全技術���、全生命周期管理等方面開展數據安全評估�,及時排查整改風險隱患�����,提升數據安全保護能力��。市通信管理局將組織對各單位的數據安全風險評估報告進行審查�����,對評估不合規的報告予以退回整改��,對未落實評估責任的單位依法依規予以通報和處罰����。
(四)開展常態化數據安全監測預警與通報處置
市通信管理局建立電信和互聯網行業數據安全風險監測預警機制��,建設行業數據安全風險信息報送和威脅通報系統���,并對接工業和信息化部數據安全風險監測機制及相關數據安全通報平臺��,對本市電信和互聯網企業數據安全風險及數據安全事件開展監測通報和應急處置工作��,及時掌握公共互聯網數據安全風險態勢����,提升數據安全監管能力����,強化企業數據安全風險治理�����。
各企業應當依托行業首席數據官制度�����,建立內部工作機制����,開展數據安全風險監測�����,及時排查安全隱患�����,采取必要的措施防范數據安全風險�����;對發生的可能損害用戶合法權益的數據安全事件�����,應當及時告知用戶����,并提供減輕危害措施���;在數據安全事件發生后����,應當及時開展應急處置�,并第一時間向市通信管理局報告��。鼓勵本市各安全服務機構����、行業組織���、科研機構等依法合規開展數據安全風險信息監測�����、上報和共享�����。
(五)加強企業數據全生命周期安全管理
電信和互聯網行業數據處理者應當對數據處理活動負安全主體責任�,按照《工業和信息化領域數據安全管理辦法(試行)》要求�����,對各類數據實行分級防護����,不同級別數據同時被處理且難以分別采取保護措施的���,應當按照其中級別最高的要求實施保護���,確保數據持續處于有效保護和合法利用的狀態�。收集數據應當遵循合法�、正當的原則�����,不得竊取或者以其他非法方式收集數據��,并按照法律���、行政法規規定和用戶約定的方式�、期限進行數據存儲�����;對外提供數據��,應當明確提供的范圍���、類別��、條件�、程序等����;建立數據銷毀制度�����,明確銷毀對象�����、規則�����、流程和技術等要求��,對銷毀活動進行記錄和留存���,銷毀重要數據和核心數據后��,不得以任何理由�、任何方式對銷毀數據進行恢復����,引起備案內容發生變化的���,應當履行備案變更手續����。
在數據全生命周期處理過程中�����,記錄數據處理�、權限管理��、人員操作等日志���。日志留存時間不少于六個月���。市通信管理局加強對企業數據全生命周期安全管理落實情況的督查���,并開展實地專項檢查工作�。
(六)加強數據安全能力建設和人才培養
市通信管理局鼓勵數據開發利用和數據安全技術研究�,支持推廣數據安全產品和服務����,培育數據安全企業�、研究和服務機構�����,發展數據安全產業�����,提升數據安全保障能力���,促進數據的創新應用���。指導�����、鼓勵在數據安全方向具備相應專業能力的機構���,依據相關標準開展電信和互聯網行業數據安全監測���、檢測���、評估��、認證工作�。
開展2023年“上海市通信管理局網絡和數據安全支撐單位”選拔工作��,并加強數據安全方向的專業機構遴選��。指導行業組織��、專業機構等面向本市電信和互聯網企業開展數據安全公益性系列培訓�����,宣貫數據安全法律法規和政策標準�,開展數據安全前沿技術和管理實踐交流�����,加快數據安全專業人才隊伍培養�����,賦能企業數據安全合規實踐���。
各電信和互聯網企業應當積極參加行業相關培訓并開展數據安全內部培訓���,相關培訓情況納入年度數據安全風險評估��。
三��、保障措施
(一)強化統籌協調����。市通信管理局加強與國家和本市相關主管部門的對接協調���,推動“浦江護航”數據安全專項行動在本市電信和互聯網行業取得實效�,行動將與電信和互聯網行業網絡和數據安全監管等相關工作進行融合銜接����,避免監管空白和重復監管��。
(二)強化責任落實���。各電信和互聯網企業應當深刻認識提升本單位�����、本行業數據安全保護能力的重要性和緊迫性���,結合本單位實際制定工作方案���,細化工作措施��,部署工作落實�����。市通信管理局組織對電信和互聯網企業落實“浦江護航”行動任務的情況進行專項督查��,并結合督查結果對工作優秀的單位予以表揚��,對責任落實不到位的單位進行通報和處置���。
(三)強化專業支撐���。市通信管理局結合網絡和數據安全支撐單位選拔�、“磐石行動”網絡安全攻防演練等工作����,持續發掘����、優化和加強數據安全方向的專業支撐能力建設���,并組織建設數據安全一體化管理平臺��,匯聚各類專業支撐力量和特色能力����,全面提升電信和互聯網行業數據安全管理水平��。
(四)強化生態建設����。市通信管理局指導�、支持組建數據安全專業委員會����、建設數據安全協同創新實驗室�����、舉辦數據安全論壇等載體形式���,進一步強化本市電信和互聯網行業數據安全生態建設��,協同全行業助推本市數字化轉型和數據安全產業高質量發展�����。
特此通知�����。
上海市通信管理局
2023年2月22日
