GuidelinesforDataSecurityComplianceintheIndustrialandInformationTechnologyFields2024@目 錄工業和信息化領域數據安全合規建設概述 1數據安全合規建設目的 1數據安全合規建設依據 1適用范圍 2術語和定義 2數據分類分級 4數據調研 4數據梳理 4數據分類 4數據分級 5目錄報備 5目錄動態更新 6數據安全管理體系 7數據安全組織架構 7數據安全管理制度 10權限管理 10內部審批、登記 11系統與設備安全管理 11容災備份 12合作方管理 13日志管理 15監督檢查 16配合監管 17數據全生命周期保護 19數據收集 19數據存儲 20數據使用加工 20數據傳輸 21數據提供 22數據公開 23數據銷毀 23數據委托處理 24數據轉移 24其他事項 25數據安全風險監測預警、報告、處置 26數據安全風險監測預警 26數據安全風險信息報告 26數據安全風險處置 27數據安全事件應急處置 28制定應急預案 28開展應急演練 28數據安全事件報告 28應急響應 28先行處置 29總結上報 29數據安全事件告知 29數據安全風險評估 30組建評估團隊 30確定評估范圍 30制定評估方案 31實施風險評估 31形成評估報告 31評估時間及上報行業監管部門 32風險評估特殊場景 32數據出境安全管理 33數據出境安全評估 33訂立個人信息出境標準合同 36通過個人信息保護認證 36個人信息出境的注意事項 37數據出境的豁免情形 37遵守出口管制要求的合規義務 38境外執法或司法機構調取數據時合規義務 38數據交易 39工業和信息化領域數據安全合規建設概述標準，制定本指引。《中華人民共和國國家安全法》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》《促進和規范數據跨境流動規定》《數據出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規則》《工業和信息化領域數據安全管理辦法（試行）》《工業和信息化領域數據安全風險評估實施細則（試行）》《工業和信息化領域數據安全事件應急預案（試行）》《數據安全技術數據分類分級規則》《信息安全技術信息系統密碼應用基本要求》《工業領域重要數據識別指南》《工業企業數據安全防護要求》《工業領域數據安全風險評估規范》《電信領域重要數據識別指南》《電信領域數據安全分級保護要求》《電信領域數據安全風險評估規范》工業和信息化領域數據處理者可參照本指引開展數據處理活動全生命周期網企業，以及無線電頻率、臺（站）使用單位等工業和信息化領域各類主體。落實數據安全責任義務。重要數據核心數據公共健康和安全造成嚴重危害的數據。一般數據核心數據、重要數據之外的其他數據。重要數據和核心數據處理者數據處理活動中自主決定重要數據和核心數據處理目的、處理方式的主體。一般數據處理者數據處理活動中自主決定一般數據處理目的、處理方式的主體。行業監管部門本地區本領域的工業和信息化主管部門、通信管理局和無線電管理機構，統稱為地方行業監管部門。工業和信息化部及地方行業監管部門統稱為行業監管部門。工業數據工業領域各行業企業在研發設計、生產制造、經營管理、運行維護、平臺運營等過程中產生和收集的數據。電信數據電信和互聯網企業在經營活動中產生和收集的數據。數據分類分級明晰數據安全保護薄弱環節，為進一步做好數據安全工作提出工作舉措。境情況、共享應用情況等內容，詳見附件。（括職能部門和業務部門面、系統梳理數據。動態管理。按所屬行業要求、特點、業務需求、數據來源和用途等，對數據進行分類，具體可采取“所屬行業——業務領域——業務特點（屬性）——細化業務特點（屬性）”的分類方式制定數據分類規則：工業領域可分為研發數據域（研發設計數據、開發測試數據等）（（（與其他主體共享的數據等）等。電信數據分類可分為網絡規劃運維數據域（維護等障等（共利益的非公開統計數據等（涉及電信領域出口管制物可結合自身業務特點進一步細化三、四級數據分類。工業和信息化領域數據分為一般數據、重要數據和核心數據三級，具體數據分級步驟如下：重要數據識別6要數據識別指南》。領域重要數據識別指南》。核心數據識別核心數據識別由行業監管部門審核確定。一般數據識別結合本單位業務情況及業務經營管理需求，可對一般數據進行進一步細化分級。全情況等信息。8月30善目錄后重新報備，或者重新開展重要數據識別和目錄報送工作。根據地方行業監管部門審核認定的重要數據目錄，按要求開展保護。變更手續，更新目錄備案表，說明具體情況。（條目數量或者存儲總量變化以上。述、數據安全風險評估情況、數據安全負責人等。銷毀、轉移重要數據和核心數據。規范性。數據安全管理體系一般數據處理者（1）配備數據安全管理責任部門識等的專職或兼職數據安全管理人員。數據安全管理責任部門負責統籌本單位數據處理活動的安全監督管理，可獨立設置，也可結合實際情況由職責相近的有關部門負責，主要承擔以下職責：檢查。為單位內相關職能部門提供數據安全咨詢與支持。及時向管理層報告數據安全重大風險和數據安全工作落實情況。對行業監管部門開展監管執法工作予以積極配合。與其他數據所屬部門協同，確保數據安全管理工作的全面性與有效性。（2）開展數據安全教育與培訓定期組織或協助相關部門開展數據安全培訓，每年至少開展一次。時長、考核要求等。客戶服務等人員。等。重要數據和核心數據處理者明確領導責任本單位法定代表人或者主要負責人是數據安全第一責任人，領導團隊中分管數據安全的成員是直接責任人。數據安全第一責任人主要負責單位內數據安全管理制度的構建和運行，提供必要的資源保障和條件支持，牽頭特別重大數據安全事件應急處置等。數據安全直接責任人主要負責：確立符合本單位戰略方向的數據安全方針和目標。保障數據安全管理責任部門具備獨立履行職責的能力與權限。審批單位內重大數據安全合規事項。確保將數據安全管理要求融入單位內的業務過程。解決數據安全工作中的關鍵問題，確保本單位數據安全工作順利進行。確保建立有效的數據安全違規舉報與懲處機制。建立數據安全工作架構數據安全管理責任部門主要負責：統籌實施數據安全管理工作，并對數據安全管理情況進行評估與檢查。展調查。據安全咨詢與支持。向數據安全直接責任人報告數據安全重大風險和相關工作落實情況。對行業監管部門開展監管執法工作予以積極配合。與其他數據所屬部門協同，確保數據安全管理工作的全面性與有效性。職責如下：理活動的全生命周期要求和具體工作機制。確保本部門員工遵守數據安全制度規范，履行數據安全義務。配合數據安全責任部門開展監督檢查、風險評估、整改等各項工作。措施。及時向數據安全管理責任部門報告，并配合采取應急處置和整改措施。設置關鍵崗位和職責將處理重要數據和核心數據的操作人員，關鍵業務系統、平臺管理人員（如負責審批重要數據和核心數據對外等設定為關鍵崗位，明確崗位職責。安全崗位職責、義務、處罰措施、注意事項等內容。責任義務。開展數據安全教育與培訓可在滿足3.1.1要求的基礎上，對培訓內容、頻率、時長、考核要求等進行強化。開展背景調查若單位內掌握行業監管部門規定的特定種類、規模重要數據，需對數據安全第一負責人、數據安全直接責任人和關鍵崗位的人員開展安全背景審查。息保護管理、合作方管理等有關要求。化重要數據與核心數據的安全保障。一般數據處理者為。操作權限。建立并定期更新權限分配情況臺賬，確保權限到人。保超級管理員權限賬號存在的必要性。重要數據和核心數據處理者在滿足3.3.1的基礎上，做好以下工作：配備賬號管理保障功能，如限制非正常登錄次數、登錄連接超時自動沉默賬號、失效賬號定期檢測關閉等措施。合同時，及時變更或終止其數據處理權限。改。一般數據處理者根據業務經營需求，可參照重要數據和核心數據處理者要求建設應用。重要數據和核心數據處理者針對重要數據和核心數據對外提供、委托處理、轉移、銷毀、公開、明確重要數據和核心數據訪問處理單次授權、多人審批和行為審計等要求和登倒掛情形。一般數據處理者采集系統進行安全配置，建立安全配置清單，定期進行配置審計。認口令或弱口令，定期更新口令，禁止賬號共享。技術，防范勒索病毒等造成的數據破壞攻擊行為。HTTPFTPTelnet、RDP重要數據和核心數據處理者在滿足3.5.1的基礎上，做好以下工作：多因子身份鑒別、口令復雜度策略、賬號鎖定策略等安全措施。等防護設備設置合理的隔離方式，包括物理隔離、邏輯隔離等。對關鍵業務系統的開發、測試和生產環境進行邏輯或物理隔離。核心數據的系統依照關鍵信息基礎設施安全保護有關規定從嚴保護。一般數據處理者根據業務經營需求，可參照重要數據和核心數據處理者要求建設應用。重要數據和核心數據處理者數據安全管理責任部門組織數據所屬部門明確重要數據和核心數據的（時切換并恢復數據。數據所屬部門按照備份策略，對重要數據和核心數據分別開展備份。與檢查。成測試報告，留存相關記錄。本單位向合作方提供重要數據或核心數據開展合規性與必要性評估法、正當、必要。審核合作方保護能力審核內容包括數據安全風險評估結果、數據安全制度設置和日常管理（企業管理制度建立情況、管理落實機制建設情況、相關工作記錄等）、技術手段應用（數據保護、風險監測等技術手段能力說明、建設規范、應用截圖）等。請技術專家、第三方咨詢機構等參與、指導審核工作。若數據接收方為境外相關組織機構，按照本指引第8章進行管理。簽訂數據安全協議通過簽訂合同協議等方式明確不同類型數據提供的安全保護方式以及雙方數據安全責任和義務。數據安全協議可參考下述內容：圍、數據安全保護要求等。要求，不將加工后的數據還原成原始數據。（符合最小化原則等。履行保密義務。合作結束后，要求合作方及時銷毀數據。停合作，進行整改。整改未完成前，不開展數據合作。的安全監控和審計等，對履行義務情況進行監督。人員管理根據崗位職責對合作方人員設置相應的平臺系統、物理設施訪問權限。權限的合作人員進行背景審查和保密審查。建立管理臺賬收方是否發生過數據安全事件等，加強對合作方數據使用情況的監督管理。本單位從合作方接收重要數據或核心數據數據合規性審核交易記錄，確保數據的真實性、有效性、安全性，避免收集不明來源的數據。落實數據安全保護根據數據安全協議或數據轉移方案在相關服務履約過程中履行數據安全保護責任，按照數據級別落實防護要求。配合合作方開展數據提供前的數據保護能力評估與審核、數據提供中的數據安全保護情況的監督檢查等工作。若發生數據安全事件或發現重大數據安全風險，第一時間向合作方報告，并立刻采取處置措施，消減危害影響。一般數據處理者IP地址、登錄信息等，能夠對識別和追溯數據操作和訪問行為提供支撐。6的問題進行處理，形成閉環管理。重要數據和核心數據處理者在滿足3.8.1的基礎上，做好以下工作：對日志訪問和處理加強管理。對高風險操作（如批量復制、批量傳輸、批量銷毀等操作）備份和完整性校驗，保障日志文件的可用性和真實性。安全審計平臺等方式實現審計功能。留存時間不少于1息的，相關日志留存時間不少于3年；涉及核心數據安全、事件處置、溯源相關日志留存時間不少于3年。露、篡改。化。監督檢查工作機制義務落實情況的監督、檢查、核查、督促、整改等工作。可于每年年初結合上一年監督檢查情況，制定本年度監督檢查計劃。可按照每年至少一次的頻率，組織相關部門開展監督檢查。督檢查。監督檢查內容和核心數據是否發生變更等。數據安全教育培訓情況，如是否按照制度要求完成教育培訓，覆蓋人員、培訓內容、培訓時長和頻率等是否符合有關要求。（份與恢復等技術能力和措施是否落實到位）。和核心數據實現安全風險監測、數據安全事件溯源、數據公網暴露等。力。措施。數據合作情況，如是否明確數據共享涉及機構或部門的相關職責和權其他監督檢查內容。監督檢查問題處置與被檢查對象溝通確認數據安全監督檢查中發現的問題并簽字。況。對接人員。信息，安全開放相關數據訪問、提供必要技術支持等。采取有效措施減輕、消除危害影響。數據全生命周期保護處于有效保護和合法利用的狀態。一般數據采取合法、正當的方式收集數據。數據收集過程中，可結合具體管理、業務場景，制定數據收集規則，避免收集不明來源的數據。的、使用方式、使用范圍，告知用戶并得到授權。重要數據和核心數據在滿足4.1.1的基礎上，做好以下工作：采取技術監測、簽署安全協議、賬號權限管控、監督檢查、安全審計時間、類型、數量、頻度、流向等進行記錄。的網絡攻擊。要數據和核心數據，明確雙方法律責任。在發生產品或服務停止運營、用戶終止服務等情況時，立即停止對相一般數據鑒別和訪問控制。避免存儲數據被泄露、篡改或破壞。依據業務需要制定數據備份策略，按需要定期開展數據備份。重要數據和核心數據在滿足4.2.1的基礎上，做好以下工作：障措施等要求。涉及容災備份的，可參考“3.6對存儲重要數據和核心數據的數據載體，采用校驗技術、密碼技術等相關措施進行安全存儲，如對稱密碼算法或密碼雜湊算法的消息鑒別碼對重要數據和核心數據存儲載體進行安全管理，確保存放在安全環境標記和銷毀等情況和相應審批記錄，并定期盤點。一般數據數據使用加工應遵循合理必要原則，制定數據使用加工管理要求、安利用數據進行自動化決策的，保證決策的透明度和結果公平合理。重要數據和核心數據在滿足4.3.1的基礎上，做好以下工作：并遵循最小化訪問原則。行為。進行處理。對加工使用中產生的過程性數據做好防護。一般數據類型、級別和應用場景，制定安全策略、采取保護措施，建立安全傳輸信道。統間接口和設備的認證鑒權能力，未通過認證鑒權的設備禁止接入。重要數據和核心數據在滿足4.4.1的基礎上，做好以下工作：數據的傳輸安全。可優先使用國產商用密碼算法。配的數據傳輸加密要求（如數據加密、數據簽名、散列等）。對傳輸接口管理和技術管控措施部署情況進行梳理，形成接口梳理情一般數據供基本安全策略，確認沒有超出需求和授權范圍的數據。安全。重要數據和核心數據在滿足4.5.1的基礎上，做好以下工作：據脫敏等。網絡出口和數據，加強網絡邊界的身份認證和訪問控制。一般數據家安全、公共利益產生影響的數據不得公開。組織開展風險評估，研判可能存在的安全風險。重要數據和核心數據在滿足4.6.1的基礎上，做好以下工作：等技術，確保重要數據公開安全。安全風險時，第一時間進行刪除，并采取相關有效措施消除危害影響。一般數據建立數據銷毀操作規程，明確銷毀對象、規則、流程技術等要求。（）進行記錄。重要數據和核心數據在滿足4.7.1的基礎上，做好以下工作：色，負責監督銷毀操作過程，確保數據銷毀流程合規。使用物理銷毀等方法，確保重要數據和核心數據銷毀后無法恢復。引起備案內容發生變化的，履行備案變更手續。一般數據明確數據委托處理范圍、所涉數據類別級別、條件、程序等，并明確委托方與受托方的數據安全責任和義務。重要數據和核心數據在滿足4.8.1的基礎上，做好以下工作：務。一般數據（轉移數據涉及個人信息的，事先向用戶告知接收方的名稱或者姓名和經過處理無法識別特定個人且不能復原的除外。重要數據和核心數據在滿足4.9.1的基礎上，做好以下工作：轉移重要、核心數據引起備案內容發生變化的，履行備案變更手續。（SDK）及可能引起數據泄露等安全事件的行為，并留存第三方接入日志記錄。數據安全風險監測預警、報告、處置一般數據法訪問、流量異常、數據違規出境等。密切關注工業和信息化領域數據安全風險信息報送與共享平臺通報的可根據相關預警信息設置差異化告警級別，匹配對應的告警提醒方式（安全審計員等。重要數據和核心數據在滿足5.1.1的基礎上，做好以下工作：建設數據風險監測預警能力，確保相關能力覆蓋涉及操作處理重要數IP地址訪問、數據庫異常連接（如在設定IP）等。并實現異常行為的可溯源。息化領域數據安全事件應急預案（試行）》。將可能造成重大及以上安全事件的風險及時向地方行業監管部門報告。圍等。的處置和懲戒措施，并對存在風險隱患的環節進行加固防護。況、下一步工作考慮等。數據安全事件應急處置根據應對數據安全事件的需要，制定本單位數據安全應急預案。針策略、人員職責、具體措施、流程規范、物資保障等內容。員熟練掌握應急管理的內容與流程。積極參與行業監管部門組織的應急演練。者涉及重要數據和核心數據的，立即如實向地方行業監管部門報告。行）》。當收到紅色預警（特別重大事件）時，應啟動I級響應。立即進入緊當收到橙色預警（重大事件）時，應啟動II級響應。立即啟動相應數進展和處置情況。（較大事件時，應啟動III處置情況。（一般事件時，應啟動IV恢復或追溯工作，盡可能減少對用戶和社會影響，同時保存相關痕跡和證據。應急處置工作的經驗教訓，提出處理意見和改進措施，并在應急工作結束后個工作日內形成總結報告，報地方行業監管部門。失，總結事件防范和應急處置工作的經驗教訓，提出處理意見和改進措施。數據安全事件對個人、組織造成實質性危害的，及時以電話、短信、無法逐一告知的，可采取公告方式告知。數據安全風險評估開展自評估保障、安全合規等人員組成的評估團隊。評估團隊原則上具備不少于5144估結論、編寫評估報告等。委托第三方評估機構開展評估工作，保障數據處理者的安全生產運行和數據安全。與被委托機構共同組建評估團隊，確定評估團隊組長和團隊成員。指定本單位至少1單位相應資源、對第三方評估機構相應工作進行管理和監督。數據類別（二級子類），且數據載體避免重復。評估團隊可根據實際需要制定風險評估工作方案。保障評估的可行性。使用的評估工具情況、保障條件等。評估團隊首先進行數據處理活動分析，明確評估范圍內數據處理活動涉及的接收方及數據載體情況等。開展合規性評估，包括正當必要性評估、基礎性安全評估和數據全生《電信領域數據安全風險評估規范》。（分為極高、高、中、低四個等級形成評估結論。或問題進行整改或改進，并對整改措施的有效性進行復核。完成實施風險評估后，經協商一致，根據評估結論形成評估報告。（包含面臨的數據安全風險及其應對措施等論及應對措施等。評估。重要數據和核心數據發生重大變更時，及時開展數據安全風險評估。工業和信息化領域重要數據和核心數據處理者于每年12月底前向地風險評估。理者可以開展風險評估。數據出境安全管理數據出境活動。申報數據出境安全評估的情形關鍵信息基礎設施運營者向境外提供個人信息或者重要數據。關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據。關鍵信息基礎設施運營者以外的數據處理者自當年1月1境外提供100萬人以上1個人信息（不含敏感個人信息）。關鍵信息基礎設施運營者以外的數據處理者自當年1月1境外提供1萬人以上敏感個人信息。國家網信部門規定的其他需要申報數據出境安全評估的情形。申報數據出境安全評估的流程重要數據識別報備按照本指引“2數據分類分級”相關要求，識別、申報重要數據，準確界定需要出境的重要數據范疇。事前評估向境外提供數據前，首先開展數據出境風險自評估，并形成數據出境自評估1本指引所指“以上”均含本數。報告。重點評估以下事項：性、必要性。公共利益、個人或者組織合法權益帶來的風險。能力等能否保障出境數據的安全。取、非法利用等風險，個人信息權益維護的渠道是否通暢等。等是否充分約定了數據安全保護責任義務。其他可能影響數據出境安全的事項。申報評估根據《數據出境安全評估申報指南（第二版）安全評估的，采取線下申報流程。接收方擬訂立的法律文件、安全評估工作需要的其他材料。因申報材料不齊全被退回的，進行補充、更正申報材料。重新評估通過數據出境安全評估的結果有效期為3年，自評估結果出具之日起計算。在有效期內出現以下情形之一的，重新申報評估。期限的。變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的。出現影響出境數據安全的其他情形重新申報數據出境安全評估。終止出境管理要求的，在收到國家網信部門書面通知后，終止數據出境活動。估。需要明確的數據安全保護責任義務與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：式等。法律文件終止后出境數據的處理措施。對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求。情形導致難以保障數據安全時，采取的安全措施。解決方式。和方式。通過數據出境安全評估的結果有效期未發生需要重新申報數據出境安全評估情形的，在有效期屆滿前60通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。3訂立個人信息出境標準合同的情形關鍵信息基礎設施運營者以外的數據處理者自當年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關鍵信息基礎設施運營者以外的數據處理者自當年1月1向境外提供不滿1萬人敏感個人信息的。訂立個人信息出境標準合同的流程開展個人信息保護影響評估并訂立合同材料提交在標準合同生效之日起10個工作日內，通過數據出境申報系統開展個人信息出境標準合同備案。材料查驗及反饋備案結果收到省級網信辦發放的備案編號后，根據需要在10個工作日內提交補充完善材料。逾期視為終止本次備案程序。通過個人信息保護認證的情形關鍵信息基礎設施運營者以外的數據處理者自當年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關鍵信息基礎設施運營者以外的數據處理者自當年1月1向境外提供不滿1萬人敏感個人信息的。通過個人信息保護認證的流程提交認證委托資料認證委托書、相關證明文檔等。結果反饋的，將獲得認證證書。個人信息出境場景下的告知同意要求個人信息出境場景下的個人信息保護影響評估處理情況進行記錄。個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；3通過個人信息保護認證：中收集和