报告-电信和互联网企业网络数据安全合规性评估要点(2020年).pdf
免费下载
附件 1
电信和互联网企业网络数据安全合规性
评估要点
(2020 年版)
为进一步指导电信和互联网企业做好网络数据安全合
规性评估工作,提升数据安全保护水平,依据《网络安全法》
《电信和互联网用户个人信息保护规定》等法律法规,参考
《信息安全技术 个人信息安全规范》等标准规范,制定本
要点,供各企业在网络数据安全合规性评估中使用。
一、 基础性评估要点
重点围绕机构人员、制度保障、分类分级、合规评估、
权限管理、安全审计、合作方管理、应急响应、投诉处理、
教育培训等十个方面开展评估。
1.【机构人员】
(1)明确企业数据安全管理责任部门,牵头承担企业
数据安全管理工作,包括但不限于制定数据安全管理制度规
范,协调强化数据安全技术能力,开展数据安全合规性评估、
安全审计管理、安全事件应急处置、教育培训等工作。
(2)明确数据安全管理责任部门与各项工作执行部门
的责任分工界面,建立数据安全管理制度执行落实情况监督
检查和考核问责制度。
(3)数据安全管理责任部门应配备数据安全管理责任
人员,相关工作执行部门应设置数据安全工作岗位,负责具
体落实数据安全管理工作,包括但不限于数据资产梳理、分
类分级、合规性评估、权限管理、安全审计、应急响应、教
育培训等工作。
2.【制度保障】
建立企业数据分类分级管理、数据访问权限管理、数据
安全合规性评估、数据全生命周期管理、数据合作方管理、
数据安全应急响应等制度。
3.【分类分级】
(1)按照数据资产安全管理的目标和原则,定期梳理
企业核心数据处理活动有关平台系统1数据情况,形成企业
数据资产清单。
(2)综合考虑数据的类别属性、使用目的等,明确数
据分类策略。在数据分类的基础上,对每一类数据,结合数
据的重要及敏感程度以及一旦泄露、丢失、破坏造成的危害
程度等,制定数据分级策略。在数据分类分级基础上,明确
重要数据的范围和类型。
(3)针对不同级别的数据,围绕数据全生命周期各环
节部署差异化的安全保障措施。对重要数据实施重点保护,
按照法律法规及国家有关规定,落实重要数据境内存储、出
境安全评估等要求。
4.【合规评估】
(1)将数据安全合规性评估作为企业数据安全管理的
重要内容和抓手,按照“谁运营、谁主管、谁负责”的原则,
开展企业整体数据安全保护水平评估并形成评估报告。评估
内容包括但不限于数据安全制度建设情况、数据分类分级情
况、数据安全事件应急响应水平,以及重点业务与系统数据
1
核心数据处理活动有关平台系统是指:存储和处理用户个人信息的支撑系统。
不包含对企业生产经营数据、内部管理数据及企业内部研发测试数据的处理。
of 10
免费下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论