炼石图解工业和信息化领域数据安全合规指引.V1(11月)
AI智能总结
《工业和信息化领域数据安全合规指引》(2024年) 炼石网络2024年11月 总体结构及参考文献 06工信领域数据安全行政处罚裁量指引 05工信领域数据安全风险信息报送共享 合规建设权述2数据分类分级3政据安全管理体系4数据全生命固期保护5风险监测预警报告处置6数据安全手件应总处置7致据安全风险评估8数据出境9数据交易 总则 02工业领域数据安全能力提升实施方案1 07 1工业国密合规实践2工业数据安全实战防护实践3工业数据要系流通实践 01工业和信息化领域数据安全合规指引02工业领域数据安全能力提升实施方案03工业和信息化领域数据安全管理办法04工业和信息化领域数据安全风险评估05工信领域数据安全风险信息报送共享06工信领域数据安全行政处罚裁量指引0了工业和信息化领域数据安全建设实践 《工业和信息化领域数据安全合规指引》发布 关于联合发布(工业和值息化领地监提安全合规制型)的通知 2024年11月19日,为贯彻落实《数据安全法》《网络数据安全管理条例”工业和信息化领域数据安全管理办法(试行)等法律政策要求,化领域数据安全合规指引》正式发布,聚焦数据处理者在展行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,有利于支撑数据处理者全面、准确、规范开展数据安全合规管理,提升数据安全保护能力。 《工业和信息化领域数据安全合规指引》制定背景 工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军 工业和信息化部作为工业和电信行业数据安全工作的主管部门,结合行业实际,街接法律法规,陆续出台发布工业和信息化领域数据安全管理办法(试行)》工业和信息化领域数据安全行政处罚裁量指引(征工业和信息化领域数据安全风险评估实施细则(试行)《工业和信息化领域数据安全事件应急预案(试行)》等政策,细化工业和信息化领域数据处理者合法合规开展数据处理活动的实施路径和主要内容。 国家层面对数据安全更加重视,数据安全法”网络安全法”个人信息保护法》《网络敌据安全管理条例敌据出境安全评估办法促进和规范数据跨境流动规定:等数据安全相指关法律法规、政策文件不断领布实施,为开展数据安全监管和保护工作提供了根本遵循,对数据处理者落实数据安全保护责任义务指明了方向、提出了要求。 敬据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产。分配、流通等各环节,保障数据安全,事关国家安全大局。工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。随若数字化转型进入全面加速期,数据的价值和重要性不断提升,数据泄露、喜改、破坏导致的响月趋严重。 缩制&工业和信息化领域数据安全合规指引,聚焦数据处理者在履行致据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,有利于支撑数据处理者全面、准确、规范开展数据安全合规管理,提升数据安全保护能力。 锚定合规建设目的、细化建设依据 数据安全合规建设目的 为引导工业和信息化领域数据处理者合法合规开展数据处理活动,履行数据安全保护义务,保障数据安全,保护个人组织的合法校益,维护国家主权、安全和展利益,根据我国现行数据安全法律法规以及工业和信息化领域相关政策标准,制定本指引。 明确适用范围及重要定义 适用范国 工业和信息化领域数据处理者可态照本指引开展数据处理活动全生命周期安全保护工作。本指引所称工业和信息化领域数据处理者是指数店处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业,电信和互联网企业,以及无线电频率、台(站)使用单位等工业和信息化领域各类主体。数据处理过程中涉及工业和信息化领域数据的其他有关主体,可参照本指引落实敌据安全责任义务。 术语和定义 核心激据 特定参域、特定群体、特定区成或者达到一定精度和规权,一日造到稳改。破坏、汇靠或普非法获取、非法利用,可直接对国家安全、经济运行、社会稳定,公共社中和安全造成严重危害的数据。 般数据 格心数据,重婴数求之外的其他改据。 明确当前所处数据安全管理水平,明晰数据安全保护薄弱环节 定期对本单位数据情况,以及数据安全管理制度、组织架构、人员配备、技术防护、风险监测能力等内容进行现状调研,明确当前所处数据安全管理水平,明晰数据安全保护薄弱环节,为进一步做好数据安全工作提出工作举措。 扩展1:YDT4981-2024《工业领域重要数据识别指南》 工业领域重要数据识别维度 工业领域重要数据包括六个识别维度,符合任意个维度的数据均屋于重要数据。 1.与国家秘密生成相关的重要数据2.与国家安全相关的重要数据3.与行业发展安全相关的重要数据4.与工业领域出口管制物项相关的革要数据5.与行业特色相关的重要数据6.其他要数据 扩展2:YD/T3867-2024《电信领域重要数据识别指南》 重要数据分类 本文件根据电信效据范田、特点所涉及的业务类型等,结合效据尿性,影响范目、程度等因表,将电信领域重要数据分为四类,包括网络规划运维数据域、安全保障数据域经济运行与业务发展数据域、关键技术成果据战等,其中: 网路规到运生数损进:能够反映重要网路设晚和信息系然规划、理设、运维等总体发展情况的数铝为用络规划运维数据域,主要包活网络规划理设,网络运行维护等数据: 安全保障致驾度,随够反映重要网络设施和信息系统安全保障情况以及重大应急通信保序情况的改据为安全保厚政据域,主要包括网络与数活安全保障、将理安全保障、安急通信保障等数据: 经研运行与业务发展数据政:能移肤我国电信领质经济运行息体情况与核心业务发展情况的致据为经济运行与业务发展改据域,主要包活发层战略与重大决秉、关系国家史全和公共利益的非公开境计数据等效据: 关键技术成采致据过,能感反映我国先进信息通信技术与产品发展水平的致据为关健技术成果敌提域,主要包括涉及电信领域出口管制物项相关数据,重大科技虚果、国家科技计划等活动中产生的先进技不未效据: 儿也放提度,一定数量或影响一定范国的个人信息集合,以及士首留门认定的其的电信领城重要故据。 扩展2YDT3867-2024《电信领域重要数据识别指南》 工作团队通过定量与定性相结合的方式,首先识别数据要素情况,然后开展数据影响分析,确定数据一旦造到泄露、募改、破坏或者非法获取、非法利用、非法共享,是否会对国家安全、公共利益等产生平大影响,识别重要数据。 数据影响分析 数据要素分析 影响数据分级的基本情况,包括致据领域、群体,区域,提压,规模、深度、覆盖度、重要性等,其中领城、群体、区域、重要性通带富于定性要素,精度、规模、善度昆于定量要素,深度道常作为行生数据的分级要素。 满足以下任一条件的数据,可考虑识别为电信领域重要数据: 司)影响经济安全,会导致我国要经济数据外泄,政使我回经济利益造受巨大损失,引发经济风险b))影响网络安全,会导政我国电信和互联网等公共服务中断运行或主要功能故障、重要数据泄露,对我国网络稳定运行造成重大危害和损失;)影响社会安全,会导致人民群众公共利益追受危害、引发公共安全事件、影响人民群众日常生活秩序,对我国社会稳定产生重大影响;)影自科技安全,会导致我国先进技术数据外泄, 1深度:是指通过数据统计、关联、挖据或融合等加工处理,对数据描还对象的隐告信息或多维度细节信息的刻画程度。效据深度可识别效象关系、历史背景、产业供应管等方面的情况;据在刻画描述对象的经济运行、展态势、行踪轨迹、活动记录、对 ①益盖度:是指数据对领域、群休、区、时段等的覆盖分布或境密程度。数据要盖度可识别对额城、群体,区域、时间段的器盖占比、要盖分布等因素;h 重要性:是指数在经济社会发展中的重要程庭。重要性可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等的重要程度 备案表 数据基本情况责任主体情况数据处理情况数据安全情况.... 未获得地方行业监管部门审核认定 如重要数据目录未获得地方行业监管部门审核认定,则按要求修改完善目录后重新报备,或者重新开展重要数据识别和目录报送工作。 按要求开展保护 根据地方行业监管部门审核认定的重要数据目录,按要求开展保护。 在上述工作中,可根据自身业务发展需要,聘请技术专家、第三方咨询机构参与、指导数据梳理、数据分类分级、目录备案管理等工作,确保结果的准确性、规范性。 需根据数据传输特征,制定安全策略、采取保护措施,建立安全传输信道 数据安全风险监测频警涉及一般数据的要求 定期漏洞排查与扫描检测 部署系统设备 告警提醒方式 通过部署监测审计、态势感知等相关系统设备,建立数据安全风险监测预警技术能力,及时监测日常数据处理活动中的安全风险,如导入导出严重异常、违规向第三方传输、非必要端口开放、数据泄露、数据篡改、数据滥用、非法访问、流呈异常、数据违规出境等。 密切关注工业和信总息化额域数据安全风险信息报送与共享平台通报的,以及国内外权威漏洞库及相关厂商发布的漏洞预警通知定期开展漏洞排查与扫描检测,留存相关记录。 可根据相关预警信息设置差异化告警级别,匹配对应的告警提醒方式(短信提醒、电话提醒、系统提醒等),并发送提醒相关责任人,如系统管理员、安全审计员等。 数据安全风险监测涉及重要数据和核心数据的要求 实时监控 致性监测、异常行为告警 建设数据风险监测预警能力,确保相关能力覆盖涉及操作处理重要数据和核心数据的系统,对重要数据的收集、存储、使用加工、传输、提供、公开、销毁、委托处理、转移等各生命周期环节中的合规性与执行上的一教性进行监测,并能够在发现异常行为时告警。 实现核心数据处理活动的实时监控,发现异常时及时终止异常行为,并实现异常行为的可溯源。 异常行为包括重要、核心数据的违规操作,如未授权、超权限操作、批量操作、陌生IP地址访问、数据库异常连接(如在设定时间内,某IP地址与实时数据库无任何数据交互或异常交互)等。 被地方行业监管部门通知存在数据安全风险时 向地方行业监管部门报告处置结果。处置结果内容包括风险接收情况、风险处置情况、下一步工作考虑等。 数据安全事件应急处置-制定应急预案、开展应急演练、数据安全事件报告 数据安全事件报告 开展应急演练 制定应急预案 发现数据安全事件,立即先行判断,对后果影响自判为重大及以上或者涉及重要数据和核心数据的,立即如实向地方行业监管部门报告。报告内容包括上报单位情况、事件基本情况、事件涉及数据情况、事件影响情况、事件处置建议等,详见工业和信息化领域数据安全应急预案(试行)》, 积极参与行业监管部门组织的应急演练。 数据安全事件应急处置-先行处置、总结上报、数据安全事件告知 委托第三方评估机构开展评估 与被委托机构沟通,签订书面评估委托协议或评估合同,规范开展评估工作,保障数据处理者的安全生产运行和数据安全。与被委托机构共同组建评估团队,确定评估团队组长和团队成员。指定本单位至少1名数据安全专业人员为评估工作对接人,负责协调本单位相应资源、对第三方评估机构相应工作进行管理和监督。 数据安全风险评估-确定评估范围、制定评估方案 制定评估方案 确定评估范围 评估团队可根据实际需要制定风险评估工作方案。工作方案制定过程中,需与涉及数据处理活动的业务部门积极沟通,保障评估的可行性。评估方案包括评估范围、评估依据,评估团队基本信息,工作计划、使用的评估工具情况、保障条件等。 数据安全风险评估范国證盖本单位全部要数据和核心数据,以及一定比例的一般数据。一般数据以抽样方式选取,尽量保证评估数据范围覆盖全部据类别(二级子类),且数据载体避免重复。 数据安全风险评估-评估时间及上报行业监管部门、风险评估特殊场景 跨主体等 上报监管部门 新上线业务等 涉及跨主体提供、转移、委托处理核心数据情形的,纳入风险评估范国。开展数据安全风险评估过程中,涉及在数据安全风险评估结果有效期内新增跨主体提供、委托处理、转移核心数据的,及时对发生变化及其影
