本篇文章4557字,读完约11分钟
工业和信息化部(MIIT)发布了《提高电信和互联网行业网络数据安全防护能力专项行动计划》,要求加强行业网络数据安全管理。对电信和重点互联网企业的网络数据资源进行深入调查,根据网络数据的重要敏感性以及泄露和滥用可能造成的危害,研究形成行业网络数据保护目录,选择重点企业进行试点应用。指导和监督试点企业建立内部网络数据目录和数据分类管理制度,对目录中的网络数据实施重点保护。
全文如下:
电信和互联网行业提高网络数据安全保护能力特别行动计划
近年来,随着国家大数据发展战略的加快实施,大数据技术的创新和应用日益活跃,大量类型丰富多样、应用价值不断提升的网络数据生成和聚集,成为数字经济发展的关键生产要素。与此同时,数据过度采集和滥用、非法交易和用户数据泄露等数据安全问题日益突出,做好电信和互联网行业(以下简称行业)网络数据安全管理尤为迫切。为积极应对新形势、新情况、新问题,切实做好新中国成立70周年网络数据安全保障工作,保障全面提升行业网络数据安全,特制定本方案。
一.一般要求
在新时期,我们以习近平建设有中国特色社会主义理论为指导,全面贯彻落实党的十九届全国代表大会和党的十九届二中、三中全会精神,严格执行《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》、《互联网信息服务管理办法》等法律法规,坚持维护数据安全与促进数据开发利用并重,坚持数据分类和分类保护。坚持充分发挥政府引导作用、企业主体作用和社会监督作用,开展为期一年的行业网络数据安全保障能力专项行动(以下简称专项行动),加快行业网络数据安全综合保障体系建设,为网络强国建设和数字经济发展提供有力保障和重要支撑。
二、工作目标
(一)以数据安全合规评估、专项治理、监督检查为重点,督促基础电信企业和重点互联网企业加强网络数据安全全过程管理,及时整改和消除重大数据泄露和滥用等安全隐患,在2019年10月底前完成所有基础电信企业(包括专业公司)、50家重点互联网企业和200家主流应用的数据安全检查,圆满完成新中国成立70周年等重大活动的网络数据安全保障工作。
(二)基本建立行业网络数据安全体系。网络数据安全体系标准体系进一步完善,形成了行业网络数据保护目录,制定了15项以上行业网络数据安全标准和规范,试点企业不少于20家;行业网络数据安全管理和技术支持平台已基本建成,已选定不少于30个网络数据安全技术能力创新示范项目;基础电信企业和重点互联网企业网络数据安全管理体系得到有效建立。
第三,关键任务
(1)加快完善网络数据安全体系标准
1.加强网络数据安全管理系统的设计。结合《网络安全法》、《电信和互联网用户个人信息保护条例》等法律法规的要求,加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通知和处置、数据对外使用报告等制度。电信和互联网企业部署应当按照法律法规要求,开展数据安全管理标杆管理,完善内部网络数据生命周期安全管理体系。
2.完善网络数据安全标准体系。推动出台行业《网络数据安全标准体系建设指引》,加快完善行业网络数据安全标准体系。制定并引入行业重要数据识别指南、网络数据安全保护等关键标准,选择企业开展标准实施试点。指导中国通信标准协会成立网络数据安全标准专项工作组,加快制定网络数据安全相关标准。
(2)开展合规评估和专项治理
3.进行网络数据安全风险评估。引入网络数据安全合规性评估重点,依托互联网新技术和新业务安全评估机制,部署基础电信企业(包括专业公司)和重点互联网企业结合重点业务类型和场景开展网络数据安全合规性自我评估,提升企业网络数据安全风险防范能力。针对物联网、车辆互联网、卫星互联网和人工智能等新技术和应用带来的重大互联网数据安全问题,适时开展行业评估和跨部门联合评估。
4.深化对应用违规的特殊处理。继续推进app收集和使用违法违规个人信息的专项治理行动,组织第三方评估机构开展app安全滚动评估,及时清除和公开揭露违反网络数据安全和用户信息保护法律法规的app。组织开展应用商店安全责任专项部署,督促应用商店落实验证应用运营商真实身份信息、检测应用安全、撤架非法应用的责任。创新工作模式,引导和鼓励第三方机构开展app数据安全管理认证,探索和推广应用商店等明确标识,优先推荐认证APPs。
5.加强网络数据安全的监管和执法。重点落实企业网络数据安全责任和数据安全合规性评估,纳入2019年网络信息安全“双随机开放”检查和基础电信企业网络信息安全责任评估检查,通过远程测试和现场检查等方式进行监督检查,督促问题整改。继续对数据泄露等网络数据安全和用户信息安全事件进行监控、跟踪和执法调查,对违法违规行为及时采取约谈、公开曝光和行政处罚等措施,并将处罚结果纳入不良经营行为名单或失信名单。
(3)加强行业网络数据的安全管理
6.稳步实施网络数据资源“列表”管理。对电信和重点互联网企业的网络数据资源进行深入调查,根据网络数据的重要敏感性以及泄露和滥用可能造成的危害,研究形成行业网络数据保护目录,选择重点企业进行试点应用。指导和监督试点企业建立内部网络数据目录和数据分类管理制度,对目录中的网络数据实施重点保护。
7.明确企业网络数据安全的职能部门。指导电信和重点互联网企业加强内部网络数据安全的组织和保障,推动建立或界定负责网络数据安全管理的部门和专职人员,负责内部网络数据安全管理,督促和协调企业内部各相关主体和环节严格执行操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制和数据灾难恢复备份等数据安全保护措施,组织数据安全人员的法律法规、知识和技能培训。
8.加强对外网络数据合作的安全管理。落实工业和信息化部《关于加强基础电信企业数据安全管理标准和对外数据合作清算的通知》等相关管理要求,督促企业定期开展网络数据合作业务专项调查,及时发现问题,消除隐患。研究明确利用行业网络数据开发应用大数据的数据安全管理要求,督促企业对合作伙伴的数据安全能力进行动态评估,充分依靠合同约束、信用管理等手段加强对合作伙伴的管理,有效提高网络数据共享的安全管理水平。
9.加强行业网络数据安全应急管理。落实工业和信息化部相关应急预案要求,指导企业进一步完善企业网络数据安全事件应急机制,开展应急演练,落实重大网络数据安全事件报告、责任追究和公告要求。在中华人民共和国成立70周年等重大活动的保障期内,明确了企业数据安全重要岗位的职责和要求,加强了应急响应,及时处理了网络数据安全突发事件。
(4)创新推动网络数据安全技术保护能力建设
10 .加强网络数据安全技术建设。加快行业网络数据安全管理和技术支撑平台建设,支持行业数据记录管理、事件通知、可追溯性验证、技术测试和安全认证等发展。,增强网络数据安全监管的技术支持和保障能力。引导企业加大网络数据安全技术投入,加快完善防攻击、防盗、防泄漏、数据备份和恢复等数据安全措施,提升企业网络数据安全能力。
11.推动网络数据安全技术的创新和发展。推动建立大数据安全联盟,搭建网络数据安全技术交流、联合研究和试点应用平台。组织收集网络数据安全技术最佳实践案例和选择试点示范项目,加大对技术研发、成果转化和解决方案的支持力度,推动网络数据安全先进技术创新和产品服务应用推广。制定并发布网络数据安全行业发展白皮书。
12 .加强专业保障队伍建设。成立行业网络数据安全专家委员会,为制定网络数据安全政策标准、关键技术研究、重大网络数据安全风险评估和网络数据安全示范项目评审提供决策支持。委托中国信息通信研究院、中国电子信息产业发展研究院、中国电子技术标准化研究院、中国互联网协会、中国通信标准协会等单位开展面向行业的网络数据安全法律、法规、政策和标准的宣传、技能培训、测试和检查。
(5)加强社会监督和宣传交流
13.加强社会监督和行业自律。依托中国互联网协会12321网络不良和垃圾邮件举报受理中心,建立网络数据违规举报平台,及时受理用户投诉和举报。加强行业自律,引导中国互联网协会与基础电信企业、重点互联网企业和第三方组织共同签署网络数据安全自律公约,引导企业自觉履行数据安全保护义务,努力提高数据安全保护水平。
14 .加强宣传和国际交流。充分利用中国互联网大会、中国国际大数据产业博览会、全国网络安全宣传周等。指导相关单位举办网络数据安全论坛,开展网络数据安全主题宣传日等活动,推进网络数据安全管理和技术经验交流,提升全行业数据安全意识。加强数据安全国际交流与合作,利用世界互联网大会和中欧数字经济与网络安全大会,积极开展数据安全管理经验交流和信息共享。
四.工作安排
(1)工作部署阶段(2019年7月)。该部制定并发布专项行动计划,组织宣传和部署,制定并向各单位和企业发布工作任务清单,明确各项任务的时间节点和工作要求。
(2)关键保证阶段(2019年8月-10月)。组织开展电信和重点互联网企业网络数据资源调查,明确数据安全合规性评估重点,指导完成省级基础电信企业和重点互联网企业关键环节数据安全合规性评估,继续开展应用非法收集和使用个人信息专项治理。 组织对重点企业网络数据安全责任落实情况和隐患整改情况的监督检查,全力确保新中国成立70周年网络数据安全。
(3)长期建设阶段(2019年11月-2020年5月)。总结新中国成立70周年网络数据安全工作经验,重点关注关键系统、关键标准、技术手段、示范项目、支持团队等。,加快落实完成重点任务的措施,促进网络数据安全管理长效机制的建立。
(4)总结推广阶段(2020年6-7月)。各单位和企业要对专项行动完成情况、工作成果和存在的问题进行梳理和总结,形成工作总结报告上报部(网络安全管理局)。该部组织了一次关于特别行动工作的总结报告,推广了典型经验和做法,并巩固了相关工作的成效。
V.工作要求
(a)加强组织领导。各单位要充分认识加快提升行业网络数据安全防护能力的重要性和紧迫性,结合本单位实际,精心组织、精心部署、快速行动,确保专项行动顺利开展。部网络安全管理局牵头专项行动的总体部署、实施、监督和检查;各地通信管理局根据实际情况,组织开展了提高本地网络数据安全能力的专项行动。
(二)明确任务分工。各企业要明确责任部门和责任人,按照任务清单坚持问题导向,逐一细化工作措施和职责分工,确保措施到位,责任到人,确保专项行动任务落实到位,取得实效。中国信息通信研究院、中国电子信息产业发展研究院、中国电子技术标准化研究院、人民邮电报、中国互联网协会、中国通信标准协会等单位应做好支持和保障工作。
(3)加强监督检查。部和地方通信管理局组织对各单位和企业专项行动实施情况进行监督检查,指导和督促基础电信企业和互联网企业进一步落实相关系统标准要求,完善企业网络数据安全合规管理体系,并及时督促整改存在的问题。
(4)加强宣传和通报。各单位和企业应建立信息通报机制,及时总结专项行动的进展和成效,并在每月月底前将工作进展、成绩、问题和建议上报网络安全部。大力宣传专项行动的新进展、新动向和典型经验做法,营造全行业重视网络数据安全、自觉维护网络数据安全的良好氛围,推动专项行动扎实继续实施。