5月24日下午,“浦江护航”上海市电信和互联网行业数据安全专项行动系列公益培训(第三期)在长阳创谷小剧院成功举办。本次活动由上海市通信管理局指导,上海赛博网络安全产业创新研究院承办,中国软件评测中心(工业和信息化部软件与集成电路促进中心)和上海忠扬大数据科技有限公司协办,上海长阳创谷企业发展有限公司提供支持。
作为“浦江护航”系列培训活动,本期活动聚焦电信领域重要数据识别和报送、数据安全产业政策、数据安全评估等主题。上海市通管局互联网管理处辛霞、中国软件评测中心网安中心网络安全研究部主任王翔宇出席,上海赛博网络安全产业创新研究院(以下简称“赛博研究院”)外部专家顾问张喆主持,上海市近百家电信和互联网企业代表出席。
在培训环节,三位专家依次进行分享。赛博研究院咨询总监刘境棠以“电信领域重要数据识别方法和报送注意事项”为主题,重点介绍了电信领域重要数据识别方法、目录填报注意事项和目录申报流程。刘境棠指出,电信领域重要数据数据识别工作应当依据《重要数据和核心数据识别指南(试行)》开展,对其中的定义、适用范围、数据分类分级、重要数据分类都要有相应的认识。
电信和互联网企业开展重要数据识别工作的要点包括:
- 判断是否属于电信数据处理者
- 组建重要数据识别工作组
- 梳理业务流程、网络设施和信息系统
- 对数据进行分类梳理和标识,形成数据分类清单
- 判断是否有重要网络设施和信息系统,或所处理的数据是否涉及重要网络设施和信息系统的相关数据
- 依重要数据的五大类别逐项进行识别,不可漏报
- 涉及数据出境,申报数据出境安全评估
- 开展数据安全风险评估
- 2023.5.31前按要求填报目录备案表
此外,企业应严格按照《工业和信息化领域重要数据和核心数据目录备案表》填报相应内容,其中标*为必填项,各项内容都不可缺失;同时,企业需要按照附录《工业和信息化领域重要数据和核心数据类别填写说明》的类别顺序逐项填写,涉及个人信息的需在第15列【详细描述】写明主体数量和具体个人信息种类。
总体上,企业申报重要数据和核心数据目录的流程分为三步:系统登录、填报工具下载、目录申报。相关企业按照流程,可以顺利地完成数据目录申报。
中国软件测评中心网安中心网络安全研究部主任王翔宇围绕“数据安全产业政策及落地解读”进行分享。
在党中央、国务院高度重视数据安全的背景下,工信部开展了大量的数据安全相关工作,包括在2023年1月,工业和信息化部等十六部门联合发布了《关于促进数据安全产业发展的指导意见》(以下简称“《指导意见》”)。
《指导意见》明确了数据安全产业是保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态。同时,制定了两阶段产业发展目标:一是在2025年达成“产业基础能力和综合实力明显增强”的目标;二是在2035年达成“产业进入繁荣成熟期”的目标。此外,《指导意见》提出七项重点任务,涵盖”提升产业创新能力、壮大数据安全服务、推进标准体系建设、推广技术产品应用、构建繁荣产业生态、强化人才供给保障、深化国际交流合作”。
最后,王翔宇介绍了中国电子信息产业发展研究院(“赛迪研究院”)和中国软件评测中心(“中国评测”)开展的支撑政策落地的一系列举措,全面支撑数据安全产业政策的切实落地,包括设立网安中心、建设省部级重点实验室、组建数据安全产业专家委员会与五个专项工作组、搭建数据安全产业公共服务平台、举办数据安全产业生态建设主题论坛、开展“2022年度网络和数据安全优秀案例评选”活动等。
上海忠扬大数据科技有限公司运营总监崔晓东主要分享“数据安全评估规范——如何完善组织机构、开展制度建设”。崔晓东从评估启动条件、评估总体框架、评估流程以及报告规范要求四个维度,对于数据安全评估规范进行了基本介绍。
当企业在数据合规工作中面临着一系列的困惑,首要对策就是明确组织机构的评估规范。其中包括了几个重点内容:(1)首席数据官制度。首席数据官可以主导制定企业数据管理战略、规划,推动数据管理战略和相关工作的实施,从而实现企业的数据合规与安全保障。(2)数据安全组织机构的完善、健全。包括设置数据安全委员会/工作组,组织制定数据安全相关制度、规范、标准,健全数据安全考核机制,设立数据安全联络员,以及设置数据安全监督审计部门或人员等。(3)数据安全人员能力保障。数据安全相关人员应重视、了解、参与、落实教育培训。
为进一步强化企业数据安全风险治理责任,提升本市电信和互联网行业数据安全防护水平,在上海市通信管理局指导下推出的“浦江护航”上海市电信和互联网行业数据安全专项行动系列公益培训将持续开展。后续活动咨询,可添加“合规君”,进一步了解~
