行业数据安全管理规范持续完善 上海启动专项行动聚焦电信和互联网数据合规流通与利用
南方财经全媒体记者 吴立洋 上海报道
不久前,中共中央、国务院印发的《数字中国建设整体布局规划》为我国数字化发展指明道路,提出建设公平规范的数字治理生态,包括完善法律法规体系,构建技术标准体系等一系列具体要求。
3月7日下午,十四届全国人大一次会议举行第二次全体会议,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。
随着数据领域顶层设计的不断完善,如何保障行业实践中的合规要求,在安全管理框架内激发数据要素价值,成为数字经济发展的关键。其中,电信与互联网行业作为数字化发展较为深入、数据资源采集应用场景丰富的数字经济重点行业,受到社会广泛关注。
为全面提升行业数据安全管理水平,为发展上海市数字经济、建设数字中国筑牢数据安全屏障,3月7日下午,由上海市通信管理局主办、上海赛博网络安全产业创新研究院承办的“浦江护航”2023年上海市电信和互联网行业数据安全专项行动启动会举行,为上海市重点电信和互联网企业提升数据安全保障能力与管理水平提出具体要求与指引。
行业数据安全标准将进一步完善
上海市通信管理局局长王天广在致辞中表示,数字经济产业发展日益迅猛,在给人民群众的生产生活带来极大便利的同时,却也存在着一部分企业重要数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出等问题。
他进一步表示,行业应树立正确的数据保护理念,深刻理解安全与发展之间的关系;严格落实数据保护责任,积极配合行业主管部门监管。此外,持续提升安全防护水平,切实做好数据安全保护工作。
据悉,本次启动的“浦江护航”专业行动重点任务包括试点实施电信和互联网行业首席数据官制度、开展重要数据和核心数据识别认定及目录管理、开展电信和互联网行业数据安全风险评估管理等。
近年来,我国在《数据安全法》《个人信息保护法》等上位法指引下,《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》等政策先后出台,为行业数据安全管理提供了更为具体的指引。
会上,工信部网络安全管理局数据安全处处长雷楠围绕《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)中数据分类分级、重要数据与核心数据保护等重点内容进行解读。
据雷楠介绍,《管理办法》作为工信领域数据安全管理工作的顶层制度文件,在最初研究时即明确了三方面定位,包括:承接法律法规的相关要求;构建起工业和电信,特别是电信和互联网领域的监管体系;以及通过进一步细化的条款,明确关于电信领域的具体数据保护要求。目前《管理办法》共八章四十二条,重点解决“谁来管、管什么、怎么管”的问题。
“工信领域的行业监管制度体系是‘1+N’模式。”雷楠指出,“1”是指《管理办法》,“N”则是指重要数据识别、风险信息报送、安全事件应急预案、行政处罚裁量指引、风险评估管理等,这些制度均已在推进试行或研究储备过程中。
她进一步表示,在2023年的工作中,将进一步就数据安全工作的重点与推进原则与行业做交流沟通,还会对行业数据安全标准规范结合实践进行完善,风险评估工作将会在今年进一步推进。此外,工信部将数据安全工作条块具体分为监管和产业发展两方面的职责,并将于2023年开展专项行动。
聚焦数据全生命周期安全管理
在主题培训阶段,三位相关领域专家就企业数据安全管理中的关键问题展开分享。
赛博研究院高级研究员刘境棠分享了“重要数据和核心数据识别认定”,围绕《电信领域重要数据和核心数据识别指南(试行)》介绍了电信领域重要数据和核心数据的定义及分类,以及企业如何开展相关识别工作、如何填报重要数据和核心数据目录备案表。
忠扬大数据的数据安全产品经理秦颖盈聚焦数据安全评估规范这一主题,从通用性管理要求的角度,重点介绍了启动数据安全评估的4种情形、评估全流程、数据安全管理制度体系等内容。
她表示,《数据安全评估报告》最重要的是数据安全评估矩阵部分,企业需要根据通用性管理评估规范及全生命周期管理评估规范,梳理总结出合规性评测矩阵表;针对每一项评估指标,综合运用多种评估方法,收集佐证材料;对佐证材料进行研判评估,得出数据安全保障措施合规或完善程度有关结论。
观安信息高级咨询顾问郭霖则以数据全生命周期管理要求为切入口,阐释了数据安全评估规范的具体要求。他指出,数据生命周期可具体分为六部分:数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁,企业需要在解读标准的基础上将评估要求进行拆分,在组织内部就评估要点、评估规范、评估标准达成一致,再对数据进行更为详细的梳理与评估,并就薄弱点、风险点做重点汇报。
“数据安全治理应围绕数据全生命周期展开,在各个环节设置相应的管控点和管理流程,以便于在不同的业务场景中进行组合复用。” 郭霖表示。
(作者:吴立洋 编辑:张雅婷)
[中东服务器网图文来源于网络,如有侵权,请联系删除]