关于开展2022年电信和互联网行业数据安全检查的通知
概要
| | |
|---|
| 时间表 | 自查自纠(通知印发之日起至6月30日);监督检查(7月1日起至9月30日);总结整改(10月1日-11月30日) |
| 处罚方式 | 违规企业采取通报、约谈、行政处罚等措施。 |
| 检查内容 | 主要包括了数据安全检查和个人信息保护检查,个人信息保护检查主要内容就是App专项整治,本文不展开介绍。与其他省相比,浙江省并未将网络安全检查与数据安全检查放在一起,网络安全检查与数据安全检查内容并不相同,企业避免混淆。 |
| 检查对象 | 包括省内基础电信企业、增值电信企业、域名注册机构、重点互联网企业、App运营者、App应用商店及具有分发功能的平台。一些传统企业如果涉及有网站、App也可能被抽中,检查对象范围比以往经验的理解会扩增。 |
| 如何迎检 | 实际执行过程中,每个省实际检查可能会存在差异,每年也会有部分新增内容。检查前一般会发迎检要求,需要提前准备相关证明材料。以上经验并非检查全部内容,如果进行全面数据合规检查需要对照标准一一核对。数据安全合规不仅靠合规管理手段,更需要借助靠谱的技术手段。 |
检查要点
一、基础性评估要点
| 检查项 | 简述 | 合规策略 |
|---|
| 机构人员 | 明确责任部门、管理职责、责任分工。 | 制定数据安全管理制度,内容包含明确责任部门、管理职责、责任分工、考核问责、奖惩制度等内容。准备任命书、岗位责任书、劳动合同、钉钉等组织构架图、具备数据安全相关知识技能证明材料、监督检查结果通报记录及整改落实情况记录等证明材料。本文所有证明材料也可以通过系统内的日志等信息进行展示。 |
| 制度保障 | 建立企业数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等制度。 | 制定上述制度,实际的文件可能更多,包含具体执行材料。相关制度无需单独立文,在相关文档里存在相关内容也可以。主要的制度包括但不限于数据安全组织建设及人员管理制度、数据分类分级管理制度、数据访问权限管理制度、数据合规性评估管理制度、数据安全管理审计制度、数据安全人员培训管理制度、数据安全投诉举报管理制度、数据全生命周期管理制度、数据合作方管理制度、数据安全应急响应制度。 |
| 分类分级 | 梳理数据资产清单,制定数据分级策略,明确重要数据的范围和类型,落实重要数据境内存储、出境安全评估等要求。 | 建议使用自动化工具进行资产梳理。数据资产清单可以参考《电信网和互联网数据安全通用要求》附录A。分级策略需要参照《基础电信企业数据分类分级方法》(或者即时通信业务数据分类分级方法(报批稿)、在线交易处理业务数据分类分级方法(报批稿)、信息检索查询业务数据分类分级方法(报批稿)),参照其他标准容易出现分类分级不规范的问题。重要数据的清单可以参考《重要数据识别规则(征求意见稿)》《基础电信企业重要数据识别指南》中的清单。如涉及出境情况需要进行安全评估。准备企业数据分类分级清单、企业重要数据清单、数据出境评估清单等证明材料。充分考虑业务或系统平台场景需求,在数据采集、传输、存储、使用、共享、销毁等数据全生命周期各个环节中针对不同类别级别的数据明确相应的安全保障措施。 |
| 合规评估 | 对照企业数据安全制度规范,形成数据合规评估报告。 | 制定数据安全评估相关规定及制度;业务平台上线前进行数据安全评估。安全评估报告参考电信网和互联网数据安全评估规范附件数据安全评估报告模版。对于新上线业务数据安全评估报告,也可以参考《互联网新技术新业务安全评估指南》,运营商使用较多,其他企业参考进行,因为网信办近几年也在进行类似的双新评估。 |
| 权限管理 | 明确企业数据处理活动平台系统的用户账号安全保障要求,合理配置系统访问权限,人员角色进行分离设置。 | 针对批量导出、复制、销毁、第三方人员操作等用户个人信息处理操作明确规范权限审批要求、流程和操作规范。准备平台系统权限分配表、数据安全管理人员、使用人员、审计人员清单;涉及授权特定人员超权限处理数据的审批记录;涉及数据重大操作的银行模式及日志审计记录等证明材料。建议查阅用户个人信息操作审批记录,审批记录是否完整准确,权限管理覆盖范围是否全面,查看权限开通日志记录,检查审批记录与权限开通记录是否一致。设置账号口令的访问控制并满足复杂度要求,避免弱口令,并进行技术验证。针对开发运维人员、第三方人员在创建和注销系统账号时,应严格遵循系统账号创建和注销申请审批流程,并记录审批过程和结果。 |
| 安全审计 | 对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理,加强企业数据安全审计管理。 | 建议使用具备自动化操作审计能力的平台或系统。数据安全审计的内容应包括企业内部权限控制、企业内部数据流向跟踪悄况、数据安全保障措施有效性等能够发现和处置数据非授权访问、批量导出等异常悄况。将审计对象全量接入安全审计系统,数据安全审计内容和企业平台系统权限分配表作为系统策略进行配置。确保审计数据记录内容至少包括:操作时间、操作主体、操作类型、操作对象、操作结果。针对有关问题,数据安全管理责任部门协调数据安全相关执行部门提出改进方案,并要求落实解决,对改进措施效果进行跟踪审核。并不是具有审计功能就符合要求,需查验审计内容是否与检查要求一致。 |
| 合作方管理 | 加强数据合作方安全管理,建立合作方台账管理机制,与合作方签订服务合同和安全保密协议应明确与合作方的数据安全责任划分。 | 制定方数据安全管理制度,合作方清单。合作前对合作方个人信息保护工作进行合规性评估,合作中对合作方进行动态合规性评估。明确企业对外合作中数据安全保护方式和合作方责任落实要求的相关文件。要求合作方提供数据安全评估报告,如对方没有提供的,可以通过邮件等方式证明自己已经要求对方提供。在合作方服务合同、保密协议和数据安全协议中有明确数据安全责任的划分。查验合作方账号管理机制,对合作方账号实行严格管理。制定业务合作方安全风险监督管理制度,对合作方数据使用用途进行审计,定期上报数据使用用途情况。应在业务合作结束后,采取有效措施督促合作方按照合同约定删除企业提供的原始数据,不得超期留存。 |
| 应急响应 | 强化企业数据泄露(丢失)、滥用、被篡改、被损毁、违规使用等安全事件应急响应能力。 | 制定数据安全应急响应预案,开展数据安全应急演练工作。准备数据安全应急响应预案、数据安全特定事件应急响应流程、数据安全应急演练记录、发生过数据安全事件记录、数据安全事件应急处置措施等证明材料。 |
| 举报投诉处理 | 完善数据安全用户举报与受理机制,建立用户数据安全举报投诉渠道。 | 制定数据安全投诉处理制度,制度中明确举报投诉处理的部门和人员、数据安全投诉类型和相关处理流程、要求等,明确15日内答复、处置投诉。公示数据安全投诉举报渠道,准备投诉处理记录等证明材料。 |
| 教育培训 | 制定数据安全管理相关岗位人员培训计划。 | 制定数据安全教育培训制度。数据安全培训内容应完整覆盖数据安全制度要求和实操规范等内容,如数据安全法律法规、标准制度、管理方法、合规性评估、技术防护、应急演练和相关知识技能。准备数据安全教育培训计划、数据安全教育培训记录,包括课件、签到考核记录,培训人员记录等证明材料。 |
二、数据生命周期评估要点
| 检查项 | 简述 | 合规策略 |
|---|
| 数据采集 | 开展数据采集合规性审查,采集个人信息前告知同意,遵循最小必要原则。 | 制定企业内部数据采集实施规范。准备定期的数据采集合规性审查记录、用户协议和隐私政策等相关文件、收集个人信息业务和系统清单等证明材料。建议判断是否遵循最小必要原则,收集的个人信息类型应与实现产品或服务的业务功能是否有直接关联。 |
| 数据传输 | 根据业务流程、职责界面、网络部署、安全风险等情况,合理划分企业网络系统安全域,区分域内、域间等不同数据传输场景。梳理企业存在数据出境情况的业务。 | 划分企业安全域,对不同域间传输场景进行说明。对安全域内、不同安全域间数据传输场景,结合数据分类分级策略和管理要求明确数据传输安全策略和操作规程。针对需进行加密处理的传输业务场景和数据,应部署相应的加密措施,如采用可确保安全的加密算法或传输通道(TLS/SSL等方式)。这里需要注意的是,并不是所有的加密方式都是安全的,很多加密方式已经被破解,需要选择安全的加密方式。在数据跨境传输前需开展安全风险自评估,自评估需符合相关要求,并留存评估报告。若触发数据出境安全评估要求的(请参见《数据出境安全评估办法》(征求意见稿)),需通过省级网信部门向国家网信办申报安全评估,安全评估通过,数据才可出境。 |
| 数据存储 | 明确企业核心数据处理活动有关平台系统、存储介质等数据存储安全要求。加强对数据存储平台系统接入移动存储介质的管控,对将数据下载到本地终端的行为进行严格审核和日志记录。 | 结合数据分类分级策略和管理要求制定数据存储安全策略和操作规程,包括各类数据存储平台系统差异化的安全存储保护手段(如加密、授权、数字水印、数字签名等)、数据存储介质安全策略和管理规定等,制定数据备份要求的相关管理文件。与数据存储平台系统管理人员签订保密协议,有效约束相关人员行为,如对企业各类数据进行违规或非授权操作。准备数据下载到终端的行为审核和日志记录、数据备份与恢复记录等证明材料。 |
| 数据使用 | 区分不同目的下数据使用审批流程、数据脱敏处理规则,鼓励在保障安全的情况下,开展数据利用。个人信息确需改变个人信息使用目的或改变个人信息使用规则时,应再次征得用户明示同意。 | 应遵循目的明确原则,结合数据分类分级策略和管理要求明确数据使用安全策略和操作规程。准备个人信息使用时的脱敏处理证明材料、个人信息使用规则变更同意记录等证明材料。 |
| 数据开放共享 | 对数据对外开放共享实施审核,与数据开放共享接口调用方签署合作协议,共享个人信息时,应事先向个人信息主体告知共享个人信息的目的、接收方情况等,并征得个人信息主体授权同意。 | 应区分不同组织机构间等不同的数据开放共享场景,结合数据分类分级管理制度和安全需求,对应不同的数据开放共享场景建立相应的数据开放共享安全策略和操作规程。准备数据对外开放共享审核记录、数据溯源能力相关证明、接口调用方签订的合作方合作协议、共享个人信息的告知同意记录等证明材料。建议通过技术手段,验证数据开放共享接口与清单是否一致。 |
| 数据销毁 | 明确销毁与删除的对象、原因(如数据业务下线、用户退出服务、数据试用结束、超出数据保存期限等)和流程、存储介质销毁处理策略和操作规程。建立数据销毁审批机制。 | 结合数据分类分级管理制度和安全需求,建立相应的数据销毁安全策略和操作规程。准备数据销毁审批记录、个人信息主体要求删除的个人信息销毁记录等证明材料。 |
三、技术能力评估要点
| 检查项 | 简述 | 合规策略 |
|---|
| 数据识别 | 配备技术能力,定期对相关平台系统数据资产进行扫描,能够发现识别敏感个人信息。 | 建议通过自动化工具进行资产扫描。准备能力证明文件、资产清单、数据脱敏效果检查记录等证明材料。查看数据识别能力平台自动扫描周期,查看平台覆盖范围是否涉及所有处理用户个人信息的核心系统,以及各数据处理活动相关系统。 |
| 操作审计 | 规划建设具有自动化操作审计能力的平台系统,具备数据操作权限配置、异常操作告警与处置等核心功能,分批次将数据处理活动平台系统接入安全系统,数据操作审计内容和企业平台系统权限分配表作为系统策略进行配置。 | 制定自动化安全审计能力的平台系统建设方案。需具备数据操作权限配置、异常操作告警与处置等功能;具备审计策略、响应审计策略配置,覆盖企业内部权限控制、企业内部数据流向跟踪、数据安全保障措施有效性等;能实现对数据访问和操作的有效监控和审计;平台覆盖范围涉及所有处理用户个人信息的核心系统,以及各数据处理活动相关系统。 |
| 数据防泄漏 | 涉及存储、处理敏感个人信息和重要数据平台系统配备数据防泄漏能力,优先从网络侧和终端侧等进行部署,逐步扩大能力覆盖范围。 | 针对企业涉及存储、处理敏感个人信息和重要数据的有关平台系统数据防泄漏能力提供证明材料。建议通过技术手段,验证数据防泄漏的效果。 |
| 接口安全管理 | 面向互联网及合作方开放的数据接口具备接口认证鉴权与安全监控能力,能够限制违规设备接入,对接口调用进行必要的自动监控和处理。对涉及个人信息和重要数据的传输接口实施调用审批,定期开展接口日志审计。 | 准备面向互联网及合作方开放的数据接口具备接口认证鉴权能力证明材料、涉及个人信息的传输接口实施调用审批记录、接口日志审计记录、针对涉及个人信息和重要数据的应用开放接口清单等证明材料。建议通过技术手段,验证接口认证鉴权效果和违规接入及自动监控等安全防护效果。 |
| 个人信息保护 | 对授权收集到的敏感个人信息,采取去标识化、关键字段加密安全存储措施;在跨安全域或通过互联网传输敏感个人信息时,采用加密传输措施(如可确保安全的加密算法或传输通道);在用户端显示敏感个人信息时,采取措施防止未授权人员获取敏感个人信息。 | 准备对收集到的敏感个人信息进行脱敏、加密等技术手段的证明材料,用户端去标识化显示个人信息证明材料。在跨安全域或者通过互联网传输敏感个人信息时,采用的相应的加密措施证明材料,如可确保安全的加密算法或传输通道。隐私政策中对于营销活动推广等跨平台用户数据提供的场景进行说明,并获得用户明示同意。上述内容中,特别需要注意的是,应在用户端(如网站、App、显示屏幕等载体,账单、业务登记单等展示场景)显示敏感个人信息时,采取措施防止个人信息主体之外的其他人员未经授权获取敏感个人信息,如去标识化处理等。个人信息主体身份验证通过或者主动选择后,可完整查看敏感个人信息。 |
参考:
政策信息
服务厂商
政策文件
- 电信和互联网企业网络数据安全合规性评估要点(2020年版)
- YD/T 3802-2020 电信网和互联网数据安全通用要求
- YD/T 3956-2021 电信网和互联网数据安全评估规范
- YD/T 3801-2020 电信网和互联网数据安全风险评估实施方法
- YD/T 3867-2021 基础电信企业重要数据识别指南
- YD/T 3813-2020 基础电信企业数据分类分级方法
- YD/T 3169-2020 互联网新技术新业务安全评估指南