自治區(qū)各基礎(chǔ)電信運營企業(yè)及各有關(guān)企業(yè):
為加強全區(qū)電信數(shù)據(jù)安全管理工作���,進一步提高數(shù)據(jù)安全保護水平��,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)和有關(guān)規(guī)定�,我局結(jié)合實際研究制定了《內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理實施細則》��,現(xiàn)印發(fā)給你們����,請認真貫徹執(zhí)行�����。
?
?
內(nèi)蒙古自治區(qū)通信管理局
2023年12月7日
內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理實施細則
第一章 總則
第一條 為加強內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理工作�����,進一步提高數(shù)據(jù)安全保護水平,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)和有關(guān)規(guī)定,結(jié)合我區(qū)實際���,制定本細則。
第二條 內(nèi)蒙古自治區(qū)的電信數(shù)據(jù)處理者開展數(shù)據(jù)處理活動及其安全監(jiān)管,應(yīng)當遵守相關(guān)法律�、行政法規(guī)和本細則的要求�。
第三條 本細則所稱電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營過程中產(chǎn)生和收集的數(shù)據(jù)��。
電信數(shù)據(jù)處理者是指數(shù)據(jù)處理活動中自主決定處理目的����、處理方式的取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者�����,包括基礎(chǔ)電信業(yè)務(wù)經(jīng)營者和增值電信業(yè)務(wù)經(jīng)營者。
數(shù)據(jù)處理活動包括但不限于數(shù)據(jù)收集�、存儲���、使用�����、加工、傳輸�����、提供��、公開等活動�。
第四條 在工業(yè)和信息化部統(tǒng)籌指導(dǎo)下�,內(nèi)蒙古自治區(qū)通信管理局負責(zé)內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全的組織協(xié)調(diào)、統(tǒng)籌規(guī)劃和監(jiān)督管理工作�����。
第五條 數(shù)據(jù)安全管理應(yīng)當堅持總體國家安全觀����,統(tǒng)籌數(shù)據(jù)發(fā)展與安全,鼓勵數(shù)據(jù)開發(fā)利用���,加強數(shù)據(jù)治理,保證數(shù)據(jù)供給�����、流通、使用全過程安全合規(guī)��。
第二章 數(shù)據(jù)安全保護基礎(chǔ)性要求
第六條 電信數(shù)據(jù)處理者應(yīng)當每年至少開展一次數(shù)據(jù)梳理工作����,按照電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別標準識別重要數(shù)據(jù)和核心數(shù)據(jù)����,相關(guān)工作開展情況按年度形成報告并報送內(nèi)蒙古自治區(qū)通信管理局,報告內(nèi)容包括數(shù)據(jù)梳理工作開展情況��、數(shù)據(jù)分類分級情況、數(shù)據(jù)分級防護措施等��。
第七條 電信數(shù)據(jù)處理者應(yīng)當按要求將識別出的重要數(shù)據(jù)和核心數(shù)據(jù)進行目錄填報�,并報內(nèi)蒙古自治區(qū)通信管理局備案。
備案內(nèi)容包括但不限于數(shù)據(jù)來源�����、類別、級別���、規(guī)模、載體�����、處理目的和方式�、使用范圍、責(zé)任主體�����、對外共享���、跨境傳輸�����、安全保護措施等基本情況���,不包括數(shù)據(jù)內(nèi)容本身。
備案內(nèi)容發(fā)生重大變化的�����,電信數(shù)據(jù)處理者應(yīng)當在發(fā)生變化的三個月內(nèi)履行備案變更手續(xù)����。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲總量等)變化30%以上,重要數(shù)據(jù)或核心數(shù)據(jù)類別新增或減少,數(shù)據(jù)安全情況、責(zé)任主體信息發(fā)生變動,或者其他備案內(nèi)容發(fā)生變化���。
內(nèi)蒙古自治區(qū)通信管理局對備案信息完整性、重要數(shù)據(jù)和核心數(shù)據(jù)類別、級別�����、數(shù)據(jù)量等填報內(nèi)容準確完備性進行審核��,在電信數(shù)據(jù)處理者提交備案申請的二十個工作日內(nèi)完成并反饋審核結(jié)果�。備案未通過的申請人應(yīng)當在收到反饋情況后的十五個工作日內(nèi)再次提交備案申請���。
內(nèi)蒙古自治區(qū)通信管理局對重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案情況進行監(jiān)督檢查��,電信數(shù)據(jù)處理者應(yīng)當予以配合���。
第八條 電信數(shù)據(jù)處理者應(yīng)當根據(jù)實際工作需要配備數(shù)據(jù)安全管理人員����,統(tǒng)籌負責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理��。
電信領(lǐng)域重要和核心數(shù)據(jù)處理者還應(yīng)當建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系����,明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)���,負責(zé)牽頭內(nèi)部數(shù)據(jù)安全管理工作�,明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并配備具備相應(yīng)技能水平的專職人員,定期參與行業(yè)認可的數(shù)據(jù)安全考核與培訓(xùn)。
第九條 電信數(shù)據(jù)處理者應(yīng)加強權(quán)限審批管理�,合理配置數(shù)據(jù)處理活動的權(quán)限����,明確各部門和相關(guān)人員權(quán)限管理要求�,包含但不限于數(shù)據(jù)處理活動平臺系統(tǒng)賬號權(quán)限分配原則、流程等,建立并定期更新權(quán)限分配表。
第十條 電信數(shù)據(jù)處理者應(yīng)對數(shù)據(jù)處理、系統(tǒng)運行、權(quán)限管理�����、人員操作等日志進行留存管理��,日志留存時間不少于六個月�����。日志記錄信息應(yīng)包括執(zhí)行時間、操作賬號、處理方式等����,針對數(shù)據(jù)使用加工��、關(guān)聯(lián)分析、批量訪問�、批量復(fù)制等數(shù)據(jù)處理行為還應(yīng)記錄授權(quán)情況�����、登錄信息等,記錄完整、準確����、不可修改�����。
第十一條 電信數(shù)據(jù)處理者應(yīng)定期開展數(shù)據(jù)安全審計�����,審計對象完整覆蓋全部數(shù)據(jù)處理活動����,審計發(fā)現(xiàn)問題需及時進行整改�,并對審計及處置記錄進行留存管理。
重要數(shù)據(jù)處理活動應(yīng)至少每半年開展一次審計��,核心數(shù)據(jù)處理活動應(yīng)至少每季度開展一次審計�����。
第十二條 電信數(shù)據(jù)處理者應(yīng)當開展數(shù)據(jù)安全風(fēng)險監(jiān)測�����,對數(shù)據(jù)安全風(fēng)險隱患進行預(yù)警并及時開展處置。對于可能造成較大及以上安全事件的風(fēng)險���,應(yīng)及時向內(nèi)蒙古自治區(qū)通信管理局報告,報告內(nèi)容包括但不限于風(fēng)險類別和級別���、涉及數(shù)據(jù)情況、產(chǎn)生時間����、影響范圍�、處置措施等信息���。
第十三條 電信數(shù)據(jù)處理者應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案并開展應(yīng)急演練����。應(yīng)急預(yù)案應(yīng)充分結(jié)合數(shù)據(jù)泄露�、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)損毀��、數(shù)據(jù)違規(guī)使用等數(shù)據(jù)安全事件場景和等級,明確應(yīng)急響應(yīng)工作責(zé)任分工����、實施流程����、保障措施等�����。
在數(shù)據(jù)安全事件發(fā)生后����,電信數(shù)據(jù)處理者應(yīng)當按照應(yīng)急預(yù)案�����,及時開展應(yīng)急處置��。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,第一時間向內(nèi)蒙古自治區(qū)通信管理局報告�����,事件處置完成后立即開展事件調(diào)查�����、原因分析、問題整改、責(zé)任追究,在處置完成七個工作日內(nèi)形成總結(jié)報告并報送內(nèi)蒙古自治區(qū)通信管理局。對于發(fā)生過數(shù)據(jù)安全事件的電信數(shù)據(jù)處理者還應(yīng)每年向內(nèi)蒙古自治區(qū)通信管理局報告數(shù)據(jù)安全事件處置情況���。
第十四條 電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當自行或委托第三方評估機構(gòu),每年對數(shù)據(jù)處理活動至少開展一次風(fēng)險評估,及時整改風(fēng)險問題����,并向內(nèi)蒙古自治區(qū)通信管理局報送風(fēng)險評估報告����。
重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化的�����,電信數(shù)據(jù)處理者應(yīng)當在履行備案變更手續(xù)后及時啟動風(fēng)險評估�,備案變更后三個月內(nèi)向內(nèi)蒙古自治區(qū)通信管理局重新提交風(fēng)險評估報告���。
電信領(lǐng)域一般數(shù)據(jù)處理者應(yīng)當自行或委托第三方評估機構(gòu)���,每年至少開展一次數(shù)據(jù)安全合規(guī)性評估����,及時整改問題,并向內(nèi)蒙古自治區(qū)通信管理局報送評估報告。評估內(nèi)容包括但不限于數(shù)據(jù)合規(guī)使用情況��、數(shù)據(jù)安全保障措施配備情況與完善程度�、合作方數(shù)據(jù)安全保護水平等。
第十五條 電信數(shù)據(jù)處理者應(yīng)加強數(shù)據(jù)安全教育培訓(xùn),鼓勵企業(yè)通過積極參與本地區(qū)����、本行業(yè)數(shù)據(jù)安全人才培養(yǎng)計劃等方式�����,提升相關(guān)崗位人員數(shù)據(jù)安全保護意識和技能水平�����。
電信數(shù)據(jù)處理者應(yīng)定期組織開展內(nèi)部數(shù)據(jù)安全教育培訓(xùn)�,培訓(xùn)內(nèi)容涵蓋數(shù)據(jù)安全法律法規(guī)��、標準規(guī)范����、管理制度和工作要求、知識技能�、保護意識等�,培訓(xùn)對象覆蓋數(shù)據(jù)安全崗位人員��,年度培訓(xùn)時長不少于30學(xué)時��。
電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者還應(yīng)針對處理重要數(shù)據(jù)和核心數(shù)據(jù)的重點崗位人員定期開展教育培訓(xùn),培訓(xùn)內(nèi)容包括但不限于重要數(shù)據(jù)和核心數(shù)據(jù)安全管理要求、安全操作規(guī)程��、風(fēng)險評估規(guī)范等����,年度培訓(xùn)時長不少于45學(xué)時。
第十六條 電信數(shù)據(jù)處理者應(yīng)當加強對合作方管理,通過簽訂合同協(xié)議等方式�����,明確數(shù)據(jù)委托處理����、數(shù)據(jù)處理系統(tǒng)開發(fā)運維等合作方數(shù)據(jù)安全責(zé)任和義務(wù)。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當對合作方的數(shù)據(jù)安全保護能力、資質(zhì)進行核驗���。
第三章 數(shù)據(jù)全生命周期安全保護要求
第十七條 電信數(shù)據(jù)處理者應(yīng)當對數(shù)據(jù)處理活動負安全主體責(zé)任,建立健全全流程數(shù)據(jù)安全管理制度,針對不同級別數(shù)據(jù)�����,制定數(shù)據(jù)收集����、存儲����、使用、加工��、傳輸�����、提供�����、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。
第十八條 電信數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當遵循合法����、正當?shù)脑瓌t���,不得竊取或者以其他非法方式獲取數(shù)據(jù)�。
數(shù)據(jù)收集過程中���,采取規(guī)范化采集流程��、方式�����、渠道和數(shù)據(jù)格式���,根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施���,加強重要數(shù)據(jù)和核心數(shù)據(jù)收集人員�、設(shè)備的管理,并對收集來源��、時間���、類型���、數(shù)量���、頻度、流向等進行記錄���。
對直接采集或者通過間接渠道獲得的數(shù)據(jù)負有同等的保護責(zé)任和義務(wù)。通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的�,電信數(shù)據(jù)處理者應(yīng)當與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議�����、承諾書等方式,明確雙方法律責(zé)任����。
通過移動應(yīng)用程序或其他方式面向用戶直接收集個人信息類數(shù)據(jù)的���,應(yīng)在業(yè)務(wù)用戶協(xié)議或隱私政策文件中明確個人信息收集的目的��、用途和范圍�����,按照公開透明原則將收集規(guī)則以通俗易懂��、簡單明了的文字向用戶明示,在獲得授權(quán)或有其他合法性基礎(chǔ)的前提下開展���。
第十九條 電信數(shù)據(jù)處理者應(yīng)當按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數(shù)據(jù)存儲���,應(yīng)結(jié)合數(shù)據(jù)分類分級策略明確差異化數(shù)據(jù)存儲安全策略和操作規(guī)程。
存儲重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當采用校驗技術(shù)、密碼技術(shù)等措施進行安全存儲���,并實施數(shù)據(jù)容災(zāi)備份和存儲介質(zhì)安全管理,定期開展數(shù)據(jù)恢復(fù)測試,對備份數(shù)據(jù)的有效性和可用性進行檢查和恢復(fù)驗證����。
第二十條 電信數(shù)據(jù)處理者進行數(shù)據(jù)使用加工應(yīng)遵循目的明確原則��,制定不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)脫敏處理使用規(guī)則,明確數(shù)據(jù)使用結(jié)果發(fā)布和使用的安全保護規(guī)則����。
利用數(shù)據(jù)進行自動化決策的����,應(yīng)當保證決策的透明度和結(jié)果公平合理����。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的,還應(yīng)當加強訪問控制����。
第二十一條 電信數(shù)據(jù)處理者應(yīng)當根據(jù)傳輸?shù)臄?shù)據(jù)類型�、級別和應(yīng)用場景����,制定安全策略并采取保護措施���。針對不同網(wǎng)絡(luò)安全域之間的數(shù)據(jù)傳輸采取訪問控制����、監(jiān)控等安全防護技術(shù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的��,應(yīng)當采取校驗技術(shù)�����、密碼技術(shù)�、安全傳輸通道或者安全傳輸協(xié)議等措施�。
第二十二條 電信數(shù)據(jù)處理者對外提供數(shù)據(jù),應(yīng)當明確提供的范圍����、類別��、條件、程序等����,對數(shù)據(jù)提供形式���、期限�����、涉及的業(yè)務(wù)或系統(tǒng)��、數(shù)據(jù)安全保護措施等實施管理���。提供重要數(shù)據(jù)和核心數(shù)據(jù)的����,應(yīng)當與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議,對數(shù)據(jù)獲取方數(shù)據(jù)安全保護能力進行核驗��,采取校驗技術(shù)�、密碼技術(shù)、安全傳輸通道�、安全傳輸協(xié)議等必要的安全保護措施���。
第二十三條 電信數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)公開前分析研判可能對國家安全�����、公共利益產(chǎn)生的影響,擬公開日十個工作日前向內(nèi)蒙古自治區(qū)通信管理局提交重要數(shù)據(jù)和核心數(shù)據(jù)公開申請�,審批通過后予以公開�����,存在重大影響的不得公開。對于法律����、行政法規(guī)要求公開的數(shù)據(jù)場景�,應(yīng)采用靜態(tài)脫敏等措施防止數(shù)據(jù)泄露或濫用����。
第二十四條 電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律�、行政法規(guī)有境內(nèi)存儲要求的�,應(yīng)當在境內(nèi)存儲�����,確需向境外提供的,應(yīng)當依法依規(guī)進行數(shù)據(jù)出境安全評估����。
第二十五條 電信數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)銷毀制度�,明確銷毀對象�����、規(guī)則���、流程和技術(shù)等要求���,對銷毀活動進行記錄和留存�。個人����、組織按照法律規(guī)定、合同約定等請求銷毀的,電信數(shù)據(jù)處理者應(yīng)當銷毀相應(yīng)數(shù)據(jù)�����。
銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的����,應(yīng)當設(shè)置銷毀相關(guān)監(jiān)督角色并采用多人操作模式,單人不得擁有完整操作權(quán)限。重要數(shù)據(jù)和核心數(shù)據(jù)銷毀后,不得以任何理由、任何方式進行恢復(fù)����;引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生變化的���,應(yīng)當履行備案變更手續(xù)����。
電信數(shù)據(jù)處理者發(fā)生重組��、解散�、宣告破產(chǎn)�、業(yè)務(wù)撤銷等情形的,應(yīng)當在有關(guān)情形發(fā)生前向內(nèi)蒙古自治區(qū)通信管理局報告,按照相關(guān)要求移交或銷毀數(shù)據(jù)���。
第二十六條 跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的,電信數(shù)據(jù)處理者應(yīng)當評估安全風(fēng)險,采取必要的安全保護措施,并報送內(nèi)蒙古自治區(qū)通信管理局。內(nèi)蒙古自治區(qū)通信管理局按照有關(guān)規(guī)定進行審查后報工業(yè)和信息化部����。
第四章 支持與監(jiān)督
第二十七條 鼓勵電信數(shù)據(jù)處理者開展數(shù)據(jù)安全知識宣傳普及���、教育培訓(xùn)����,增強全區(qū)公共數(shù)據(jù)安全保護意識���,提高數(shù)據(jù)安全風(fēng)險管理能力��。
鼓勵高等院校�����、職業(yè)院校、優(yōu)質(zhì)企業(yè)和培訓(xùn)機構(gòu)深化產(chǎn)教融合,培養(yǎng)實用型、復(fù)合型數(shù)據(jù)安全專業(yè)技術(shù)技能人才和優(yōu)秀管理人才。
第二十八條 內(nèi)蒙古自治區(qū)通信管理局負責(zé)電信數(shù)據(jù)安全違法行為投訴舉報處理工作���,依法接收、處理投訴舉報,根據(jù)工作需要開展執(zhí)法調(diào)查��。電信數(shù)據(jù)處理者應(yīng)建立健全用戶投訴處理機制���。
第五章 附則
第二十九條 本細則自印發(fā)之日起施行��。
400-004-1069