为贯彻落实党中央、国务院关于“筑牢可信可控的数字安全屏障,增强数据安全保障能力”相关工作要求,根据《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,紧密围绕工业和信息化部2023年数据安全管理重点工作部署,结合北京地区电信和互联网产业高度发达,重点企业、重要数据聚集效应明显,安全风险复杂多样等数据安全管理工作特点,特制定《2023年度北京地区电信和互联网行业数据安全管理工作实施方案》,筑牢北京地区电信和互联网行业数据安全底线,防范重大数据安全风险,护航数字中国建设。
一、总体目标
坚持聚焦重点、全面提升,以重点企业、重要数据、重大风险为主要目标,以宣贯培训、监督检查、风险评估、正向激励为核心举措,重点推进“发布一个细则、组织一场培训、推动一项实践、开展一次检查、评选一批标杆”的北京地区电信和互联网行业数据安全管理“五个一”专项行动,全面提升企业数据安全管理意识,压实企业数据安全管理责任,及时评估发现数据安全风险隐患,形成数据安全管理工作正向循环,打造首都数据安全治理标杆。
二、组织方式
北京市通信管理局统筹推进数据安全管理工作,指导监督北京地区电信和互联网行业重点企业落实落细数据安全管理各项要求,有序推进数据安全管理工作;结合数据安全管理工作需求遴选支撑单位,做好政策解读、风险评估、标准研制、工具检测等管理和技术支撑。
电信和互联网企业应按照工作方案要求,结合企业实际情况,抓好方案的实施落地。
三、重点任务
(一)制定发布数据安全管理工作实施细则
北京市通信管理局在充分调研掌握北京地区电信和互联网企业业务发展现状的基础上,结合北京地区电信领域数据安全管理工作需求,制定发布《北京地区电信和互联网行业数据安全管理工作实施细则》,细化明确任务要求、工作流程、实施方法以及考核指标等,规范指引企业落实数据安全保护责任义务,提升数据安全保障水平,防范数据安全重大风险,为助力北京建设全球数字经济标杆城市提供基础支撑。
(二)组织数据安全宣贯培训
北京市通信管理局以宣贯《工业和信息化领域数据安全管理办法(试行)》为主线,以明晰重点工作任务为指引,组织数据安全宣贯培训,为各项工作的顺利开展奠定坚实基础。
电信和互联网企业应通过培训明确政策管理要求,深化工作机制理解,掌握实践操作规程,并在此基础上组织企业内部数据安全培训,提升数据安全关键岗位人员技能,增强全员数据安全风险意识。
(三)推动数据安全风险评估
北京市通信管理局将按照工业和信息化部统一部署,组织开展北京地区数据安全风险评估。一是组织完成数据安全风险评估试点,积累工作经验,为风险评估工作全面落地做好管理制度、工作机制、专业人员等各方面储备。二是开展常态化数据安全风险评估管理,持续遴选业务规模大、数据敏感度高的企业纳入重点企业名录,指导名录内企业按要求开展数据安全风险评估。
电信和互联网企业应落实风险评估主体责任,重要和核心数据处理者应自行或委托第三方评估机构每年至少开展一次数据安全风险评估,对评估中发现的数据安全风险隐患,及时采取相关措施,并于每年11月底前向北京市通信管理局报送评估报告。
(四)开展数据安全管理监督检查
北京市通信管理局将根据工业和信息化部相关工作要求开展监督检查。一是结合北京地区数据安全管理监管实际,制定发布属地数据安全风险排查手册与监督检查要点,规范指引安全风险自查与主管部门监督检查。二是强化“以技管数”,组织技术支撑单位通过远程检测、现场检查等手段对风险排查和防范等情况进行核查,加强风险验证与通报处置。
电信和互联网企业应按照风险排查手册开展风险自查,形成自查报告并按要求报送,针对自查发现的风险问题,加强风险防范和安全加固,完成风险闭环管理。
(五)评选优秀案例和人才标杆
北京市通信管理局将加大力度强化正向激励,激活企业内生动力。一是组织优秀案例评选,设置数据安全风险评估试点、数据安全管理人才岗位建设与技能提升、数据安全监测创新技术攻关与应用实践、新兴技术数据安全领域应用等赛道,遴选在上述工作中表现突出企业,通报典型案例。二是组织数据安全技能竞赛,结合第五届信息通信行业网络安全技能大赛赛制设计,加入数据安全竞赛元素,“以赛促建”激发优秀人才创造力,发现、挖掘和储备高素质数据安全实战人才。
电信和互联网企业应发挥资源、人才、技术优势,在数据安全风险评估、人才队伍建设、监测创新技术攻关、新技术应用等方面积极提供优秀解决方案,为行业提供可对标、可借鉴、可复制、可推广的数据安全实践案例并积极组织参与数据安全技能赛道,选拔高素质数据安全专项人才。
四、工作要求
(一)提高政治站位,加强组织领导。电信和互联网企业应充分认清做好数据安全管理工作的重要作用和意义,加强组织领导,完善工作机制,明确职责分工,细化工作方案,跟踪工作进度,认真抓好数据安全管理工作实施方案的落实,确保各项工作按时按质完成。
(二)强化工作部署,推动工作落实。电信和互联网企业应扛起主体责任,认真组织方案的学习宣贯,结合本单位实际制定切实可行方案,确保数据安全管理工作高起点推进。各企业应根据自身数据安全管理工作特点,对标法律法规和政策标准,建立健全内部各项制度,数据安全管理责任部门牵头做好本单位数据安全管理工作。
(三)畅通交流渠道,筑牢安全屏障。电信和互联网企业应及时梳理总结数据安全管理工作进展情况,如有重要动态、重大事件及时将情况报送北京市通信管理局,并进一步加大政企协同、企业协同,强化数据安全风险意识,促进数据安全理念持续深入人心,共同筑牢数据安全屏障。
相关阅读:
北京市通信管理局召开北京地区行业数据安全管理工作专题会暨数据安全评估试点培训会

