江苏省通信管理局关于开展2023年“数安护航”电信和互联网行业数据安全专项行动的通知
时间:2023-04-13 来源:江苏通信业公众号 作者:江苏通信业公众号 编辑:张馨予
中国电信股份有限公司江苏分公司、中国移动通信集团江苏有限公司、中国联合网络通信有限公司江苏省分公司、江苏省广电有线信息网络股份有限公司,省内相关增值电信企业: 根据工业和信息化部有关工作部署,结合我省电信和互联网行业数据安全现状,现决定开展“数安护航”2023年电信和互联网行业数据安全专项行动,有关事项通知如下: 一、 指导思想 以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的二十大精神以及《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数字中国建设整体布局规划》《工业和信息化领域数据安全管理办法(试行)》(以下简称管理办法)《江苏省公共数据管理》等法律法规和文件要求,全面提升全省电信和互联网行业数据安全管理水平,加快推动数据安全管理工作制度化、规范化,为建设网络强省、助力全省数字经济发展提供有力保障和重要支撑。 二、 重点任务 (一)建立数据安全责任人机制 全省电信和互联网行业数据处理者应建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。 本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书;建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。 (二)落实重要数据和核心数据识别认定及目录管理 全省电信和互联网行业数据处理者应依据电信领域重要数据和核心数据识别指南对本单位重要数据和核心数据进行识别认定,形成具体目录,于6月30日前通过指定填报工具向我局提交目录备案,我局将对电信和互联网行业数据处理者提交的重要数据和核心数据备案进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。 备案内容应按照每6个月一次进行更新备案,有重大变化(标准详见《管理办法》)的应当依法依规履行备案变更手续。 (三)开展数据安全风险评估 电信和互联网行业重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,并于9月30日前向我局提交评估报告。 (四)开展数据安全监测预警与通报处置 电信和互联网行业数据处理者应建立健全企业内部网络数据安全工作机制并开展数据安全风险监测,及时排查安全隐患。若发生可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。在发生数据安全事件后,企业应当及时开展应急处置,并第一时间向我局报告。 (五)加强数据全生命周期安全管理 电信和互联网行业数据处理者应切实履行数据安全的主体责任,严格落实数据收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期的安全管理要求,建立数据全生命周期处理记录文档,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。 (六)强化数据安全能力建设 电信和互联网行业相关企业要着力提升数据安全工作的“人防技防”能力。一是组织开展本单位数据安全培训,培训人员包括且不限于企业数据安全管理部门、业务部门负责人及相关人员,培训内容包括但不限于数据安全法律法规、行业数据安全制度和标准规范、实操技能等,并将培训情况形成电子材料,于6月30日前向我局提交;二是加大网络数据安全技术投入,加快完善数据防攻击、防窃取、防泄露、数据备份和恢复等安全技术保障措施。 (七)试点开展跨境数据安全风险监测 我局遴选省内电信和互联网行业头部企业开展跨境数据安全风险监测试点工作,具体要求另行通知。 三、 保障措施 (一)强化思想认识。全省电信和互联网行业数据处理者要清醒认识数据安全的重要性,对照此次专项行动的任务目标逐一落实相关任务。 (二)加强监督检查。我局将对本次专项中数据目录备案、风险评估等重点工作开展检查,对漏报、瞒报重要数据和核心数据的单位依法依规予以通报和处置。 (三)强化专业支撑。我局积极指导并鼓励在数据安全方向具备相应专业能力的机构开展电信和互联网行业数据安全监测、检测、评估、认证工作并积极申报数据安全技术实践案例,鼓励企业为我省数据安全保障工作建言献策。 江苏省通信管理局 2023年4月12日
来源:江苏通信业公众号