企業(yè)數(shù)據安全合規(guī)管理指南

ISO37301/IS045001/IS014001/ISO27001ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)1/10生效版本：AO文件制修訂記錄NO制/修訂日期修訂編號制/修訂內容版本頁次12022-7-21-新制訂AO文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)2/10生效版本：AO核準審核制訂企業(yè)數(shù)據安全合規(guī)管理指南第一章總則第一條為推動廣州市國資委監(jiān)管企業(yè)全面加強數(shù)據安全合規(guī)管理，規(guī)范監(jiān)管企業(yè)數(shù)據處理活動，保障企業(yè)數(shù)據安全，促進企業(yè)健康發(fā)展，保護個人、組織的合法權益，維護國家經濟安全和社會穩(wěn)定，提升監(jiān)管企業(yè)數(shù)據治理能力及數(shù)據安全保護水平，根據《中華人民共和國數(shù)據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《關鍵信息基礎設施保護條例》《廣州市市屬企業(yè)合規(guī)管理指引（試行）》等有關法律法規(guī)規(guī)定，制定本指南。第一條本指南適用于廣州市人民政府國有資產監(jiān)督管理委員會（以下簡稱“市國資委”）直接履行出資人職責的國有及國有控股企業(yè)、國有實際控制企業(yè)（以下稱“監(jiān)管企業(yè)”）。第三條市國資委負責監(jiān)督指導監(jiān)管企業(yè)數(shù)據安全合規(guī)管理工作。第四條監(jiān)管企業(yè)應當對本企業(yè)工作中收集和產生的數(shù)據和數(shù)據安全承擔主體責任。數(shù)據安全合規(guī)管理是合規(guī)管理體系的專項重點領域，已建立合規(guī)管理體系的監(jiān)管企業(yè)，應在現(xiàn)有合規(guī)管理體系的基礎上，進行專項深化管理。數(shù)據安全風險較高的監(jiān)管企業(yè)，必須將數(shù)據安全合規(guī)作為重點領域進行專項管理。達到以下條件之一的，視為數(shù)據安全風險較高：（一） 主要業(yè)務涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和重要領域的：（二） 主要業(yè)務涉及個人信息處理，且從業(yè)人員規(guī)模大于200人：（三） 處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息：（四） 處理超過10萬人的個人敏感信息的；（五） 從事國家秘密載體制作、復制、維修、銷毀，涉密信息系統(tǒng)集成或者武器裝備科研生產等涉及國家秘密的業(yè)務的：（六） 法律法規(guī)規(guī)定的其他情形第五條監(jiān)管企業(yè)應當按照以下原則提升數(shù)據安全合規(guī)管理：（一）高度重視。數(shù)據是重要的戰(zhàn)略性資源，監(jiān)管企業(yè)要將數(shù)據安全合規(guī)管理提升到事關國家安全、文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)3/10生效版本：AO經濟安全、社會穩(wěn)定和人民群眾切實合法權益的高度，始終把國家主權、安全、發(fā)展利益放在首位，加強安全能力建設，重視企業(yè)、員工、股東及合作方數(shù)據安全及個人信息保護，以發(fā)展促安全、以安全保發(fā)展。（二） 推進落實。監(jiān)管企業(yè)要堅持將數(shù)據安全合規(guī)要求逐步覆蓋各業(yè)務領域，各部門，各級全資、控股或實際控制的子企業(yè)、分支機構及其員工。數(shù)據應當全面包括電子或其他方式對信息的記錄。數(shù)據安全合規(guī)管控措施及技術應用覆蓋所有數(shù)據資產及數(shù)據處理全流程。（三） 強化責任。監(jiān)管企業(yè)要切實加強對數(shù)據安全合規(guī)管理的組織領導，明確職責，建立健全分工負責、協(xié)作配合的工作機制，明確管理人員和各崗位員工的數(shù)據合規(guī)責任并督促有效落實。（四） 協(xié)同融合。監(jiān)管企業(yè)認真貫徹落實數(shù)據安全合規(guī)的相關要求，將數(shù)據安全合規(guī)工作納入企業(yè)數(shù)字化轉型整體布局中，將數(shù)據安全合規(guī)管理通過企業(yè)數(shù)字化技術的應用及升級進行有效落地。第二章管理職責第六條監(jiān)管企業(yè)應將數(shù)據安全合規(guī)管理的職責納入現(xiàn)有合規(guī)管理組織體系。通過建立專項制度或文件的形式，在原有合規(guī)管理組織體系合規(guī)職責范圍內，進一步細化及明確各層級合規(guī)管理機構及相關部門的數(shù)據安全合規(guī)管理職責。第七條董事會合規(guī)委員會或承擔合規(guī)管理職責的專業(yè)委員會應在職責范圍內推動企業(yè)數(shù)據安全合規(guī)管理，以完善企業(yè)合規(guī)管理體系，合理配置數(shù)據安全合規(guī)管理工作所需的相關資源和獎懲機制，審批重大數(shù)據安全合規(guī)事項，確保工作有效推行及落地。第八條經理層及合規(guī)管理負責人應在原有合規(guī)管理職責的范圍內，指導及監(jiān)督企業(yè)數(shù)據安全合規(guī)管理相關制度規(guī)范建設、相關管理措施的設計與執(zhí)行、數(shù)據安全技術應用等，確保企業(yè)數(shù)據安全合規(guī)。第九條監(jiān)管企業(yè)承擔數(shù)據管理、信息系統(tǒng)管理或1T技術等部門和其它各職能部門分別作為各業(yè)務范圍內數(shù)據安全合規(guī)管理的責任部門，作為數(shù)據安全合規(guī)管理的第一道防線，主要職責包括：（一） 制定企業(yè)數(shù)據管理的相關標準，包括數(shù)據分類分級、權限管理等工作：（二） 制定企業(yè)數(shù)據管理的相關制度及規(guī)范，包括數(shù)據全生命周期管理的相關制度：（三） 負責統(tǒng)一規(guī)范企業(yè)數(shù)據收集、存儲、使用、加工、傳輸、提供、公開等工作機制；（四） 負責數(shù)據安全技術的應用及更新；（五） 負責數(shù)據管理能力建設；（六） 其他規(guī)章制度規(guī)定的數(shù)據管理工作。文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)4/10生效版本：AO第十條監(jiān)管企業(yè)各職能部門負責本領域的日常數(shù)據安全合規(guī)管理工作，規(guī)范數(shù)據收集、存儲、使用、加工、傳輸、提供、公開等工作，妥善應對數(shù)據安全合規(guī)風險事件，組織或配合進行違規(guī)問題調查并及時整改。第十一條監(jiān)管企業(yè)合規(guī)管理牽頭部門作為數(shù)據合規(guī)管理第二道防線，在數(shù)據安全合規(guī)管理方面的職責包括：（一） 參與對企業(yè)涉及數(shù)據安全事項的合規(guī)審查；（二） 對數(shù)據安全合規(guī)管理的情況進行評估與檢查；（三） 組織或協(xié)助數(shù)據安全合規(guī)責任部門、人事部門開展數(shù)據安全合規(guī)培訓，為公司其他部門提供數(shù)據安全合規(guī)咨詢與支持；（四） 合規(guī)委員會或合規(guī)管理負責人交辦的其他工作。第十二條監(jiān)管企業(yè)可視情況通過建立聯(lián)合的數(shù)據合規(guī)管理辦公室或工作組，開展數(shù)據安全合規(guī)管理標準、制度及規(guī)范的建立工作，可由相關業(yè)務、信息系統(tǒng)、技術、合規(guī)、風險管理、內部審計等部門人員組成，在經理層及合規(guī)管理負責人的領導下，有效推動數(shù)據安全合規(guī)管理工作的開展及實施。第十三條內部審計部門負責定期對數(shù)據安全進行審計，可根據風險評估和審計資源鋪排，在審計工作中涵蓋數(shù)據安全合規(guī)的內容，并出具相關審計報告，為公司數(shù)據安全風險管理的有效性提供合理保障。紀檢監(jiān)察部門負責職權范圍內的違規(guī)事件的監(jiān)督、執(zhí)紀、問責等工作。第三章制度規(guī)范建設第十四條監(jiān)管企業(yè)應建立健全數(shù)據安全合規(guī)管理的相關標準、制度和規(guī)范，建立重大數(shù)據安全合規(guī)審批清單、數(shù)據分類分級管理、權限管理、數(shù)據安全合規(guī)風險評估及審計、重大數(shù)據安全合規(guī)風險事件報告、應急處置機制、教育培訓等管理事項，并根據法律法規(guī)變化和監(jiān)管動態(tài)，及時將外部合規(guī)要求落實到內部規(guī)章制度。第十五條監(jiān)管企業(yè)重大數(shù)據安全合規(guī)事項實施清單管理。由數(shù)據安全合規(guī)管理的責任部門牽頭編制本企業(yè)重大數(shù)據安全合規(guī)事項清單，提交黨委會審議通過后，由董事會合規(guī)委員會或承擔合規(guī)管理職責的專業(yè)委員會負責審批清單涉及的重大數(shù)據合規(guī)事項。數(shù)據安全合規(guī)管理的責任部門應根據法律法規(guī)及企業(yè)的實際運營情況的變化進行及時更新清單。第十六條監(jiān)管企業(yè)應建立數(shù)據分類分級管控標準和管控要求。企業(yè)應優(yōu)先根據所屬行業(yè)相關標準對核心業(yè)務數(shù)據進行分類分級，無明確標準的企業(yè)可自行建立相關分類及分級標準。其中數(shù)據分級標準應參考及遵循國家數(shù)據安全等相關法律法規(guī)。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數(shù)據需要實施更加嚴格的管理制度，包括文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)5/10生效版本：AO涉及國家保密范圍的產業(yè)規(guī)劃、戰(zhàn)略規(guī)劃、重大項目、核心技術等，應根據相關法律法規(guī)的具體要求進行重點保護和管理。上述相關數(shù)據的交易、出境及共享等業(yè)務，應列入企業(yè)“三重一大”事項進行管理，不得向境外司法或執(zhí)法機構提供存儲于境內的數(shù)據.監(jiān)管企業(yè)應根據標準對現(xiàn)有數(shù)據進行全面分類分級，并通過技術手段落實安全管理要求，定期對新增數(shù)據進行梳理，確保所有數(shù)據分類及分級管控。同時，應根據相關法律法規(guī)或行業(yè)標準的變化，及時更新企業(yè)內部數(shù)據分類分級的相關標準。第十七條監(jiān)管企業(yè)應規(guī)范數(shù)據處理的權限管理，建立適當?shù)挠脩魴嘞薰芾頇C制，根據崗位設置相關賬戶權限，明確相關數(shù)據所涉及的賬戶管理流程，減少數(shù)據濫用情況，提高數(shù)據安全合規(guī)水平。第十八條數(shù)據安全風險較高的監(jiān)管企業(yè)，應建立數(shù)據安全合規(guī)評估及審計機制，應自行或委托有相關信息安全檢查評估資質的機構，每年至少進行一次全面的網絡安全監(jiān)測和風險評估，定期或不定期對企業(yè)整體數(shù)據使用情況、數(shù)據全生命周期安全及合規(guī)性、基礎安全等情況進行評估及審計，并對發(fā)現(xiàn)的問題及時整改。第十九條數(shù)據安全風險較高的監(jiān)管企業(yè)，應建立數(shù)據安全應急響應機制，明確數(shù)據安全事故管理和應急響應職責，制定各類數(shù)據安全事故的處置流程及應急預案，并定期進行演練，對各類安全事件進行及時響應和處置，降低企業(yè)因數(shù)據安全事故而引發(fā)的損失。第二十條數(shù)據安全風險較高的監(jiān)管企業(yè)，應建立重大數(shù)據安全合規(guī)風險事件報告制度，對影響或可能影響國家安全的數(shù)據處理活動，發(fā)現(xiàn)數(shù)據安全威脅時，應按規(guī)定向公安機關、國家安全機關報告，可能關系到重大經營風險的應同步及時向市國資委報告，并積極采取措施防止危害，減少損失。第二十一條監(jiān)管企業(yè)應積極配合公安機關、國家安全機關依法維護國家安全或者偵查犯罪需要及時配合提供相關數(shù)據。第二十二條監(jiān)管企業(yè)應建立有效的管控模式，對其下屬全資、控股和實際控制子企業(yè)在數(shù)據安全合規(guī)工作內容和職責分工，可根據實際情況，分批推進各單位數(shù)據安全合規(guī)管理工作，并結合集團合規(guī)管理管控模式進行差異化管理。第二十三條監(jiān)管企業(yè)應全面評估企業(yè)本部及下屬各級全資、控股和實際控制子企業(yè)的數(shù)據安全風險。針對數(shù)據安全風險較高的企業(yè)應盡快開展數(shù)據安全合規(guī)管理相關工作，建立數(shù)據安全合規(guī)的相關標準、制度及規(guī)范。監(jiān)管企業(yè)可根據相關子企業(yè)的工作成果及經驗，逐步在其他子企業(yè)進行推廣及實施。第二十四條數(shù)據安全風險較高的監(jiān)管企業(yè)，可基于企業(yè)的原有的戰(zhàn)略規(guī)劃、IT規(guī)劃等制定本企業(yè)的數(shù)據安全三年滾動工作規(guī)劃，確保監(jiān)管企業(yè)按照既定路線達成數(shù)據安全合規(guī)目標，并在執(zhí)行過程中，ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)6/10生效版本：AO根據數(shù)據安全合規(guī)和企業(yè)IT戰(zhàn)略目標下不斷優(yōu)化、提升數(shù)據安全合規(guī)管理的各項制度和信息系統(tǒng)。第四章數(shù)據安全合規(guī)管理措施第二十五條監(jiān)管企業(yè)在數(shù)據安全合規(guī)管理過程中，應對數(shù)據采集、數(shù)據傳輸、數(shù)據儲存、數(shù)據使用、數(shù)據開放共享、數(shù)據銷毀等數(shù)據全生命周期管理的要素，制定必要的管控措施及標準，依法保護企業(yè)數(shù)據基礎設施免受攻擊、侵入、干擾和破壞，防范數(shù)據處理的違規(guī)風險，確保數(shù)據安全合規(guī)。第二十六條規(guī)范數(shù)據采集的管理，明確數(shù)據采集渠道，確定數(shù)據格式標準，制定各類數(shù)據采集流程及方式，定期開展數(shù)據采集合規(guī)性審查，確保數(shù)據采集合法合規(guī)。第二十七條加強數(shù)據傳輸安全管理，劃分企業(yè)網絡系統(tǒng)安全域，區(qū)分域內、域間等不同數(shù)據傳輸場景，明確數(shù)據傳輸安全策略和操作規(guī)程。第二十八條監(jiān)管企業(yè)應梳理數(shù)據出境情況的業(yè)務，建立企業(yè)內部數(shù)據出境合規(guī)審查的流程及規(guī)范，針對境外并購、赴境外上市等情況，應充分評估數(shù)據出境的相關風險，按相關規(guī)定進行內部審核審批，并根據法律法規(guī)要求，履行監(jiān)管機構數(shù)據出境的審查申報。非經相關部門批準，不得向外國司法或執(zhí)法機構提供存儲與中華人民共和國境內的數(shù)據監(jiān)管企業(yè)境外分支機構在當?shù)卦O立服務器，并通過該服務器儲存及使用監(jiān)管企業(yè)數(shù)據的，應按數(shù)據出境的管理要求實施數(shù)據安全管理。境外分支機構通過遠程訪問使用數(shù)據的，應加強訪問權限控制及數(shù)據傳輸安全管理，確保數(shù)據安全。第二十九條規(guī)范并加強數(shù)據儲存的管理，加強對數(shù)據儲存介質的管理，包括提升對服務器及離線儲存介質的物理安全及加密管理，規(guī)范帶數(shù)據儲存功能的可移動設備的管控，加強對本地數(shù)據儲存系統(tǒng)平臺接入移動儲存介質的管控，實施對儲存在第三方云平臺數(shù)據的風險評估，對數(shù)據下載到本地終端行為進行審核及日志記錄等管控措施，提升數(shù)據儲存的安全性。第三十條規(guī)范數(shù)據使用的管理，根據不同類別、級別的數(shù)據，明確不同場景的數(shù)據使用審批流程，制定數(shù)據脫敏處理規(guī)則，提升數(shù)據使用的安全性：建立數(shù)據開發(fā)利用的相關流程及規(guī)范，完善數(shù)據開發(fā)利用的風險評估機制。具有數(shù)據交易相關業(yè)務的監(jiān)管企業(yè)，應按國家相關法律法規(guī)的相關要求進行交易，法律法規(guī)尚未規(guī)定的，應進行充分的風險評估，確保數(shù)據安全。第三十一條加強數(shù)據開放及共享的管理，根據數(shù)據使用目的、共享對象，明確數(shù)據可進行開放及共享的范圍，建立數(shù)據共享的申請及授權審批的流程及權限設置，明確數(shù)據共享過程的傳輸方式。第三十二條針對企業(yè)向外部單位共享數(shù)據的情況，監(jiān)管企業(yè)應充分評估相關數(shù)據安全風險，涉及重大敏感的數(shù)據提供要按審批權限逐級審批。并在相關合同中明確數(shù)據安全及保密義務，明確相關違約責任，必要時可單獨簽訂保密協(xié)議。相關事項結束后，應進行內部總結匯報，對數(shù)據共享情況進行說ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)7/10生效版本：AO明，加強數(shù)據共享的管理。監(jiān)管企業(yè)應盡量依托國資國企信息安全“云”監(jiān)管平臺，積極支持配合國資國企一體化網絡安全信息大數(shù)據平臺的建立，促進數(shù)據安全信息聯(lián)動和能力共享。第三十三條建立員工數(shù)據安全合規(guī)行為規(guī)范，針對員工日常工作中數(shù)據儲存、數(shù)據處理、數(shù)據傳輸、數(shù)據共享等事項明確相關合規(guī)管理要求。第三十四條規(guī)范數(shù)據銷毀的過程管理，建立數(shù)據銷毀的申請審批機制及流程，規(guī)范數(shù)據銷毀過程的監(jiān)督及記錄，明確存儲介質銷毀策略及操作規(guī)范，委托第三方進行數(shù)據銷毀的，應委托具有相關資質的單位，確保數(shù)據銷毀的安全可靠。第五章與商業(yè)伙伴合作中的數(shù)據保護第三十五條監(jiān)管企業(yè)應加強及規(guī)范與商業(yè)伙伴合作中的數(shù)據安全管理，明確合作方準入、日常管理、數(shù)據安全評估、變更及退出等環(huán)節(jié)的合規(guī)管理要求。第三十六條監(jiān)管企業(yè)應明確信息系統(tǒng)開發(fā)及運維、數(shù)據儲存、數(shù)據處理等數(shù)據服務相關合作方的準入標準，并在合作方選擇時進行資格審查。同等條件下應優(yōu)先采購境內安全可信的網絡產品和數(shù)據服務。必要時，應對數(shù)據服務的合作方進行數(shù)據安全合規(guī)方面的盡職調查。第三十七條對于合作方能接觸到企業(yè)非公開數(shù)據的合作項目，監(jiān)管企業(yè)應加強合同管理，通過制定相應的示范文本在相關合同中明確數(shù)據安全合規(guī)相關條款。對于為企業(yè)提供數(shù)據服務的合作方，企業(yè)應結合實際情況將服務標準、數(shù)據備份和恢復、數(shù)據泄露預防、業(yè)務連續(xù)性計劃等內容在合同中進行明確。涉及委托處理個人信息的合作方，企業(yè)應結合實際情況將委托處理的目的、期限、處理方式、個人信息種類、保護措施以及雙方的權利和義務等內容在合同中進行明確，并對合作方的個人信息處理活動進行監(jiān)督。第三十八條監(jiān)管企業(yè)應明確與合作方對接部門的數(shù)據安全管理責任。涉及公司資料及數(shù)據分享的，應按實現(xiàn)合作目的最小數(shù)據獲取原則，對部分非必要數(shù)據進行脫敏，并對數(shù)據分享過程進行記錄。涉及合作方提供駐場服務，鏈接企業(yè)信息系統(tǒng)，或直接接觸重要數(shù)據的，相關項目負責人應采取適當措施對其合作方的工作進行管控，確保數(shù)據安全。第三十九條監(jiān)管企業(yè)應建立數(shù)據服務合作方定期的數(shù)據安全監(jiān)測、檢測和評估機制，明確數(shù)據安全監(jiān)測、檢測和評估的范圍及具體內容，并將相關評估結果與合作方的變更及退出進行掛鉤，發(fā)現(xiàn)合作方存在數(shù)據濫用、盜賣數(shù)據、預留“后門”等違法違規(guī)行為的，應及時終止合作并永久禁止合作，并按合同約定進行索賠。確保合作方數(shù)據安全合規(guī)。第六章個人信息保護ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)8/10生效版本：AO第四十條監(jiān)管企業(yè)應進一步規(guī)范及完善個人信息保護機制，加強企業(yè)員工、訪客個人信息的保護監(jiān)管企業(yè)應梳理集團本部及下屬各級全資、控股或實際控制子企業(yè)涉及大規(guī)模處理個人信息的業(yè)務，加強及完善相關部門及企業(yè)個人信息保護的管理，針對個人信息分類、個人信息獲取、個人信息儲存、個人信息使用及處理等管理過程中，按法律法規(guī)建立相關標準及規(guī)范，并滿足下述相關管理要求。第四十一條建立企業(yè)內部個人信息分類標準，明確個人敏感信息定義范圍及處理規(guī)則，明確處理不滿十四周歲未成年人個人信息處理規(guī)則。個人敏感信息及未成年人個人信息處理規(guī)則應遵循法律法規(guī)的相關規(guī)定。第四十二條個人信息的收集應滿足法定的相關原則，不得過度收集個人信息，確保個人信息采集及處理前取得個人同意。優(yōu)化取得個人同意的方式，確保由個人在充分知情的前提下自愿、明確作出同意。針對法定要求需取得個人單獨同意的情形，確保取得個人的單獨同意。并且當個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更時，可以及時有效重新取得個人同意，同時能夠為個人提供便捷的撤回同意的方式。第四十三條建立個人信息儲存的相關規(guī)范，明確個人信息的保存期限，結合個人信息刪除的相關機制，確保信息保存期限為實現(xiàn)處理目的所必要的最短時間。同時完善相關技術應用，采取使用加密及去標識化等安全技術措施，確保個人信息的儲存安全。第四十四條梳理內部進行個人信息處理的各類場景，對于向他人提供企業(yè)處理的個人信息，利用個人信息進行自動化決策，在公共場所安裝圖像采集、個人身份識別設備、針對法定要求需取得個人單獨同意的情形，等情形，應依據相關法律法規(guī)的要求，明確處理流程并制定規(guī)范要求。第四十五條建立完善的個人信息處理規(guī)則，確保在處理個人信息前，按照相關法律法規(guī)的要求，向個人告知個人信息處理者的名稱或者姓名?聯(lián)系方式，個人信息的處理目的、處理方式，處理的個人信息種類、保存期限，個人行使法定權利的方式和程序等內容，并建立便捷的個人行使權利的申請受理和處理機制。并且當上述內容有變更的，能夠及時將變更部分告知個人。建立個人信息處理事前影響評估機制，監(jiān)管企業(yè)應結合實際情況根據法律法規(guī)要求梳理須進行事前個人信息保護影響評估的具體場景，制定評估的標準及規(guī)范，明確個人信息保護影響評估報告及處理情況記錄保存的相關要求。建立個人信息主動刪除的相關機制，明確個人信息刪除的流程及規(guī)范，確保當個人信息處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要，企業(yè)停止提供產品或者服務，或者保存期限已屆滿，以及個人撤回同意時，相關個人信息得到及時刪除。第四十六條屬于相關主管部門認定為關鍵信息基礎設施運營者的監(jiān)管企業(yè)，應依法依規(guī)履行關鍵信ISO37301/IS045001/IS014001/ISO27001文件范例文件名稱：企業(yè)數(shù)據安全合規(guī)管理指南生效日期：2022-7-21文件編號：頁數(shù)9/10生效版本：AO息基礎設施安全保護的責任義務。提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的監(jiān)管企業(yè)，應對其個人數(shù)據信息處理活動負責，并應通過制定及優(yōu)化內部管理，履行基礎互聯(lián)網平臺的法定合規(guī)義務，包括建立獨立的監(jiān)督機構、制定平臺個人信息保護規(guī)則及定期發(fā)布個人信息保護社會責任報告等相關事項。第七章數(shù)據安全技術應用第四十七條監(jiān)管企業(yè)應通過相關技術的應用及更新，提升企業(yè)在數(shù)據識別、敏感信息保護、數(shù)據操作審計、接口安全管理、數(shù)據防泄露等方面的技術能力，提升數(shù)據安全保障能力。第四十八條監(jiān)管企業(yè)可采用定期數(shù)據資產掃描，脫敏效果驗證等技術，深入到具體業(yè)務場景，精準識別重要敏感數(shù)據、敏感人群、特權操作等，持續(xù)提升企業(yè)數(shù)據識別能力，從數(shù)據檢測能力維度保障企業(yè)數(shù)據能夠按照既定的分類標準及規(guī)則進行處理，確保企業(yè)數(shù)據分類分級安全合規(guī)。第四十九條監(jiān)管企業(yè)應通過加強個人信息去標識化、數(shù)據關鍵字段隱藏、擾亂等技術的應用，提升個人敏感信息保護能力，保障大規(guī)模個人數(shù)據在儲存及傳輸過程中的安全。采用校驗或加密技術保證重要數(shù)據在傳輸過程中的完整性和安全性，采用密碼技術保證重要數(shù)據在存儲過程中的保密性。第五十條監(jiān)管企業(yè)應通過對涉及儲存、處理個人敏感信息和企業(yè)重要數(shù)據系統(tǒng)平臺的防泄漏技術的應用，提升數(shù)據防泄露的能力，防范數(shù)據泄露風險，確保數(shù)據安全。第五十一條監(jiān)管企業(yè)可通過數(shù)據操作審計系統(tǒng)的部署應用，實現(xiàn)對企業(yè)重要敏感業(yè)務系統(tǒng)的數(shù)據操作實施監(jiān)控及審計，防范操作性風險。第五十二條監(jiān)管企業(yè)可通過建