2023年7月,北京市通信管理局发布《北京地区电信领域数据安全管理实施细则》。
《细则》分成总则、基础性数据安全保护要求、数据全生命周期安全保护要求、支持与保障、附则,共三十条。
其中明显的变化,是针对各项要求提出了更明确、具体的细则要求。代表着监管方经过两年多的调研与实践,监管思路已经确定,可以预见的是,在不久的将来,市场将会迎来全面的监管检查,也会有一批知名企业出现在处罚名单中。
我们针对重点要求逐条展开解读:
第六条
电信领域数据处理者应当每年至少开展一次数据梳理工作,按照电信领域重要数据和核心数据识别标准识别重要数据和核心数据,相关工作开展情况按年度形成报告并报送北京市通信管理局,报告内容包括数据梳理工作开展情况、数据分类分级情况、数据分级防护措施等。
|
|
第七条
电信领域数据处理者应当按要求将识别出的重要数据和核心数据进行目录填报,并报北京市通信管理局备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
备案内容发生重大变化的,电信领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,重要数据或核心数据类别新增或减少,数据安全情况、责任主体信息发生变动,或者其他备案内容发生变化。
北京市通信管理局对备案信息完整性、重要数据和核心数据类别、级别、数据量等填报内容准确完备性进行审核,在电信领域数据处理者提交备案申请的二十个工作日内完成并反馈审核结果。备案未通过的申请人应当在收到反馈情况后的十五个工作日再次提交备案申请。
北京市通信管理局对重要数据和核心数据目录备案落实情况进行监督检查,电信领域数据处理者应当予以配合。
|
|
第八条
电信领域数据处理者应当根据实际工作需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理。
电信领域重要和核心数据处理者还应当建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,负责牵头内部数据安全管理工作,明确数据处理关键岗位和岗位职责,要并配备具备相应技能水平的专职人员,定期参与行业认可的数据安全考核与培训。
|
|
第十一条
电信领域数据处理者应定期开展数据安全审计,审计对象完整覆盖全部数据处理活动,审计发现问题需及时进行整改,并对审计及处置记录进行留存管理。
重要数据处理活动应至少每半年开展一次审计,核心数据处理活动应至少每季度开展一次审计。
|
|
第十四条
本条首次明确了涉及重要数据和核心数据相关处理活动的审计周期。对于一般数据活动的处理周期,一年一次即可。从审计对象上只是概括性的指出要覆盖全部数据处理活动,实操上可以参考中国信通院的DSMC技术规范中的7项审计内容。
重要数据和核心数据目录备案内容发生重大变化的,电信领域数据处理者应当在履行备案变更手续后及时启动风险评估,备案变更后三个月内向北京市通信管理局重新提交风险评估报告。
电信领域一般数据处理者应当自行或委托第三方评估机构,每年至少开展一次数据安全合规性评估,及时整改问题,并向北京市通信管理局报送评估报告。评估内容包括但不限于数据合规使用情况、数据安全保障措施配备情况与完善程度、合作方数据安全保护水平等。
|
|
第十五条
电信领域数据处理者应加强数据安全教育培训,鼓励企业通过积极参与本地区、本行业数据安全人才培养计划等方式,提升相关岗位人员数据安全保护意识和技能水平。
电信领域数据处理者应定期组织开展内部数据安全教育培训,培训内容涵盖数据安全法律法规、标准规范、管理制度和工作要求、知识技能、保护意识等,培训对象覆盖数据安全岗位人员,年度培训时长不小于30学时。
电信领域重要数据和核心数据处理者还应针对处理重要数据和核心数据的重点岗位人员定期开展教育培训,培训内容包括但不限于重要数据和核心数据安全管理要求、安全操作规程、风险评估规范等,年度培训时长不少于45学时。
|
|
第十六条
电信领域数据处理者应当加强对合作方管理,通过签订合同协议等方式,明确数据委托处理、数据处理系统开发运维等合作方数据安全责任和义务。涉及重要数据和核心数据的,应当对合作方的数据安全保护能力、资质进行核验。
|
|
数据全生命周期安全保护要求
支持与保障
附图:《北京地区电信领域数据安全管理实施细则》总结脑图
