
《实施细则》要点解析
>> 适用范围
对中国境内工信领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。
>> 工作原则
重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。
>> 评估内容
按照法律法规、行业规定及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展评估。
>> 评估报告
评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。
数据安全主体单位应对措施
>> 对数据进行分类分级,梳理数据资产,了解企业中有哪些机密数据,并且按照保密等级进行分类,严格把控数据使用权限。以电信和互联网领域为例,重要数据和核心数据的识别应在国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》基础上,结合YD/T 3867-2024《电信领域重要数据识别指南(报批稿)》进行综合判定。
>> 对企业内部所有重要数据进行强制、主动加密,保证数据全生命周期都在加密状态下得到保护,防止数据被非正常获取与使用。严格管控对外发送的数据,防止内部员工进行有意或无意的机密文件发送,避免数据外泄。
>> 针对研发设计、生产制造、运营维护、销售营销等业务部门,可以采用更灵活透明的加密技术,减少数据安全防护手段对日常工作效率的影响。部门相关人员对外提供的涉密文件还可以通过水印技术,记录操作人员信息,在安全事故发生后第一时间锁定泄密源头,启动应急措施。
>> 对于聘请第三方评估团队的人员,在评估进程中生成的数据和记录等都是保密要求极高的核心数据。所以应在协议中应当清楚载明相关的数据安全要求,包括但不限于在合作中需遵循的合规、内控及风险管理要求,服务质量考核评价,安全保密等内容