工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引

GuidelinesforDataSecurityComplianceintheIndustrialandInformationTechnologyFields2024@目 錄工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)建設(shè)概述 1數(shù)據(jù)安全合規(guī)建設(shè)目的 1數(shù)據(jù)安全合規(guī)建設(shè)依據(jù) 1適用范圍 2術(shù)語和定義 2數(shù)據(jù)分類分級 4數(shù)據(jù)調(diào)研 4數(shù)據(jù)梳理 4數(shù)據(jù)分類 4數(shù)據(jù)分級 5目錄報(bào)備 5目錄動態(tài)更新 6數(shù)據(jù)安全管理體系 7數(shù)據(jù)安全組織架構(gòu) 7數(shù)據(jù)安全管理制度 10權(quán)限管理 10內(nèi)部審批、登記 11系統(tǒng)與設(shè)備安全管理 11容災(zāi)備份 12合作方管理 13日志管理 15監(jiān)督檢查 16配合監(jiān)管 17數(shù)據(jù)全生命周期保護(hù) 19數(shù)據(jù)收集 19數(shù)據(jù)存儲 20數(shù)據(jù)使用加工 20數(shù)據(jù)傳輸 21數(shù)據(jù)提供 22數(shù)據(jù)公開 23數(shù)據(jù)銷毀 23數(shù)據(jù)委托處理 24數(shù)據(jù)轉(zhuǎn)移 24其他事項(xiàng) 25數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警、報(bào)告、處置 26數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警 26數(shù)據(jù)安全風(fēng)險信息報(bào)告 26數(shù)據(jù)安全風(fēng)險處置 27數(shù)據(jù)安全事件應(yīng)急處置 28制定應(yīng)急預(yù)案 28開展應(yīng)急演練 28數(shù)據(jù)安全事件報(bào)告 28應(yīng)急響應(yīng) 28先行處置 29總結(jié)上報(bào) 29數(shù)據(jù)安全事件告知 29數(shù)據(jù)安全風(fēng)險評估 30組建評估團(tuán)隊(duì) 30確定評估范圍 30制定評估方案 31實(shí)施風(fēng)險評估 31形成評估報(bào)告 31評估時間及上報(bào)行業(yè)監(jiān)管部門 32風(fēng)險評估特殊場景 32數(shù)據(jù)出境安全管理 33數(shù)據(jù)出境安全評估 33訂立個人信息出境標(biāo)準(zhǔn)合同 36通過個人信息保護(hù)認(rèn)證 36個人信息出境的注意事項(xiàng) 37數(shù)據(jù)出境的豁免情形 37遵守出口管制要求的合規(guī)義務(wù) 38境外執(zhí)法或司法機(jī)構(gòu)調(diào)取數(shù)據(jù)時合規(guī)義務(wù) 38數(shù)據(jù)交易 39工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)建設(shè)概述標(biāo)準(zhǔn)，制定本指引?！吨腥A人民共和國國家安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》《個人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實(shí)施細(xì)則（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》《工業(yè)領(lǐng)域重要數(shù)據(jù)識別指南》《工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)要求》《工業(yè)領(lǐng)域數(shù)據(jù)安全風(fēng)險評估規(guī)范》《電信領(lǐng)域重要數(shù)據(jù)識別指南》《電信領(lǐng)域數(shù)據(jù)安全分級保護(hù)要求》《電信領(lǐng)域數(shù)據(jù)安全風(fēng)險評估規(guī)范》工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可參照本指引開展數(shù)據(jù)處理活動全生命周期網(wǎng)企業(yè)，以及無線電頻率、臺（站）使用單位等工業(yè)和信息化領(lǐng)域各類主體。落實(shí)數(shù)據(jù)安全責(zé)任義務(wù)。重要數(shù)據(jù)核心數(shù)據(jù)公共健康和安全造成嚴(yán)重危害的數(shù)據(jù)。一般數(shù)據(jù)核心數(shù)據(jù)、重要數(shù)據(jù)之外的其他數(shù)據(jù)。重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動中自主決定重要數(shù)據(jù)和核心數(shù)據(jù)處理目的、處理方式的主體。一般數(shù)據(jù)處理者數(shù)據(jù)處理活動中自主決定一般數(shù)據(jù)處理目的、處理方式的主體。行業(yè)監(jiān)管部門本地區(qū)本領(lǐng)域的工業(yè)和信息化主管部門、通信管理局和無線電管理機(jī)構(gòu)，統(tǒng)稱為地方行業(yè)監(jiān)管部門。工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。工業(yè)數(shù)據(jù)工業(yè)領(lǐng)域各行業(yè)企業(yè)在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營管理、運(yùn)行維護(hù)、平臺運(yùn)營等過程中產(chǎn)生和收集的數(shù)據(jù)。電信數(shù)據(jù)電信和互聯(lián)網(wǎng)企業(yè)在經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)。數(shù)據(jù)分類分級明晰數(shù)據(jù)安全保護(hù)薄弱環(huán)節(jié)，為進(jìn)一步做好數(shù)據(jù)安全工作提出工作舉措。境情況、共享應(yīng)用情況等內(nèi)容，詳見附件。（括職能部門和業(yè)務(wù)部門面、系統(tǒng)梳理數(shù)據(jù)。動態(tài)管理。按所屬行業(yè)要求、特點(diǎn)、業(yè)務(wù)需求、數(shù)據(jù)來源和用途等，對數(shù)據(jù)進(jìn)行分類，具體可采取“所屬行業(yè)——業(yè)務(wù)領(lǐng)域——業(yè)務(wù)特點(diǎn)（屬性）——細(xì)化業(yè)務(wù)特點(diǎn)（屬性）”的分類方式制定數(shù)據(jù)分類規(guī)則：工業(yè)領(lǐng)域可分為研發(fā)數(shù)據(jù)域（研發(fā)設(shè)計(jì)數(shù)據(jù)、開發(fā)測試數(shù)據(jù)等）（（（與其他主體共享的數(shù)據(jù)等）等。電信數(shù)據(jù)分類可分為網(wǎng)絡(luò)規(guī)劃運(yùn)維數(shù)據(jù)域（維護(hù)等障等（共利益的非公開統(tǒng)計(jì)數(shù)據(jù)等（涉及電信領(lǐng)域出口管制物可結(jié)合自身業(yè)務(wù)特點(diǎn)進(jìn)一步細(xì)化三、四級數(shù)據(jù)分類。工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級，具體數(shù)據(jù)分級步驟如下：重要數(shù)據(jù)識別6要數(shù)據(jù)識別指南》。領(lǐng)域重要數(shù)據(jù)識別指南》。核心數(shù)據(jù)識別核心數(shù)據(jù)識別由行業(yè)監(jiān)管部門審核確定。一般數(shù)據(jù)識別結(jié)合本單位業(yè)務(wù)情況及業(yè)務(wù)經(jīng)營管理需求，可對一般數(shù)據(jù)進(jìn)行進(jìn)一步細(xì)化分級。全情況等信息。8月30善目錄后重新報(bào)備，或者重新開展重要數(shù)據(jù)識別和目錄報(bào)送工作。根據(jù)地方行業(yè)監(jiān)管部門審核認(rèn)定的重要數(shù)據(jù)目錄，按要求開展保護(hù)。變更手續(xù)，更新目錄備案表，說明具體情況。（條目數(shù)量或者存儲總量變化以上。述、數(shù)據(jù)安全風(fēng)險評估情況、數(shù)據(jù)安全負(fù)責(zé)人等。銷毀、轉(zhuǎn)移重要數(shù)據(jù)和核心數(shù)據(jù)。規(guī)范性。數(shù)據(jù)安全管理體系一般數(shù)據(jù)處理者（1）配備數(shù)據(jù)安全管理責(zé)任部門識等的專職或兼職數(shù)據(jù)安全管理人員。數(shù)據(jù)安全管理責(zé)任部門負(fù)責(zé)統(tǒng)籌本單位數(shù)據(jù)處理活動的安全監(jiān)督管理，可獨(dú)立設(shè)置，也可結(jié)合實(shí)際情況由職責(zé)相近的有關(guān)部門負(fù)責(zé)，主要承擔(dān)以下職責(zé)：檢查。為單位內(nèi)相關(guān)職能部門提供數(shù)據(jù)安全咨詢與支持。及時向管理層報(bào)告數(shù)據(jù)安全重大風(fēng)險和數(shù)據(jù)安全工作落實(shí)情況。對行業(yè)監(jiān)管部門開展監(jiān)管執(zhí)法工作予以積極配合。與其他數(shù)據(jù)所屬部門協(xié)同，確保數(shù)據(jù)安全管理工作的全面性與有效性。（2）開展數(shù)據(jù)安全教育與培訓(xùn)定期組織或協(xié)助相關(guān)部門開展數(shù)據(jù)安全培訓(xùn)，每年至少開展一次。時長、考核要求等?？蛻舴?wù)等人員。等。重要數(shù)據(jù)和核心數(shù)據(jù)處理者明確領(lǐng)導(dǎo)責(zé)任本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人，領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人。數(shù)據(jù)安全第一責(zé)任人主要負(fù)責(zé)單位內(nèi)數(shù)據(jù)安全管理制度的構(gòu)建和運(yùn)行，提供必要的資源保障和條件支持，牽頭特別重大數(shù)據(jù)安全事件應(yīng)急處置等。數(shù)據(jù)安全直接責(zé)任人主要負(fù)責(zé)：確立符合本單位戰(zhàn)略方向的數(shù)據(jù)安全方針和目標(biāo)。保障數(shù)據(jù)安全管理責(zé)任部門具備獨(dú)立履行職責(zé)的能力與權(quán)限。審批單位內(nèi)重大數(shù)據(jù)安全合規(guī)事項(xiàng)。確保將數(shù)據(jù)安全管理要求融入單位內(nèi)的業(yè)務(wù)過程。解決數(shù)據(jù)安全工作中的關(guān)鍵問題，確保本單位數(shù)據(jù)安全工作順利進(jìn)行。確保建立有效的數(shù)據(jù)安全違規(guī)舉報(bào)與懲處機(jī)制。建立數(shù)據(jù)安全工作架構(gòu)數(shù)據(jù)安全管理責(zé)任部門主要負(fù)責(zé)：統(tǒng)籌實(shí)施數(shù)據(jù)安全管理工作，并對數(shù)據(jù)安全管理情況進(jìn)行評估與檢查。展調(diào)查。據(jù)安全咨詢與支持。向數(shù)據(jù)安全直接責(zé)任人報(bào)告數(shù)據(jù)安全重大風(fēng)險和相關(guān)工作落實(shí)情況。對行業(yè)監(jiān)管部門開展監(jiān)管執(zhí)法工作予以積極配合。與其他數(shù)據(jù)所屬部門協(xié)同，確保數(shù)據(jù)安全管理工作的全面性與有效性。職責(zé)如下：理活動的全生命周期要求和具體工作機(jī)制。確保本部門員工遵守?cái)?shù)據(jù)安全制度規(guī)范，履行數(shù)據(jù)安全義務(wù)。配合數(shù)據(jù)安全責(zé)任部門開展監(jiān)督檢查、風(fēng)險評估、整改等各項(xiàng)工作。措施。及時向數(shù)據(jù)安全管理責(zé)任部門報(bào)告，并配合采取應(yīng)急處置和整改措施。設(shè)置關(guān)鍵崗位和職責(zé)將處理重要數(shù)據(jù)和核心數(shù)據(jù)的操作人員，關(guān)鍵業(yè)務(wù)系統(tǒng)、平臺管理人員（如負(fù)責(zé)審批重要數(shù)據(jù)和核心數(shù)據(jù)對外等設(shè)定為關(guān)鍵崗位，明確崗位職責(zé)。安全崗位職責(zé)、義務(wù)、處罰措施、注意事項(xiàng)等內(nèi)容。責(zé)任義務(wù)。開展數(shù)據(jù)安全教育與培訓(xùn)可在滿足3.1.1要求的基礎(chǔ)上，對培訓(xùn)內(nèi)容、頻率、時長、考核要求等進(jìn)行強(qiáng)化。開展背景調(diào)查若單位內(nèi)掌握行業(yè)監(jiān)管部門規(guī)定的特定種類、規(guī)模重要數(shù)據(jù)，需對數(shù)據(jù)安全第一負(fù)責(zé)人、數(shù)據(jù)安全直接責(zé)任人和關(guān)鍵崗位的人員開展安全背景審查。息保護(hù)管理、合作方管理等有關(guān)要求?；匾獢?shù)據(jù)與核心數(shù)據(jù)的安全保障。一般數(shù)據(jù)處理者為。操作權(quán)限。建立并定期更新權(quán)限分配情況臺賬，確保權(quán)限到人。保超級管理員權(quán)限賬號存在的必要性。重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.3.1的基礎(chǔ)上，做好以下工作：配備賬號管理保障功能，如限制非正常登錄次數(shù)、登錄連接超時自動沉默賬號、失效賬號定期檢測關(guān)閉等措施。合同時，及時變更或終止其數(shù)據(jù)處理權(quán)限。改。一般數(shù)據(jù)處理者根據(jù)業(yè)務(wù)經(jīng)營需求，可參照重要數(shù)據(jù)和核心數(shù)據(jù)處理者要求建設(shè)應(yīng)用。重要數(shù)據(jù)和核心數(shù)據(jù)處理者針對重要數(shù)據(jù)和核心數(shù)據(jù)對外提供、委托處理、轉(zhuǎn)移、銷毀、公開、明確重要數(shù)據(jù)和核心數(shù)據(jù)訪問處理單次授權(quán)、多人審批和行為審計(jì)等要求和登倒掛情形。一般數(shù)據(jù)處理者采集系統(tǒng)進(jìn)行安全配置，建立安全配置清單，定期進(jìn)行配置審計(jì)。認(rèn)口令或弱口令，定期更新口令，禁止賬號共享。技術(shù)，防范勒索病毒等造成的數(shù)據(jù)破壞攻擊行為。HTTPFTPTelnet、RDP重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.5.1的基礎(chǔ)上，做好以下工作：多因子身份鑒別、口令復(fù)雜度策略、賬號鎖定策略等安全措施。等防護(hù)設(shè)備設(shè)置合理的隔離方式，包括物理隔離、邏輯隔離等。對關(guān)鍵業(yè)務(wù)系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境進(jìn)行邏輯或物理隔離。核心數(shù)據(jù)的系統(tǒng)依照關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)有關(guān)規(guī)定從嚴(yán)保護(hù)。一般數(shù)據(jù)處理者根據(jù)業(yè)務(wù)經(jīng)營需求，可參照重要數(shù)據(jù)和核心數(shù)據(jù)處理者要求建設(shè)應(yīng)用。重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)安全管理責(zé)任部門組織數(shù)據(jù)所屬部門明確重要數(shù)據(jù)和核心數(shù)據(jù)的（時切換并恢復(fù)數(shù)據(jù)。數(shù)據(jù)所屬部門按照備份策略，對重要數(shù)據(jù)和核心數(shù)據(jù)分別開展備份。與檢查。成測試報(bào)告，留存相關(guān)記錄。本單位向合作方提供重要數(shù)據(jù)或核心數(shù)據(jù)開展合規(guī)性與必要性評估法、正當(dāng)、必要。審核合作方保護(hù)能力審核內(nèi)容包括數(shù)據(jù)安全風(fēng)險評估結(jié)果、數(shù)據(jù)安全制度設(shè)置和日常管理（企業(yè)管理制度建立情況、管理落實(shí)機(jī)制建設(shè)情況、相關(guān)工作記錄等）、技術(shù)手段應(yīng)用（數(shù)據(jù)保護(hù)、風(fēng)險監(jiān)測等技術(shù)手段能力說明、建設(shè)規(guī)范、應(yīng)用截圖）等。請技術(shù)專家、第三方咨詢機(jī)構(gòu)等參與、指導(dǎo)審核工作。若數(shù)據(jù)接收方為境外相關(guān)組織機(jī)構(gòu)，按照本指引第8章進(jìn)行管理。簽訂數(shù)據(jù)安全協(xié)議通過簽訂合同協(xié)議等方式明確不同類型數(shù)據(jù)提供的安全保護(hù)方式以及雙方數(shù)據(jù)安全責(zé)任和義務(wù)。數(shù)據(jù)安全協(xié)議可參考下述內(nèi)容：圍、數(shù)據(jù)安全保護(hù)要求等。要求，不將加工后的數(shù)據(jù)還原成原始數(shù)據(jù)。（符合最小化原則等。履行保密義務(wù)。合作結(jié)束后，要求合作方及時銷毀數(shù)據(jù)。停合作，進(jìn)行整改。整改未完成前，不開展數(shù)據(jù)合作。的安全監(jiān)控和審計(jì)等，對履行義務(wù)情況進(jìn)行監(jiān)督。人員管理根據(jù)崗位職責(zé)對合作方人員設(shè)置相應(yīng)的平臺系統(tǒng)、物理設(shè)施訪問權(quán)限。權(quán)限的合作人員進(jìn)行背景審查和保密審查。建立管理臺賬收方是否發(fā)生過數(shù)據(jù)安全事件等，加強(qiáng)對合作方數(shù)據(jù)使用情況的監(jiān)督管理。本單位從合作方接收重要數(shù)據(jù)或核心數(shù)據(jù)數(shù)據(jù)合規(guī)性審核交易記錄，確保數(shù)據(jù)的真實(shí)性、有效性、安全性，避免收集不明來源的數(shù)據(jù)。落實(shí)數(shù)據(jù)安全保護(hù)根據(jù)數(shù)據(jù)安全協(xié)議或數(shù)據(jù)轉(zhuǎn)移方案在相關(guān)服務(wù)履約過程中履行數(shù)據(jù)安全保護(hù)責(zé)任，按照數(shù)據(jù)級別落實(shí)防護(hù)要求。配合合作方開展數(shù)據(jù)提供前的數(shù)據(jù)保護(hù)能力評估與審核、數(shù)據(jù)提供中的數(shù)據(jù)安全保護(hù)情況的監(jiān)督檢查等工作。若發(fā)生數(shù)據(jù)安全事件或發(fā)現(xiàn)重大數(shù)據(jù)安全風(fēng)險，第一時間向合作方報(bào)告，并立刻采取處置措施，消減危害影響。一般數(shù)據(jù)處理者IP地址、登錄信息等，能夠?qū)ψR別和追溯數(shù)據(jù)操作和訪問行為提供支撐。6的問題進(jìn)行處理，形成閉環(huán)管理。重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.8.1的基礎(chǔ)上，做好以下工作：對日志訪問和處理加強(qiáng)管理。對高風(fēng)險操作（如批量復(fù)制、批量傳輸、批量銷毀等操作）備份和完整性校驗(yàn)，保障日志文件的可用性和真實(shí)性。安全審計(jì)平臺等方式實(shí)現(xiàn)審計(jì)功能。留存時間不少于1息的，相關(guān)日志留存時間不少于3年；涉及核心數(shù)據(jù)安全、事件處置、溯源相關(guān)日志留存時間不少于3年。露、篡改?；?。監(jiān)督檢查工作機(jī)制義務(wù)落實(shí)情況的監(jiān)督、檢查、核查、督促、整改等工作。可于每年年初結(jié)合上一年監(jiān)督檢查情況，制定本年度監(jiān)督檢查計(jì)劃。可按照每年至少一次的頻率，組織相關(guān)部門開展監(jiān)督檢查。督檢查。監(jiān)督檢查內(nèi)容和核心數(shù)據(jù)是否發(fā)生變更等。數(shù)據(jù)安全教育培訓(xùn)情況，如是否按照制度要求完成教育培訓(xùn)，覆蓋人員、培訓(xùn)內(nèi)容、培訓(xùn)時長和頻率等是否符合有關(guān)要求。（份與恢復(fù)等技術(shù)能力和措施是否落實(shí)到位）。和核心數(shù)據(jù)實(shí)現(xiàn)安全風(fēng)險監(jiān)測、數(shù)據(jù)安全事件溯源、數(shù)據(jù)公網(wǎng)暴露等。力。措施。數(shù)據(jù)合作情況，如是否明確數(shù)據(jù)共享涉及機(jī)構(gòu)或部門的相關(guān)職責(zé)和權(quán)其他監(jiān)督檢查內(nèi)容。監(jiān)督檢查問題處置與被檢查對象溝通確認(rèn)數(shù)據(jù)安全監(jiān)督檢查中發(fā)現(xiàn)的問題并簽字。況。對接人員。信息，安全開放相關(guān)數(shù)據(jù)訪問、提供必要技術(shù)支持等。采取有效措施減輕、消除危害影響。數(shù)據(jù)全生命周期保護(hù)處于有效保護(hù)和合法利用的狀態(tài)。一般數(shù)據(jù)采取合法、正當(dāng)?shù)姆绞绞占瘮?shù)據(jù)。數(shù)據(jù)收集過程中，可結(jié)合具體管理、業(yè)務(wù)場景，制定數(shù)據(jù)收集規(guī)則，避免收集不明來源的數(shù)據(jù)。的、使用方式、使用范圍，告知用戶并得到授權(quán)。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.1.1的基礎(chǔ)上，做好以下工作：采取技術(shù)監(jiān)測、簽署安全協(xié)議、賬號權(quán)限管控、監(jiān)督檢查、安全審計(jì)時間、類型、數(shù)量、頻度、流向等進(jìn)行記錄。的網(wǎng)絡(luò)攻擊。要數(shù)據(jù)和核心數(shù)據(jù)，明確雙方法律責(zé)任。在發(fā)生產(chǎn)品或服務(wù)停止運(yùn)營、用戶終止服務(wù)等情況時，立即停止對相一般數(shù)據(jù)鑒別和訪問控制。避免存儲數(shù)據(jù)被泄露、篡改或破壞。依據(jù)業(yè)務(wù)需要制定數(shù)據(jù)備份策略，按需要定期開展數(shù)據(jù)備份。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.2.1的基礎(chǔ)上，做好以下工作：障措施等要求。涉及容災(zāi)備份的，可參考“3.6對存儲重要數(shù)據(jù)和核心數(shù)據(jù)的數(shù)據(jù)載體，采用校驗(yàn)技術(shù)、密碼技術(shù)等相關(guān)措施進(jìn)行安全存儲，如對稱密碼算法或密碼雜湊算法的消息鑒別碼對重要數(shù)據(jù)和核心數(shù)據(jù)存儲載體進(jìn)行安全管理，確保存放在安全環(huán)境標(biāo)記和銷毀等情況和相應(yīng)審批記錄，并定期盤點(diǎn)。一般數(shù)據(jù)數(shù)據(jù)使用加工應(yīng)遵循合理必要原則，制定數(shù)據(jù)使用加工管理要求、安利用數(shù)據(jù)進(jìn)行自動化決策的，保證決策的透明度和結(jié)果公平合理。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.3.1的基礎(chǔ)上，做好以下工作：并遵循最小化訪問原則。行為。進(jìn)行處理。對加工使用中產(chǎn)生的過程性數(shù)據(jù)做好防護(hù)。一般數(shù)據(jù)類型、級別和應(yīng)用場景，制定安全策略、采取保護(hù)措施，建立安全傳輸信道。統(tǒng)間接口和設(shè)備的認(rèn)證鑒權(quán)能力，未通過認(rèn)證鑒權(quán)的設(shè)備禁止接入。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.4.1的基礎(chǔ)上，做好以下工作：數(shù)據(jù)的傳輸安全?？蓛?yōu)先使用國產(chǎn)商用密碼算法。配的數(shù)據(jù)傳輸加密要求（如數(shù)據(jù)加密、數(shù)據(jù)簽名、散列等）。對傳輸接口管理和技術(shù)管控措施部署情況進(jìn)行梳理，形成接口梳理情一般數(shù)據(jù)供基本安全策略，確認(rèn)沒有超出需求和授權(quán)范圍的數(shù)據(jù)。安全。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.5.1的基礎(chǔ)上，做好以下工作：據(jù)脫敏等。網(wǎng)絡(luò)出口和數(shù)據(jù)，加強(qiáng)網(wǎng)絡(luò)邊界的身份認(rèn)證和訪問控制。一般數(shù)據(jù)家安全、公共利益產(chǎn)生影響的數(shù)據(jù)不得公開。組織開展風(fēng)險評估，研判可能存在的安全風(fēng)險。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.6.1的基礎(chǔ)上，做好以下工作：等技術(shù)，確保重要數(shù)據(jù)公開安全。安全風(fēng)險時，第一時間進(jìn)行刪除，并采取相關(guān)有效措施消除危害影響。一般數(shù)據(jù)建立數(shù)據(jù)銷毀操作規(guī)程，明確銷毀對象、規(guī)則、流程技術(shù)等要求。（）進(jìn)行記錄。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.7.1的基礎(chǔ)上，做好以下工作：色，負(fù)責(zé)監(jiān)督銷毀操作過程，確保數(shù)據(jù)銷毀流程合規(guī)。使用物理銷毀等方法，確保重要數(shù)據(jù)和核心數(shù)據(jù)銷毀后無法恢復(fù)。引起備案內(nèi)容發(fā)生變化的，履行備案變更手續(xù)。一般數(shù)據(jù)明確數(shù)據(jù)委托處理范圍、所涉數(shù)據(jù)類別級別、條件、程序等，并明確委托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.8.1的基礎(chǔ)上，做好以下工作：務(wù)。一般數(shù)據(jù)（轉(zhuǎn)移數(shù)據(jù)涉及個人信息的，事先向用戶告知接收方的名稱或者姓名和經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.9.1的基礎(chǔ)上，做好以下工作：轉(zhuǎn)移重要、核心數(shù)據(jù)引起備案內(nèi)容發(fā)生變化的，履行備案變更手續(xù)。（SDK）及可能引起數(shù)據(jù)泄露等安全事件的行為，并留存第三方接入日志記錄。數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警、報(bào)告、處置一般數(shù)據(jù)法訪問、流量異常、數(shù)據(jù)違規(guī)出境等。密切關(guān)注工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險信息報(bào)送與共享平臺通報(bào)的可根據(jù)相關(guān)預(yù)警信息設(shè)置差異化告警級別，匹配對應(yīng)的告警提醒方式（安全審計(jì)員等。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足5.1.1的基礎(chǔ)上，做好以下工作：建設(shè)數(shù)據(jù)風(fēng)險監(jiān)測預(yù)警能力，確保相關(guān)能力覆蓋涉及操作處理重要數(shù)IP地址訪問、數(shù)據(jù)庫異常連接（如在設(shè)定IP）等。并實(shí)現(xiàn)異常行為的可溯源。息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》。將可能造成重大及以上安全事件的風(fēng)險及時向地方行業(yè)監(jiān)管部門報(bào)告。圍等。的處置和懲戒措施，并對存在風(fēng)險隱患的環(huán)節(jié)進(jìn)行加固防護(hù)。況、下一步工作考慮等。數(shù)據(jù)安全事件應(yīng)急處置根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定本單位數(shù)據(jù)安全應(yīng)急預(yù)案。針策略、人員職責(zé)、具體措施、流程規(guī)范、物資保障等內(nèi)容。員熟練掌握應(yīng)急管理的內(nèi)容與流程。積極參與行業(yè)監(jiān)管部門組織的應(yīng)急演練。者涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，立即如實(shí)向地方行業(yè)監(jiān)管部門報(bào)告。行）》。當(dāng)收到紅色預(yù)警（特別重大事件）時，應(yīng)啟動I級響應(yīng)。立即進(jìn)入緊當(dāng)收到橙色預(yù)警（重大事件）時，應(yīng)啟動II級響應(yīng)。立即啟動相應(yīng)數(shù)進(jìn)展和處置情況。（較大事件時，應(yīng)啟動III處置情況。（一般事件時，應(yīng)啟動IV恢復(fù)或追溯工作，盡可能減少對用戶和社會影響，同時保存相關(guān)痕跡和證據(jù)。應(yīng)急處置工作的經(jīng)驗(yàn)教訓(xùn)，提出處理意見和改進(jìn)措施，并在應(yīng)急工作結(jié)束后個工作日內(nèi)形成總結(jié)報(bào)告，報(bào)地方行業(yè)監(jiān)管部門。失，總結(jié)事件防范和應(yīng)急處置工作的經(jīng)驗(yàn)教訓(xùn)，提出處理意見和改進(jìn)措施。數(shù)據(jù)安全事件對個人、組織造成實(shí)質(zhì)性危害的，及時以電話、短信、無法逐一告知的，可采取公告方式告知。數(shù)據(jù)安全風(fēng)險評估開展自評估保障、安全合規(guī)等人員組成的評估團(tuán)隊(duì)。評估團(tuán)隊(duì)原則上具備不少于5144估結(jié)論、編寫評估報(bào)告等。委托第三方評估機(jī)構(gòu)開展評估工作，保障數(shù)據(jù)處理者的安全生產(chǎn)運(yùn)行和數(shù)據(jù)安全。與被委托機(jī)構(gòu)共同組建評估團(tuán)隊(duì)，確定評估團(tuán)隊(duì)組長和團(tuán)隊(duì)成員。指定本單位至少1單位相應(yīng)資源、對第三方評估機(jī)構(gòu)相應(yīng)工作進(jìn)行管理和監(jiān)督。數(shù)據(jù)類別（二級子類），且數(shù)據(jù)載體避免重復(fù)。評估團(tuán)隊(duì)可根據(jù)實(shí)際需要制定風(fēng)險評估工作方案。保障評估的可行性。使用的評估工具情況、保障條件等。評估團(tuán)隊(duì)首先進(jìn)行數(shù)據(jù)處理活動分析，明確評估范圍內(nèi)數(shù)據(jù)處理活動涉及的接收方及數(shù)據(jù)載體情況等。開展合規(guī)性評估，包括正當(dāng)必要性評估、基礎(chǔ)性安全評估和數(shù)據(jù)全生《電信領(lǐng)域數(shù)據(jù)安全風(fēng)險評估規(guī)范》。（分為極高、高、中、低四個等級形成評估結(jié)論?；騿栴}進(jìn)行整改或改進(jìn)，并對整改措施的有效性進(jìn)行復(fù)核。完成實(shí)施風(fēng)險評估后，經(jīng)協(xié)商一致，根據(jù)評估結(jié)論形成評估報(bào)告。（包含面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等論及應(yīng)對措施等。評估。重要數(shù)據(jù)和核心數(shù)據(jù)發(fā)生重大變更時，及時開展數(shù)據(jù)安全風(fēng)險評估。工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者于每年12月底前向地風(fēng)險評估。理者可以開展風(fēng)險評估。數(shù)據(jù)出境安全管理數(shù)據(jù)出境活動。申報(bào)數(shù)據(jù)出境安全評估的情形關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個人信息或者重要數(shù)據(jù)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1境外提供100萬人以上1個人信息（不含敏感個人信息）。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1境外提供1萬人以上敏感個人信息。國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評估的情形。申報(bào)數(shù)據(jù)出境安全評估的流程重要數(shù)據(jù)識別報(bào)備按照本指引“2數(shù)據(jù)分類分級”相關(guān)要求，識別、申報(bào)重要數(shù)據(jù)，準(zhǔn)確界定需要出境的重要數(shù)據(jù)范疇。事前評估向境外提供數(shù)據(jù)前，首先開展數(shù)據(jù)出境風(fēng)險自評估，并形成數(shù)據(jù)出境自評估1本指引所指“以上”均含本數(shù)。報(bào)告。重點(diǎn)評估以下事項(xiàng)：性、必要性。公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險。能力等能否保障出境數(shù)據(jù)的安全。取、非法利用等風(fēng)險，個人信息權(quán)益維護(hù)的渠道是否通暢等。等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。申報(bào)評估根據(jù)《數(shù)據(jù)出境安全評估申報(bào)指南（第二版）安全評估的，采取線下申報(bào)流程。接收方擬訂立的法律文件、安全評估工作需要的其他材料。因申報(bào)材料不齊全被退回的，進(jìn)行補(bǔ)充、更正申報(bào)材料。重新評估通過數(shù)據(jù)出境安全評估的結(jié)果有效期為3年，自評估結(jié)果出具之日起計(jì)算。在有效期內(nèi)出現(xiàn)以下情形之一的，重新申報(bào)評估。期限的。變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的。出現(xiàn)影響出境數(shù)據(jù)安全的其他情形重新申報(bào)數(shù)據(jù)出境安全評估。終止出境管理要求的，在收到國家網(wǎng)信部門書面通知后，終止數(shù)據(jù)出境活動。估。需要明確的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，至少包括以下內(nèi)容：式等。法律文件終止后出境數(shù)據(jù)的處理措施。對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求。情形導(dǎo)致難以保障數(shù)據(jù)安全時，采取的安全措施。解決方式。和方式。通過數(shù)據(jù)出境安全評估的結(jié)果有效期未發(fā)生需要重新申報(bào)數(shù)據(jù)出境安全評估情形的，在有效期屆滿前60通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出延長評估結(jié)果有效期申請。3訂立個人信息出境標(biāo)準(zhǔn)合同的情形關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1向境外提供不滿1萬人敏感個人信息的。訂立個人信息出境標(biāo)準(zhǔn)合同的流程開展個人信息保護(hù)影響評估并訂立合同材料提交在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)，通過數(shù)據(jù)出境申報(bào)系統(tǒng)開展個人信息出境標(biāo)準(zhǔn)合同備案。材料查驗(yàn)及反饋備案結(jié)果收到省級網(wǎng)信辦發(fā)放的備案編號后，根據(jù)需要在10個工作日內(nèi)提交補(bǔ)充完善材料。逾期視為終止本次備案程序。通過個人信息保護(hù)認(rèn)證的情形關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1向境外提供不滿1萬人敏感個人信息的。通過個人信息保護(hù)認(rèn)證的流程提交認(rèn)證委托資料認(rèn)證委托書、相關(guān)證明文檔等。結(jié)果反饋的，將獲得認(rèn)證證書。個人信息出境場景下的告知同意要求個人信息出境場景下的個人信息保護(hù)影響評估處理情況進(jìn)行記錄。個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對個人權(quán)益的影響及安全風(fēng)險；3通過個人信息保護(hù)認(rèn)證：中收集和