本篇文章2935字,读完约7分钟
据工业和信息化部7月1日消息,近年来,随着国家大数据发展战略的加快实施,大数据技术的创新和应用日益活跃,生成和收集的海量网络数据种类丰富多样,应用价值不断提升,成为数字经济发展的关键生产要素。与此同时,数据过度采集和滥用、非法交易和用户数据泄露等数据安全问题日益突出,做好电信和互联网行业(以下简称行业)网络数据安全管理尤为迫切。为了积极应对新形势、新情况、新问题,保障网络数据安全,全面提升行业水平,特制定本预案。
主要内容如下:
工作目标
(一)以数据安全合规评估、专项治理和监督检查为重点,督促基础电信企业和重点互联网企业加强网络数据安全全过程管理,及时整改和消除重大数据泄露和滥用等安全隐患,在2019年10月底前完成所有基础电信企业(包括专业公司)、50家重点互联网企业和200家主流应用的数据安全检查。
(二)基本建立行业网络数据安全体系。网络数据安全体系标准体系进一步完善,形成了行业网络数据保护目录,制定了15项以上行业网络数据安全标准和规范,试点企业不少于20家;行业网络数据安全管理和技术支持平台已基本建成,已选定不少于30个网络数据安全技术能力创新示范项目;基础电信企业和重点互联网企业网络数据安全管理体系得到有效建立。
关键任务
(1)加快完善网络数据安全体系标准
1.加强网络数据安全管理系统的设计。结合《网络安全法》、《电信和互联网用户个人信息保护条例》等法律法规的要求,加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通知和处置、数据对外使用报告等制度。电信和互联网企业部署应当按照法律法规要求,开展数据安全管理标杆管理,完善内部网络数据生命周期安全管理体系。
2.完善网络数据安全标准体系。推动出台行业《网络数据安全标准体系建设指引》,加快完善行业网络数据安全标准体系。制定并引入行业重要数据识别指南、网络数据安全保护等关键标准,选择企业开展标准实施试点。指导中国通信标准协会成立网络数据安全标准专项工作组,加快制定网络数据安全相关标准。
(2)开展合规评估和专项治理
3.进行网络数据安全风险评估。引入网络数据安全合规性评估重点,依托互联网新技术和新业务安全评估机制,部署基础电信企业(包括专业公司)和重点互联网企业结合重点业务类型和场景开展网络数据安全合规性自我评估,提升企业网络数据安全风险防范能力。针对物联网、车辆互联网、卫星互联网和人工智能等新技术和应用带来的重大互联网数据安全问题,适时开展行业评估和跨部门联合评估。
4.深化对应用违规的特殊处理。继续推进app收集和使用违法违规个人信息的专项治理行动,组织第三方评估机构开展app安全滚动评估,及时清除和公开揭露违反网络数据安全和用户信息保护法律法规的app。组织开展应用商店安全责任专项部署,督促应用商店落实验证应用运营商真实身份信息、检测应用安全、撤架非法应用的责任。创新工作模式,引导和鼓励第三方机构开展app数据安全管理认证,探索和推广应用商店等明确标识,优先推荐认证APPs。
5.加强网络数据安全的监管和执法。以落实企业网络数据安全责任和数据安全合规性评估为重点内容,纳入2019年网络信息安全双随机公开检查和基础电信企业网络信息安全责任评估检查,通过远程测试和现场检查等方式进行监督检查,督促问题整改。继续对数据泄露等网络数据安全和用户信息安全事件进行监控、跟踪和执法调查,对违法违规行为及时采取约谈、公开曝光和行政处罚等措施,并将处罚结果纳入不良经营行为名单或失信名单。
(3)加强行业网络数据的安全管理
6.稳步实施网络数据资源的库存管理。对电信和重点互联网企业的网络数据资源进行深入调查,根据网络数据的重要敏感性以及泄露和滥用可能造成的危害,研究形成行业网络数据保护目录,选择重点企业进行试点应用。指导和监督试点企业建立内部网络数据目录和数据分类管理制度,对目录中的网络数据实施重点保护。
7.明确企业网络数据安全的职能部门。指导电信和重点互联网企业加强内部网络数据安全的组织和保障,推动建立或界定负责网络数据安全管理的部门和专职人员,负责内部网络数据安全管理,督促和协调企业内部各相关主体和环节严格执行操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制和数据灾难恢复备份等数据安全保护措施,组织数据安全人员的法律法规、知识和技能培训。
8.加强对外网络数据合作的安全管理。落实工业和信息化部《关于加强基础电信企业数据安全管理标准和对外数据合作清算的通知》等相关管理要求,督促企业定期开展网络数据合作业务专项调查,及时发现问题,消除隐患。研究明确利用行业网络数据开发应用大数据的数据安全管理要求,督促企业对合作伙伴的数据安全能力进行动态评估,充分依靠合同约束、信用管理等手段加强对合作伙伴的管理,有效提高网络数据共享的安全管理水平。
9.加强行业网络数据安全应急管理。落实工业和信息化部相关应急预案要求,指导企业进一步完善企业网络数据安全事件应急机制,开展应急演练,落实重大网络数据安全事件报告、责任追究和公告要求。
(4)创新推动网络数据安全技术保护能力建设
10 .加强网络数据安全技术建设。加快行业网络数据安全管理和技术支撑平台建设,支持行业数据记录管理、事件通知、可追溯性验证、技术测试和安全认证等发展。,增强网络数据安全监管的技术支持和保障能力。引导企业加大网络数据安全技术投入,加快完善防攻击、防盗、防泄漏、数据备份和恢复等数据安全措施,提升企业网络数据安全能力。
11.推动网络数据安全技术的创新和发展。推动建立大数据安全联盟,搭建网络数据安全技术交流、联合研究和试点应用平台。组织收集网络数据安全技术最佳实践案例和选择试点示范项目,加大对技术研发、成果转化和解决方案的支持力度,推动网络数据安全先进技术创新和产品服务应用推广。制定并发布网络数据安全行业发展白皮书。
12 .加强专业保障队伍建设。成立行业网络数据安全专家委员会,为制定网络数据安全政策标准、关键技术研究、重大网络数据安全风险评估和网络数据安全示范项目评审提供决策支持。委托中国信息通信研究院、中国电子信息产业发展研究院、中国电子技术标准化研究院、中国互联网协会、中国通信标准协会等单位开展面向行业的网络数据安全法律、法规、政策和标准的宣传、技能培训、测试和检查。
(5)加强社会监督和宣传交流
13.加强社会监督和行业自律。依托中国互联网协会12321网络不良和垃圾邮件举报受理中心,建立网络数据违规举报平台,及时受理用户投诉和举报。加强行业自律,引导中国互联网协会与基础电信企业、重点互联网企业和第三方组织共同签署网络数据安全自律公约,引导企业自觉履行数据安全保护义务,努力提高数据安全保护水平。
14 .加强宣传和国际交流。充分利用中国互联网大会、中国国际大数据产业博览会、全国网络安全宣传周等。指导相关单位举办网络数据安全论坛,开展网络数据安全主题宣传日等活动,推进网络数据安全管理和技术经验交流,提升全行业数据安全意识。加强数据安全国际交流与合作,利用世界互联网大会和中欧数字经济与网络安全大会,积极开展数据安全管理经验交流和信息共享。