数据安全合规性评估要点(2020年版)
附件 1
电信和互联网企业网络数据安全合规性评估要点
(2020 年版)
为进一步指导电信和互联网企业做好网络数据安全合规性评估工作,提升数据安全保护水平,依据《网络安全法》
《电信和互联网用户个人信息保护规定》等法律法规,参考
《信息安全技术 个人信息安全规范》等标准规范,制定本要点,供各企业在网络数据安全合规性评估中使用。
一、 基础性评估要点
重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等十个方面开展评估。
1.【机构人员】
(1)明确企业数据安全管理责任部门,牵头承担企业数据安全管理工作,包括但不限于制定数据安全管理制度规范,协调强化数据安全技术能力,开展数据安全合规性评估、安全审计管理、安全事件应急处置、教育培训等工作。
(2)明确数据安全管理责任部门与各项工作执行部门 的责任分工界面,建立数据安全管理制度执行落实情况监督检查和考核问责制度。
(3)数据安全管理责任部门应配备数据安全管理责任 人员,相关工作执行部门应设置数据安全工作岗位,负责具体落实数据安全管理工作,包括但不限于数据资产梳理、分

类分级、合规性评估、权限管理、安全审计、应急响应、教育培训等工作。
2.【制度保障】
建立企业数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等制度。
3.【分类分级】
(1)按照数据资产安全管理的目标和原则,定期梳理 企业核心数据处理活动有关平台系统1数据情况,形成企业 数据资产清单。
(2)综合考虑数据的类别属性、使用目的等,明确数 据分类策略。在数据分类的基础上,对每一类数据,结合数据的重要及敏感程度以及一旦泄露、丢失、破坏造成的危害程度等,制定数据分级策略。在数据分类分级基础上,明确重要数据的范围和类型。
(3)针对不同级别的数据,围绕数据全生命周期各环 节部署差异化的安全保障措施。对重要数据实施重点保护, 按照法律法规及国家有关规定,落实重要数据境内存储、出境安全评估等要求。
4.【合规评估】
(1)交行信用卡积分兑换将数据安全合规性评估作为企业数据安全管理的重要内容和抓手,按照“谁运营、谁主管、谁负责”的原则, 开展企业整体数据安全保护水平评估并形成评估报告。评估内容包括但不限于数据安全制度建设情况、数据分类分级情况、数据安全事件应急响应水平,以及重点业务与系统数据
1核心数据处理活动有关平台系统是指:存储和处理用户个人信息的支撑系统。
不包含对企业生产经营数据、内部管理数据及企业内部研发测试数据的处理。

合规处理情况、数据安全保障措施配备情况、合作方数据安全保护水平等。
(2)对照企业数据安全制度规范,按年度开展重点业 务数据安全合规性评估并形成评估报告。重点评估业务数据处理活动中相关制度规范执行落实情况、数据安全保护措施配备情况等。实现对新上线业务、重点存量业务2的评估全 覆盖,业务数据处理模式变化3时应动态跟踪评估。
(3)对照企业数据安全制度规范,按年度开展核心数 据处理活动平台系统数据安全合规性评估并形成评估报告。重点评估企业内部管理措施执行落实情况、平台建设运维部门及合作方数据安全保护措施配备情况等。
(4)各项评估报告中应包括评估对象基本情况、评估 流程、评估要点对标情况、保障措施配备情况与佐证材料说明、问题分析和改进措施等。
5.【权限管理】
(1)2022新高考明确企业数据处理活动平台系统的用户账号分配、 开通、使用、变更、注销等安全保障要求,及账号操作审批要求和操作流程,形成并定期更新平台系统权限分配表,重点关注离职人员账号回收、账号权限变更、沉默账号安全等问题。
(2)按照业务需求、安全策略及最小授权原则等,合
2重点存量业务(含移动应用软件:关注具备收集、使用个人信息功能的业务与
平台,包括但不限于网掌微厅、即时通信、在线教育、在线医疗、电子商务、位置服务、营销支撑平台、信息登记平台、大数据平台、用户通讯录管理平台、云业务平台及数据合作类业务。
3业务数据处理模式变化:新增数据出境、数据开放共享等重大操作行为,数据
采集、传输、存储、使用、开放共享、销毁方式变化,业务模式、运行环境变化
(系统改建、升级或报废,新增合作方、跨业务目的使用和交换数据等情况。

理配置系统访问权限,避免非授权用户或业务访问数据。严格控制超级管理员权限账号数量。
(3)对数据安全管理、数据使用、安全审计等人员角 进行分离设置。涉及授权特定人员超权限处理数据的,由数据安全管理责任部门进行审批并记录;涉及数据重大操作的(如数据批量复制、传输、处理、开放共享和销毁等,采取多人审批授权或操作监督,并实施日志审计。做梦梦到牙齿掉了是什么意思
6.【安全审计】
(1)对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理,日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP 地址、登录信息等,能够对识别和追溯数据操作和访问行为提供支撑。定期对日志进行备份,防止数据安全事件导致的日志被删除。
(2)加强企业数据安全审计管理,明确审计对象、审 计内容、实施周期、结果规范、问题改进跟踪等要求。企业数据安全管理责任部门或核心数据处理活动相关平台系统 负责部门应配备日志安全审计员,加强日志访问和安全审计管理,至少每半年形成一份数据安全审计报告。
7.【合作方管理】
(1)加强数据合作方4安全管理,明确合作方数据安全监督管理部门和执行配合部门,明确企业对外合作中数据安全保护方式和合作方责任落实要求。
4合作方:受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触今日生猪价格表
到组织机构数据的外部机构。其中,业务合作主要包括数据业务合作推广、渠道接入等形式;技术支撑主要包括系统开发集成、系统维护、技术支撑等形式;数据服务主要包括数据建模、数据挖掘、数据分析等数据服务能力提供形式。

(2)合作方监督管理部门建立合作方台账管理机制, 牵头梳理形成并定期更新合作方清单(含合作方企业名称、15日起新一股冷空气来袭合作业务或系统、合作形式、合作期限、合作方联系人等以家人之名更新到第几集了加强对合作方数据使用情况的监督管理。
(3)与合作方签订服务合同和安全保密协议中,应根 据实际合作项目明确具体条款,包含但不限于下述内容:合作方及项目参与员工可接触到的数据处理相关平台系统范 围,及数据使用权限、内容、范围及用途(应符合最小化原,合作方数据安全责任、保障措施配备情况(保障措施不得低于本企业,合作结束后数据删除要求,合作方违约责任和处罚等。
8.【应急响应】
(1)强化企业数据泄露(丢失、滥用、被篡改、被损毁、违规使用等安全事件应急响应能力。
(2)参照《公共互联网网络安全突发事件应急预案》 及数据安全事件对企业和个人信息主体合法权益影响等因 素划分事件等级。结合事件场景和等级制定应急预案并开展演练,典型场景至少每年开展一次演练;每个核心数据处理活动有关平台系统至少两年开展一次演练。
(3)发生数据安全事件时及时采取补救措施,并向电 信主管部门报告。发生大规模用户个人信息泄露、毁损和丢失时,采取合理、有效方式告知用户。及时总结数据安全事件情况,分析原因、查问题,调整企业数据安全策略,形成事件调查记录和总结报告,避免再次发生类似情况。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。