|
電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)為進(jìn)一步指導(dǎo)電信和互聯(lián)網(wǎng)企業(yè)做好網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估工作,提升數(shù)據(jù)安全保護(hù)水平�,依據(jù)《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī),參考《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)規(guī)范��,制定本要點(diǎn)�����,供各企業(yè)在網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估中使用�。一�����、 基礎(chǔ)性評(píng)估要點(diǎn)重點(diǎn)圍繞機(jī)構(gòu)人員��、制度保障��、分類分級(jí)�、合規(guī)評(píng)估、權(quán)限管理��、安全審計(jì)�、合作方管理、應(yīng)急響應(yīng)�、投訴處理�、教育培訓(xùn)等十個(gè)方面開展評(píng)估。(1)明確企業(yè)數(shù)據(jù)安全管理責(zé)任部門�����,牽頭承擔(dān)企業(yè)數(shù)據(jù)安全管理工作�����,包括但不限于制定數(shù)據(jù)安全管理制度規(guī)范�,協(xié)調(diào)強(qiáng)化數(shù)據(jù)安全技術(shù)能力�,開展數(shù)據(jù)安全合規(guī)性評(píng)估、安全審計(jì)管理�����、安全事件應(yīng)急處置�����、教育培訓(xùn)等工作�。(2)明確數(shù)據(jù)安全管理責(zé)任部門與各項(xiàng)工作執(zhí)行部門 的責(zé)任分工界面,建立數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況監(jiān)督檢查和考核問(wèn)責(zé)制度�。(3)數(shù)據(jù)安全管理責(zé)任部門應(yīng)配備數(shù)據(jù)安全管理責(zé)任 人員,相關(guān)工作執(zhí)行部門應(yīng)設(shè)置數(shù)據(jù)安全工作崗位��,負(fù)責(zé)具體落實(shí)數(shù)據(jù)安全管理工作��,包括但不限于數(shù)據(jù)資產(chǎn)梳理�����、分類分級(jí)�����、合規(guī)性評(píng)估�、權(quán)限管理、安全審計(jì)��、應(yīng)急響應(yīng)�����、教育培訓(xùn)等工作。建立企業(yè)數(shù)據(jù)分類分級(jí)管理、數(shù)據(jù)訪問(wèn)權(quán)限管理��、數(shù)據(jù)安全合規(guī)性評(píng)估�����、數(shù)據(jù)全生命周期管理��、數(shù)據(jù)合作方管理、數(shù)據(jù)安全應(yīng)急響應(yīng)等制度�����。(1)按照數(shù)據(jù)資產(chǎn)安全管理的目標(biāo)和原則�����,定期梳理 企業(yè)核心數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)1數(shù)據(jù)情況�,形成企業(yè) 數(shù)據(jù)資產(chǎn)清單。(2)綜合考慮數(shù)據(jù)的類別屬性、使用目的等�����,明確數(shù) 據(jù)分類策略��。在數(shù)據(jù)分類的基礎(chǔ)上�,對(duì)每一類數(shù)據(jù),結(jié)合數(shù)據(jù)的重要及敏感程度以及一旦泄露�、丟失、破壞造成的危害程度等�����,制定數(shù)據(jù)分級(jí)策略�。在數(shù)據(jù)分類分級(jí)基礎(chǔ)上��,明確重要數(shù)據(jù)的范圍和類型�。(3)針對(duì)不同級(jí)別的數(shù)據(jù)�,圍繞數(shù)據(jù)全生命周期各環(huán) 節(jié)部署差異化的安全保障措施。對(duì)重要數(shù)據(jù)實(shí)施重點(diǎn)保護(hù)�, 按照法律法規(guī)及國(guó)家有關(guān)規(guī)定,落實(shí)重要數(shù)據(jù)境內(nèi)存儲(chǔ)�、出境安全評(píng)估等要求。(1)將數(shù)據(jù)安全合規(guī)性評(píng)估作為企業(yè)數(shù)據(jù)安全管理的重要內(nèi)容和抓手��,按照“誰(shuí)運(yùn)營(yíng)��、誰(shuí)主管�、誰(shuí)負(fù)責(zé)”的原則�����, 開展企業(yè)整體數(shù)據(jù)安全保護(hù)水平評(píng)估并形成評(píng)估報(bào)告�。評(píng)估內(nèi)容包括但不限于數(shù)據(jù)安全制度建設(shè)情況、數(shù)據(jù)分類分級(jí)情況��、數(shù)據(jù)安全事件應(yīng)急響應(yīng)水平�����,以及重點(diǎn)業(yè)務(wù)與系統(tǒng)數(shù)據(jù)合規(guī)處理情況�、數(shù)據(jù)安全保障措施配備情況、合作方數(shù)據(jù)安全保護(hù)水平等��。(2)對(duì)照企業(yè)數(shù)據(jù)安全制度規(guī)范�,按年度開展重點(diǎn)業(yè) 務(wù)數(shù)據(jù)安全合規(guī)性評(píng)估并形成評(píng)估報(bào)告。重點(diǎn)評(píng)估業(yè)務(wù)數(shù)據(jù)處理活動(dòng)中相關(guān)制度規(guī)范執(zhí)行落實(shí)情況、數(shù)據(jù)安全保護(hù)措施配備情況等�����。實(shí)現(xiàn)對(duì)新上線業(yè)務(wù)��、重點(diǎn)存量業(yè)務(wù)2的評(píng)估全 覆蓋�����,業(yè)務(wù)數(shù)據(jù)處理模式變化3時(shí)應(yīng)動(dòng)態(tài)跟蹤評(píng)估�。(3)對(duì)照企業(yè)數(shù)據(jù)安全制度規(guī)范�,按年度開展核心數(shù) 據(jù)處理活動(dòng)平臺(tái)系統(tǒng)數(shù)據(jù)安全合規(guī)性評(píng)估并形成評(píng)估報(bào)告。重點(diǎn)評(píng)估企業(yè)內(nèi)部管理措施執(zhí)行落實(shí)情況�、平臺(tái)建設(shè)運(yùn)維部門及合作方數(shù)據(jù)安全保護(hù)措施配備情況等。(4)各項(xiàng)評(píng)估報(bào)告中應(yīng)包括評(píng)估對(duì)象基本情況��、評(píng)估 流程�����、評(píng)估要點(diǎn)對(duì)標(biāo)情況��、保障措施配備情況與佐證材料說(shuō)明�����、問(wèn)題分析和改進(jìn)措施等。(1)明確企業(yè)數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)的用戶賬號(hào)分配�、 開通、使用��、變更�����、注銷等安全保障要求,及賬號(hào)操作審批要求和操作流程��,形成并定期更新平臺(tái)系統(tǒng)權(quán)限分配表�����,重點(diǎn)關(guān)注離職人員賬號(hào)回收、賬號(hào)權(quán)限變更�����、沉默賬號(hào)安全等問(wèn)題�。(2)按照業(yè)務(wù)需求��、安全策略及最小授權(quán)原則等�,合理配置系統(tǒng)訪問(wèn)權(quán)限,避免非授權(quán)用戶或業(yè)務(wù)訪問(wèn)數(shù)據(jù)。嚴(yán)格控制超級(jí)管理員權(quán)限賬號(hào)數(shù)量。(3)對(duì)數(shù)據(jù)安全管理�����、數(shù)據(jù)使用、安全審計(jì)等人員角 色進(jìn)行分離設(shè)置�����。涉及授權(quán)特定人員超權(quán)限處理數(shù)據(jù)的��,由數(shù)據(jù)安全管理責(zé)任部門進(jìn)行審批并記錄��;涉及數(shù)據(jù)重大操作的(如數(shù)據(jù)批量復(fù)制�、傳輸�����、處理�、開放共享和銷毀等)��,采取多人審批授權(quán)或操作監(jiān)督,并實(shí)施日志審計(jì)�。(1)對(duì)數(shù)據(jù)授權(quán)訪問(wèn)、批量復(fù)制�、開放共享、銷毀�����、數(shù)據(jù)接口調(diào)用等重點(diǎn)環(huán)節(jié)實(shí)施日志留存管理�,日志記錄至少包括執(zhí)行時(shí)間、操作賬號(hào)、處理方式、授權(quán)情況��、IP 地址��、登錄信息等��,能夠?qū)ψR(shí)別和追溯數(shù)據(jù)操作和訪問(wèn)行為提供支撐�。定期對(duì)日志進(jìn)行備份�����,防止數(shù)據(jù)安全事件導(dǎo)致的日志被刪除�����。(2)加強(qiáng)企業(yè)數(shù)據(jù)安全審計(jì)管理,明確審計(jì)對(duì)象�����、審 計(jì)內(nèi)容�、實(shí)施周期�����、結(jié)果規(guī)范��、問(wèn)題改進(jìn)跟蹤等要求�����。企業(yè)數(shù)據(jù)安全管理責(zé)任部門或核心數(shù)據(jù)處理活動(dòng)相關(guān)平臺(tái)系統(tǒng) 負(fù)責(zé)部門應(yīng)配備日志安全審計(jì)員��,加強(qiáng)日志訪問(wèn)和安全審計(jì)管理�,至少每半年形成一份數(shù)據(jù)安全審計(jì)報(bào)告。(1)加強(qiáng)數(shù)據(jù)合作方4安全管理�,明確合作方數(shù)據(jù)安全監(jiān)督管理部門和執(zhí)行配合部門,明確企業(yè)對(duì)外合作中數(shù)據(jù)安全保護(hù)方式和合作方責(zé)任落實(shí)要求��。(2)合作方監(jiān)督管理部門建立合作方臺(tái)賬管理機(jī)制, 牽頭梳理形成并定期更新合作方清單(含合作方企業(yè)名稱�、合作業(yè)務(wù)或系統(tǒng)、合作形式�����、合作期限�、合作方聯(lián)系人等),加強(qiáng)對(duì)合作方數(shù)據(jù)使用情況的監(jiān)督管理。(3)與合作方簽訂服務(wù)合同和安全保密協(xié)議中,應(yīng)根 據(jù)實(shí)際合作項(xiàng)目明確具體條款�,包含但不限于下述內(nèi)容:合作方及項(xiàng)目參與員工可接觸到的數(shù)據(jù)處理相關(guān)平臺(tái)系統(tǒng)范 圍��,及數(shù)據(jù)使用權(quán)限�����、內(nèi)容�、范圍及用途(應(yīng)符合最小化原則)��,合作方數(shù)據(jù)安全責(zé)任�����、保障措施配備情況(保障措施不得低于本企業(yè))�����,合作結(jié)束后數(shù)據(jù)刪除要求,合作方違約責(zé)任和處罰等�。(1)強(qiáng)化企業(yè)數(shù)據(jù)泄露(丟失)、濫用��、被篡改�����、被損毀��、違規(guī)使用等安全事件應(yīng)急響應(yīng)能力�����。(2)參照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》 及數(shù)據(jù)安全事件對(duì)企業(yè)和個(gè)人信息主體合法權(quán)益影響等因 素劃分事件等級(jí)�����。結(jié)合事件場(chǎng)景和等級(jí)制定應(yīng)急預(yù)案并開展演練��,典型場(chǎng)景至少每年開展一次演練��;每個(gè)核心數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)至少兩年開展一次演練�。(3)發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)采取補(bǔ)救措施,并向電 信主管部門報(bào)告�����。發(fā)生大規(guī)模用戶個(gè)人信息泄露�、毀損和丟失時(shí),采取合理�����、有效方式告知用戶�����。及時(shí)總結(jié)數(shù)據(jù)安全事件情況�����,分析原因�����、查找問(wèn)題�����,調(diào)整企業(yè)數(shù)據(jù)安全策略��,形成事件調(diào)查記錄和總結(jié)報(bào)告�,避免再次發(fā)生類似情況。完善數(shù)據(jù)安全用戶舉報(bào)與受理機(jī)制��,建立用戶數(shù)據(jù)安全舉報(bào)投訴渠道��,如電子郵件�����、電話��、傳真��、在線客服�、在線表格等。明確舉報(bào)投訴處理部門和人員�、處理流程、處理要求等�。針對(duì)有效舉報(bào)線索,及時(shí)核查處理并在接到投訴之日起十五日內(nèi)答復(fù)投訴人�����。(1)制定數(shù)據(jù)安全管理相關(guān)崗位人員培訓(xùn)計(jì)劃�����,培訓(xùn) 內(nèi)容應(yīng)包括數(shù)據(jù)安全制度要求和實(shí)操規(guī)范�����,如法律法規(guī)�、政策標(biāo)準(zhǔn)、合規(guī)性評(píng)估�、技術(shù)防護(hù)、應(yīng)急響應(yīng)��、知識(shí)技能�、安全意識(shí)等。(2)培訓(xùn)可采取線下集中授課或線上培訓(xùn)等形式��,數(shù) 據(jù)安全管理責(zé)任人員年度培訓(xùn)時(shí)長(zhǎng)不少于 10 學(xué)時(shí),并開展培訓(xùn)人員考核評(píng)定�。二、數(shù)據(jù)生命周期評(píng)估要點(diǎn)重點(diǎn)圍繞數(shù)據(jù)采集��、傳輸��、存儲(chǔ)��、使用�����、開放共享�����、銷毀等六個(gè)環(huán)節(jié)開展評(píng)估�����。(1)規(guī)范數(shù)據(jù)采集渠道�、數(shù)據(jù)格式�、采集流程和采集 方式,定期開展數(shù)據(jù)采集合規(guī)性審查�。利用外部數(shù)據(jù)源采集數(shù)據(jù)的�,應(yīng)對(duì)數(shù)據(jù)源的合法性進(jìn)行確認(rèn)�����,涉及個(gè)人信息的�����, 應(yīng)要求提供方說(shuō)明個(gè)人信息來(lái)源與個(gè)人信息主體授權(quán)同意 的范圍��。(2)在進(jìn)行個(gè)人信息采集前�����,以通俗易懂��、簡(jiǎn)單明了的方式向個(gè)人信息主體明示采集規(guī)則��,如收集�����、使用個(gè)人信息的目的�����、方式和范圍等,并獲得個(gè)人信息主體的授權(quán)同意��。收集個(gè)人信息遵循最小必要原則��,收集的個(gè)人信息類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)��。(1)根據(jù)業(yè)務(wù)流程�、職責(zé)界面、網(wǎng)絡(luò)部署�、安全風(fēng)險(xiǎn) 等情況,合理劃分企業(yè)網(wǎng)絡(luò)系統(tǒng)安全域�����,區(qū)分域內(nèi)��、域間等不同數(shù)據(jù)傳輸場(chǎng)景�,明確數(shù)據(jù)傳輸安全策略和操作規(guī)程。(2)梳理企業(yè)存在數(shù)據(jù)出境情況的業(yè)務(wù)�����,對(duì)涉及個(gè)人 信息和重要數(shù)據(jù)出境的場(chǎng)景�����、類別�����、數(shù)量級(jí)�、頻率、接收方 情況等進(jìn)行梳理匯總�。(1)明確企業(yè)核心數(shù)據(jù)處理活動(dòng)有關(guān)平臺(tái)系統(tǒng)、存儲(chǔ) 介質(zhì)等數(shù)據(jù)存儲(chǔ)安全要求��。與系統(tǒng)支撐運(yùn)維人員簽訂保密協(xié)議��,有效約束操作行為��。(2)加強(qiáng)對(duì)數(shù)據(jù)存儲(chǔ)平臺(tái)系統(tǒng)接入移動(dòng)存儲(chǔ)介質(zhì)的管 控�,對(duì)將數(shù)據(jù)下載到本地終端的行為進(jìn)行嚴(yán)格審核和日志記錄。(3)根據(jù)數(shù)據(jù)級(jí)別明確數(shù)據(jù)備份操作規(guī)程�,保障數(shù)據(jù) 的可用性和完整性。(1)區(qū)分不同目的下數(shù)據(jù)使用審批流程�、數(shù)據(jù)脫敏處 理規(guī)則,鼓勵(lì)在保障安全的情況下�����,開展數(shù)據(jù)利用。(2)除為達(dá)到用戶授權(quán)同意的使用目的外�����,使用個(gè)人信息時(shí)消除明確身份指向性�,避免精確定位到特定個(gè)人。因業(yè)務(wù)需要�,確需改變個(gè)人信息使用目的或改變個(gè)人信息使用規(guī)則時(shí),應(yīng)再次征得用戶明示同意��。(1)對(duì)數(shù)據(jù)對(duì)外開放共享實(shí)施審核��,確認(rèn)沒(méi)有超出需 求和授權(quán)范圍��,采取必要措施提升共享場(chǎng)景下的數(shù)據(jù)溯源能力�����。(2)與數(shù)據(jù)開放共享接口調(diào)用方簽署合作協(xié)議�����,在合作協(xié)議中明確數(shù)據(jù)的使用目的�����、供應(yīng)方式、保密約定等內(nèi)容��。(3)共享個(gè)人信息時(shí),應(yīng)事先向個(gè)人信息主體告知共 享個(gè)人信息的目的�����、接收方情況等�����,并征得個(gè)人信息主體授權(quán)同意�,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。(4)法律法規(guī)或中央政策對(duì)數(shù)據(jù)對(duì)外提供使用另有規(guī) 定的�,從其規(guī)定。(1)明確銷毀與刪除的對(duì)象�����、原因(如數(shù)據(jù)業(yè)務(wù)下線�����、用戶退出服務(wù)�����、數(shù)據(jù)試用結(jié)束、超出數(shù)據(jù)保存期限等)和流程�����、存儲(chǔ)介質(zhì)銷毀處理策略和操作規(guī)程�����。(2)建立數(shù)據(jù)銷毀審批機(jī)制��,設(shè)置銷毀相關(guān)監(jiān)督角色�, 監(jiān)督操作過(guò)程,數(shù)據(jù)批量銷毀采用多人操作模式�。(3)因違反法律法規(guī)規(guī)定或雙方約定收集、使用個(gè)人 信息��,個(gè)人信息主體要求刪除的�,應(yīng)及時(shí)刪除個(gè)人信息。法律�����、行政法規(guī)另有規(guī)定的�����,從其規(guī)定。三�����、技術(shù)能力評(píng)估要點(diǎn)重點(diǎn)圍繞數(shù)據(jù)識(shí)別��、安全審計(jì)��、防泄露��、接口安全管理�、個(gè)人信息保護(hù)等五個(gè)方面開展評(píng)估�。配備技術(shù)能力,定期對(duì)相關(guān)平臺(tái)系統(tǒng)數(shù)據(jù)資產(chǎn)進(jìn)行掃 描��,能夠發(fā)現(xiàn)識(shí)別個(gè)人敏感信息�����。定期對(duì)數(shù)據(jù)脫敏效果進(jìn)行驗(yàn)證�,確保各類數(shù)據(jù)處理場(chǎng)景中數(shù)據(jù)脫敏的有效性和合規(guī) 性。規(guī)劃建設(shè)具有自動(dòng)化操作審計(jì)能力的平臺(tái)系統(tǒng)�����,具備數(shù)據(jù)操作權(quán)限配置、異常操作告警與處置等核心功能�����,分批次將數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)接入安全系統(tǒng)��,數(shù)據(jù)操作審計(jì)內(nèi)容和企業(yè)平臺(tái)系統(tǒng)權(quán)限分配表作為系統(tǒng)策略進(jìn)行配置��。涉及存儲(chǔ)�、處理個(gè)人敏感信息和重要數(shù)據(jù)平臺(tái)系統(tǒng)配備數(shù)據(jù)防泄露能力,優(yōu)先從網(wǎng)絡(luò)側(cè)和終端側(cè)等進(jìn)行部署��,逐步擴(kuò)大能力覆蓋范圍��。具備對(duì)網(wǎng)絡(luò)�、郵件、FTP�、USB 等多種數(shù)據(jù)導(dǎo)入導(dǎo)出渠道進(jìn)行實(shí)時(shí)監(jiān)控的能力,及時(shí)對(duì)異常數(shù)據(jù)操作行為進(jìn)行預(yù)警攔截��,防范數(shù)據(jù)泄露風(fēng)險(xiǎn)�。面向互聯(lián)網(wǎng)及合作方開放的數(shù)據(jù)接口具備接口認(rèn)證鑒 權(quán)與安全監(jiān)控能力,能夠限制違規(guī)設(shè)備接入,對(duì)接口調(diào)用進(jìn)行必要的自動(dòng)監(jiān)控和處理�。對(duì)涉及個(gè)人信息和重要數(shù)據(jù)的傳輸接口實(shí)施調(diào)用審批,定期開展接口日志審計(jì)�����。對(duì)授權(quán)收集到的個(gè)人敏感信息��,采取去標(biāo)識(shí)化�����、關(guān)鍵字段加密安全存儲(chǔ)措施�;在跨安全域或通過(guò)互聯(lián)網(wǎng)傳輸個(gè)人敏感信息時(shí)�����,采用加密傳輸措施(如可確保安全的加密算法或傳輸通道)�����;在用戶端顯示個(gè)人敏感信息時(shí)�����,采取措施防止未授權(quán)人員獲取個(gè)人敏感信息�。 
編碼: 218614986 長(zhǎng)按識(shí)別二維碼下載文檔 【回復(fù)關(guān)鍵字 合規(guī) 可查詢相關(guān)文檔約25個(gè)】 【回復(fù)關(guān)鍵字 數(shù)據(jù)安全 可查詢相關(guān)文檔約130個(gè)】 【回復(fù)關(guān)鍵字 網(wǎng)絡(luò)安全 可查詢相關(guān)文檔約80個(gè)】
|
