2020版電信和互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全合規(guī)性評估要點--pdf

丼榮堂 2021-11-27

展開全文

電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點

（2020 年版）

為進一步指導(dǎo)電信和互聯(lián)網(wǎng)企業(yè)做好網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估工作，提升數(shù)據(jù)安全保護水平，依據(jù)《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)，參考《信息安全技術(shù) 個人信息安全規(guī)范》等標準規(guī)范，制定本要點，供各企業(yè)在網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估中使用。

一、基礎(chǔ)性評估要點

重點圍繞機構(gòu)人員、制度保障、分類分級、合規(guī)評估、權(quán)限管理、安全審計、合作方管理、應(yīng)急響應(yīng)、投訴處理、教育培訓(xùn)等十個方面開展評估。

1.【機構(gòu)人員】

（1）明確企業(yè)數(shù)據(jù)安全管理責(zé)任部門，牽頭承擔(dān)企業(yè)數(shù)據(jù)安全管理工作，包括但不限于制定數(shù)據(jù)安全管理制度規(guī)范，協(xié)調(diào)強化數(shù)據(jù)安全技術(shù)能力，開展數(shù)據(jù)安全合規(guī)性評估、安全審計管理、安全事件應(yīng)急處置、教育培訓(xùn)等工作。

（2）明確數(shù)據(jù)安全管理責(zé)任部門與各項工作執(zhí)行部門的責(zé)任分工界面，建立數(shù)據(jù)安全管理制度執(zhí)行落實情況監(jiān)督檢查和考核問責(zé)制度。

（3）數(shù)據(jù)安全管理責(zé)任部門應(yīng)配備數(shù)據(jù)安全管理責(zé)任人員，相關(guān)工作執(zhí)行部門應(yīng)設(shè)置數(shù)據(jù)安全工作崗位，負責(zé)具體落實數(shù)據(jù)安全管理工作，包括但不限于數(shù)據(jù)資產(chǎn)梳理、分類分級、合規(guī)性評估、權(quán)限管理、安全審計、應(yīng)急響應(yīng)、教育培訓(xùn)等工作。

2.【制度保障】

建立企業(yè)數(shù)據(jù)分類分級管理、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)安全合規(guī)性評估、數(shù)據(jù)全生命周期管理、數(shù)據(jù)合作方管理、數(shù)據(jù)安全應(yīng)急響應(yīng)等制度。

3.【分類分級】

（1）按照數(shù)據(jù)資產(chǎn)安全管理的目標和原則，定期梳理企業(yè)核心數(shù)據(jù)處理活動有關(guān)平臺系統(tǒng)1數(shù)據(jù)情況，形成企業(yè) 數(shù)據(jù)資產(chǎn)清單。

（2）綜合考慮數(shù)據(jù)的類別屬性、使用目的等，明確數(shù) 據(jù)分類策略。在數(shù)據(jù)分類的基礎(chǔ)上，對每一類數(shù)據(jù)，結(jié)合數(shù)據(jù)的重要及敏感程度以及一旦泄露、丟失、破壞造成的危害程度等，制定數(shù)據(jù)分級策略。在數(shù)據(jù)分類分級基礎(chǔ)上，明確重要數(shù)據(jù)的范圍和類型。

（3）針對不同級別的數(shù)據(jù)，圍繞數(shù)據(jù)全生命周期各環(huán) 節(jié)部署差異化的安全保障措施。對重要數(shù)據(jù)實施重點保護，按照法律法規(guī)及國家有關(guān)規(guī)定，落實重要數(shù)據(jù)境內(nèi)存儲、出境安全評估等要求。

4.【合規(guī)評估】

（1）將數(shù)據(jù)安全合規(guī)性評估作為企業(yè)數(shù)據(jù)安全管理的重要內(nèi)容和抓手，按照“誰運營、誰主管、誰負責(zé)”的原則，開展企業(yè)整體數(shù)據(jù)安全保護水平評估并形成評估報告。評估內(nèi)容包括但不限于數(shù)據(jù)安全制度建設(shè)情況、數(shù)據(jù)分類分級情況、數(shù)據(jù)安全事件應(yīng)急響應(yīng)水平，以及重點業(yè)務(wù)與系統(tǒng)數(shù)據(jù)合規(guī)處理情況、數(shù)據(jù)安全保障措施配備情況、合作方數(shù)據(jù)安全保護水平等。

（2）對照企業(yè)數(shù)據(jù)安全制度規(guī)范，按年度開展重點業(yè) 務(wù)數(shù)據(jù)安全合規(guī)性評估并形成評估報告。重點評估業(yè)務(wù)數(shù)據(jù)處理活動中相關(guān)制度規(guī)范執(zhí)行落實情況、數(shù)據(jù)安全保護措施配備情況等。實現(xiàn)對新上線業(yè)務(wù)、重點存量業(yè)務(wù)2的評估全覆蓋，業(yè)務(wù)數(shù)據(jù)處理模式變化3時應(yīng)動態(tài)跟蹤評估。

（3）對照企業(yè)數(shù)據(jù)安全制度規(guī)范，按年度開展核心數(shù) 據(jù)處理活動平臺系統(tǒng)數(shù)據(jù)安全合規(guī)性評估并形成評估報告。重點評估企業(yè)內(nèi)部管理措施執(zhí)行落實情況、平臺建設(shè)運維部門及合作方數(shù)據(jù)安全保護措施配備情況等。

（4）各項評估報告中應(yīng)包括評估對象基本情況、評估流程、評估要點對標情況、保障措施配備情況與佐證材料說明、問題分析和改進措施等。

5.【權(quán)限管理】

（1）明確企業(yè)數(shù)據(jù)處理活動平臺系統(tǒng)的用戶賬號分配、開通、使用、變更、注銷等安全保障要求，及賬號操作審批要求和操作流程，形成并定期更新平臺系統(tǒng)權(quán)限分配表，重點關(guān)注離職人員賬號回收、賬號權(quán)限變更、沉默賬號安全等問題。

（2）按照業(yè)務(wù)需求、安全策略及最小授權(quán)原則等，合理配置系統(tǒng)訪問權(quán)限，避免非授權(quán)用戶或業(yè)務(wù)訪問數(shù)據(jù)。嚴格控制超級管理員權(quán)限賬號數(shù)量。

（3）對數(shù)據(jù)安全管理、數(shù)據(jù)使用、安全審計等人員角色進行分離設(shè)置。涉及授權(quán)特定人員超權(quán)限處理數(shù)據(jù)的，由數(shù)據(jù)安全管理責(zé)任部門進行審批并記錄；涉及數(shù)據(jù)重大操作的（如數(shù)據(jù)批量復(fù)制、傳輸、處理、開放共享和銷毀等），采取多人審批授權(quán)或操作監(jiān)督，并實施日志審計。

6.【安全審計】

（1）對數(shù)據(jù)授權(quán)訪問、批量復(fù)制、開放共享、銷毀、數(shù)據(jù)接口調(diào)用等重點環(huán)節(jié)實施日志留存管理，日志記錄至少包括執(zhí)行時間、操作賬號、處理方式、授權(quán)情況、IP 地址、登錄信息等，能夠?qū)ψR別和追溯數(shù)據(jù)操作和訪問行為提供支撐。定期對日志進行備份，防止數(shù)據(jù)安全事件導(dǎo)致的日志被刪除。

（2）加強企業(yè)數(shù)據(jù)安全審計管理，明確審計對象、審計內(nèi)容、實施周期、結(jié)果規(guī)范、問題改進跟蹤等要求。企業(yè)數(shù)據(jù)安全管理責(zé)任部門或核心數(shù)據(jù)處理活動相關(guān)平臺系統(tǒng) 負責(zé)部門應(yīng)配備日志安全審計員，加強日志訪問和安全審計管理，至少每半年形成一份數(shù)據(jù)安全審計報告。

7.【合作方管理】

（1）加強數(shù)據(jù)合作方4安全管理，明確合作方數(shù)據(jù)安全監(jiān)督管理部門和執(zhí)行配合部門，明確企業(yè)對外合作中數(shù)據(jù)安全保護方式和合作方責(zé)任落實要求。

（2）合作方監(jiān)督管理部門建立合作方臺賬管理機制，牽頭梳理形成并定期更新合作方清單（含合作方企業(yè)名稱、合作業(yè)務(wù)或系統(tǒng)、合作形式、合作期限、合作方聯(lián)系人等），加強對合作方數(shù)據(jù)使用情況的監(jiān)督管理。

（3）與合作方簽訂服務(wù)合同和安全保密協(xié)議中，應(yīng)根據(jù)實際合作項目明確具體條款，包含但不限于下述內(nèi)容：合作方及項目參與員工可接觸到的數(shù)據(jù)處理相關(guān)平臺系統(tǒng)范圍，及數(shù)據(jù)使用權(quán)限、內(nèi)容、范圍及用途（應(yīng)符合最小化原則），合作方數(shù)據(jù)安全責(zé)任、保障措施配備情況（保障措施不得低于本企業(yè)），合作結(jié)束后數(shù)據(jù)刪除要求，合作方違約責(zé)任和處罰等。

8.【應(yīng)急響應(yīng)】

（1）強化企業(yè)數(shù)據(jù)泄露（丟失）、濫用、被篡改、被損毀、違規(guī)使用等安全事件應(yīng)急響應(yīng)能力。

（2）參照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》及數(shù)據(jù)安全事件對企業(yè)和個人信息主體合法權(quán)益影響等因素劃分事件等級。結(jié)合事件場景和等級制定應(yīng)急預(yù)案并開展演練，典型場景至少每年開展一次演練；每個核心數(shù)據(jù)處理活動有關(guān)平臺系統(tǒng)至少兩年開展一次演練。

（3）發(fā)生數(shù)據(jù)安全事件時及時采取補救措施，并向電信主管部門報告。發(fā)生大規(guī)模用戶個人信息泄露、毀損和丟失時，采取合理、有效方式告知用戶。及時總結(jié)數(shù)據(jù)安全事件情況，分析原因、查找問題，調(diào)整企業(yè)數(shù)據(jù)安全策略，形成事件調(diào)查記錄和總結(jié)報告，避免再次發(fā)生類似情況。

9.【舉報投訴處理】

完善數(shù)據(jù)安全用戶舉報與受理機制，建立用戶數(shù)據(jù)安全舉報投訴渠道，如電子郵件、電話、傳真、在線客服、在線表格等。明確舉報投訴處理部門和人員、處理流程、處理要求等。針對有效舉報線索，及時核查處理并在接到投訴之日起十五日內(nèi)答復(fù)投訴人。

10.【教育培訓(xùn)】

（1）制定數(shù)據(jù)安全管理相關(guān)崗位人員培訓(xùn)計劃，培訓(xùn) 內(nèi)容應(yīng)包括數(shù)據(jù)安全制度要求和實操規(guī)范，如法律法規(guī)、政策標準、合規(guī)性評估、技術(shù)防護、應(yīng)急響應(yīng)、知識技能、安全意識等。

（2）培訓(xùn)可采取線下集中授課或線上培訓(xùn)等形式，數(shù) 據(jù)安全管理責(zé)任人員年度培訓(xùn)時長不少于 10 學(xué)時，并開展培訓(xùn)人員考核評定。

二、數(shù)據(jù)生命周期評估要點

重點圍繞數(shù)據(jù)采集、傳輸、存儲、使用、開放共享、銷毀等六個環(huán)節(jié)開展評估。

1.【數(shù)據(jù)采集】

（1）規(guī)范數(shù)據(jù)采集渠道、數(shù)據(jù)格式、采集流程和采集方式，定期開展數(shù)據(jù)采集合規(guī)性審查。利用外部數(shù)據(jù)源采集數(shù)據(jù)的，應(yīng)對數(shù)據(jù)源的合法性進行確認，涉及個人信息的，應(yīng)要求提供方說明個人信息來源與個人信息主體授權(quán)同意的范圍。

（2）在進行個人信息采集前，以通俗易懂、簡單明了的方式向個人信息主體明示采集規(guī)則，如收集、使用個人信息的目的、方式和范圍等，并獲得個人信息主體的授權(quán)同意。收集個人信息遵循最小必要原則，收集的個人信息類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。

2.【數(shù)據(jù)傳輸】

（1）根據(jù)業(yè)務(wù)流程、職責(zé)界面、網(wǎng)絡(luò)部署、安全風(fēng)險等情況，合理劃分企業(yè)網(wǎng)絡(luò)系統(tǒng)安全域，區(qū)分域內(nèi)、域間等不同數(shù)據(jù)傳輸場景，明確數(shù)據(jù)傳輸安全策略和操作規(guī)程。

（2）梳理企業(yè)存在數(shù)據(jù)出境情況的業(yè)務(wù)，對涉及個人信息和重要數(shù)據(jù)出境的場景、類別、數(shù)量級、頻率、接收方情況等進行梳理匯總。

3.【數(shù)據(jù)存儲】

（1）明確企業(yè)核心數(shù)據(jù)處理活動有關(guān)平臺系統(tǒng)、存儲介質(zhì)等數(shù)據(jù)存儲安全要求。與系統(tǒng)支撐運維人員簽訂保密協(xié)議，有效約束操作行為。

（2）加強對數(shù)據(jù)存儲平臺系統(tǒng)接入移動存儲介質(zhì)的管控，對將數(shù)據(jù)下載到本地終端的行為進行嚴格審核和日志記錄。

（3）根據(jù)數(shù)據(jù)級別明確數(shù)據(jù)備份操作規(guī)程，保障數(shù)據(jù) 的可用性和完整性。

4.【數(shù)據(jù)使用】

（1）區(qū)分不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)脫敏處理規(guī)則，鼓勵在保障安全的情況下，開展數(shù)據(jù)利用。

（2）除為達到用戶授權(quán)同意的使用目的外，使用個人信息時消除明確身份指向性，避免精確定位到特定個人。因業(yè)務(wù)需要，確需改變個人信息使用目的或改變個人信息使用規(guī)則時，應(yīng)再次征得用戶明示同意。

5.【數(shù)據(jù)開放共享】

（1）對數(shù)據(jù)對外開放共享實施審核，確認沒有超出需求和授權(quán)范圍，采取必要措施提升共享場景下的數(shù)據(jù)溯源能力。

（2）與數(shù)據(jù)開放共享接口調(diào)用方簽署合作協(xié)議，在合作協(xié)議中明確數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定等內(nèi)容。

（3）共享個人信息時，應(yīng)事先向個人信息主體告知共享個人信息的目的、接收方情況等，并征得個人信息主體授權(quán)同意，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

（4）法律法規(guī)或中央政策對數(shù)據(jù)對外提供使用另有規(guī) 定的，從其規(guī)定。

6.【數(shù)據(jù)銷毀】

（1）明確銷毀與刪除的對象、原因（如數(shù)據(jù)業(yè)務(wù)下線、用戶退出服務(wù)、數(shù)據(jù)試用結(jié)束、超出數(shù)據(jù)保存期限等）和流程、存儲介質(zhì)銷毀處理策略和操作規(guī)程。

（2）建立數(shù)據(jù)銷毀審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，數(shù)據(jù)批量銷毀采用多人操作模式。

（3）因違反法律法規(guī)規(guī)定或雙方約定收集、使用個人信息，個人信息主體要求刪除的，應(yīng)及時刪除個人信息。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

三、技術(shù)能力評估要點

重點圍繞數(shù)據(jù)識別、安全審計、防泄露、接口安全管理、個人信息保護等五個方面開展評估。

1.【數(shù)據(jù)識別】

配備技術(shù)能力，定期對相關(guān)平臺系統(tǒng)數(shù)據(jù)資產(chǎn)進行掃描，能夠發(fā)現(xiàn)識別個人敏感信息。定期對數(shù)據(jù)脫敏效果進行驗證，確保各類數(shù)據(jù)處理場景中數(shù)據(jù)脫敏的有效性和合規(guī) 性。

2.【操作審計】

規(guī)劃建設(shè)具有自動化操作審計能力的平臺系統(tǒng)，具備數(shù)據(jù)操作權(quán)限配置、異常操作告警與處置等核心功能，分批次將數(shù)據(jù)處理活動平臺系統(tǒng)接入安全系統(tǒng)，數(shù)據(jù)操作審計內(nèi)容和企業(yè)平臺系統(tǒng)權(quán)限分配表作為系統(tǒng)策略進行配置。

3.【數(shù)據(jù)防泄露】

涉及存儲、處理個人敏感信息和重要數(shù)據(jù)平臺系統(tǒng)配備數(shù)據(jù)防泄露能力，優(yōu)先從網(wǎng)絡(luò)側(cè)和終端側(cè)等進行部署，逐步擴大能力覆蓋范圍。具備對網(wǎng)絡(luò)、郵件、FTP、USB 等多種數(shù)據(jù)導(dǎo)入導(dǎo)出渠道進行實時監(jiān)控的能力，及時對異常數(shù)據(jù)操作行為進行預(yù)警攔截，防范數(shù)據(jù)泄露風(fēng)險。

4.【接口安全管理】

面向互聯(lián)網(wǎng)及合作方開放的數(shù)據(jù)接口具備接口認證鑒權(quán)與安全監(jiān)控能力，能夠限制違規(guī)設(shè)備接入，對接口調(diào)用進行必要的自動監(jiān)控和處理。對涉及個人信息和重要數(shù)據(jù)的傳輸接口實施調(diào)用審批，定期開展接口日志審計。

5.【個人信息保護】

對授權(quán)收集到的個人敏感信息，采取去標識化、關(guān)鍵字段加密安全存儲措施；在跨安全域或通過互聯(lián)網(wǎng)傳輸個人敏感信息時，采用加密傳輸措施（如可確保安全的加密算法或傳輸通道）；在用戶端顯示個人敏感信息時，采取措施防止未授權(quán)人員獲取個人敏感信息。