4月4日下午,“浦江护航”上海市电信和互联网行业数据安全专项行动系列公益培训(第二期)在长阳创谷小剧院成功举办。本次活动由上海市通信管理局指导,上海赛博网络安全产业创新研究院承办,中国信息通信研究院华东分院、工业互联网创新中心(上海)有限公司、上海百事通信息技术股份有限公司、上海数据安全协同创新实验室协办,上海长阳创谷企业发展有限公司提供支持,上海市近百家电信和互联网企业代表出席。此前,上海市通信管理局发布《关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》,要求企业分别在5月31日及11月30日前完成重要数据和核心数据识别认定及目录备案、数据安全风险评估这两项工作。近一个月以来,电信和互联网领域相关企业正在积极落实行动任务。
本期公益培训活动上,上海市通信管理局互联网管理处张胤出席,上海赛博网络安全产业创新研究院(以下简称“赛博研究院”)院长惠志斌进行主持。赛博研究院高级咨询顾问陶然彩、中国信息通信研究院华东分院信息安全高级咨询顾问刘畅、中国信通院上海工创中心数字工业事业部蒋鼎峰聚焦数据安全风险评估、企业数据全生命周期管理、重要数据和核心数据识别等不同主题展开分享。
赛博研究院高级咨询顾问陶然彩以“‘浦江护航’数据安全专项行动——电信和互联网企业如何开展数据安全风险评估”为主题,首先基于“浦江护航”专项行动,对其主要任务进行了介绍,包括:
(1)在电信和互联网行业试点实施首席数据保护官制度
(2)电信和互联网领域的重要数据和核心数据处理者在5月31日前完成重要数据和核心数据的识别认定,并形成具体目录,在备案系统中提交备案申请
(3)参照有关评估要点和评估规范,每年至少开展一次数据安全风险评估,并于11月30日前向管局提交评估报告
(4)建立内部工作机制,开展数据安全风险监测,及时排查安全隐患
(5)加强企业数据全生命周期安全管理,对数据收集、对外提供、销毁等各流程分别设定制度及采取管理措施,数据相关日志留存时间不少于六个月
(6)上海市通信管理局加强数据安全能力建设和人才培养
其次,就企业如何开展数据安全风险评估这一问题,陶然彩指出五个重要步骤:
①对企业组织架构、制度建设情况以及数据全生命周期保护情况进行全方位梳理与盘点;②比照现行法律法规及标准的相关要求,明确合规目标及合规基线后,形成评估要素表;③基于盘点结果,根据评估要素表,综合运用评估方法逐项开展评估;④比照合规基线,对数据安全保障措施进行差距分析并提出整改方案;⑤待整改完成或整改期届满后,对整改措施的落实和效果进行评估,得出最终的评估结论。
此外,在培训分享中,陶然彩对于通用性管理评估的12个指标——“机构职责、人员保障、资产梳理、数据分类分级、权限管理、日志留存、安全审计、应急响应、举报投诉处理、教育培训、合作方管理、平台系统安全管理”进行了逐项的介绍与梳理。
中国信息通信研究院华东分院信息安全高级咨询顾问刘畅对“企业数据全生命周期管理要点”进行分析。
当前,随着国家一系列数据相关法律法规、政策的出台,数据要素的合法有利利用能够推动数字化的转型与发展,从而促进数据安全治理,而数据安全又能够为数字化转型与发展提供保障。但是目前电信和互联网行业的经典数据安全合规问题仍然存在,合规对象、建设、主体、执行、要求和支持六方面的数据安全管理挑战依然棘手。
为此,围绕数据全生命周期管理的要点,刘畅提出:一方面,从业人员应当熟悉电信和互联网行业数据安全管理要求。在工业和信息化领域,掌握好《工业和信息化领域数据安全管理办法》,在资产梳理、资产备案、制度建设、组织架构、人员管理、权限管理、日志留存、应急管理、风险评估等方面进行细化。另一方面,应当加强数据全生命周期安全保护。在数据采集、传输、存储、使用、开放共享、删除和销毁等不同阶段,履行数据全生命周期安全保护要求,构建企业合规体系。
为保障数据安全管理和运营管理两个层面的数据安全,刘畅也为企业提出了几点建议:
内化要求:统筹法律数据安全合规要求
安全文化:定期培训形成合规文化
常态识别:推进数据安全风险识别常态化
海外合规:海外数据合规应对
合规纠正:接受外部监督及时纠错改进
中国信通院上海工创中心数字工业事业部蒋鼎峰围绕“电信和互联网领域重要数据和核心数据识别探索”作了分享。他认为,企业应当重点关注三点工作:
第一,明确网络与数据安全管理制度清单。进行电信和互联网领域重要数据和核心数据识别,应当构建以数据安全管理顶层设计(国家法律、部门规章)、标准、指南、规范、主管部门管理要求等文件构成的合规法律框架。
第二,熟悉重要/核心数据的内容与范畴,并掌握重要/核心数据的识别及填报流程。其中,重要/核心数据的识别及填报流程应当注意以下几点要求:
组建重要数据和核心数据识别工作组;
梳理数据资源、业务流程、网络设施和信息系统;
对数据进行分类梳理和标识,形成数据分类清单;
判断是否有重要/核心网络设施和信息系统,或所处理的数据是否涉及重要/核心网络设施和信息系统的相关数据;
依重要/核心数据的五大类别逐项进行识别,不可漏报;
2023年5月31日前按要求填报目录备案表;
市通信管理局定期对电信和互联网行业数据处理者开展检查,对漏报、瞒报重要数据和核心数据的单位依法依规予以通报和处罚。
第三,抓好重要/核心数据常态化治理。对于数据生命周期的不同阶段,可以采取针对性的分类分级安全管理措施。例如,在数据采集阶段,制定合理的隐私政策,并主动告知用户。在数据传输阶段,确保在数据转移和传输前,获取了数据来源方、数据接收方的同意。在数据使用阶段,使用前向归口管理部门报备。在数据销毁阶段,在数据应用目的达成后,采取不可恢复的手段对特定数据进行彻底销毁。
为进一步强化企业数据安全风险治理责任,提升本市电信和互联网行业数据安全防护水平,在上海市通信管理局指导下推出的“浦江护航”上海市电信和互联网行业数据安全专项行动系列公益培训将持续开展。后续活动咨询,可添加“合规君”,进一步了解~
