2024年度北京地區電信和互聯網行業數據安全管理實施方案
為全面貫徹【工業和資訊化領域數據安全管理辦法(試行)】及【北京地區電信領域數據安全管理實施細則】,發揮電信和互聯網行業力量,助推北京建設全球數位經濟標桿城市,護航京津冀一體化協同發展,夯實首都經濟社會高品質發展安全基石,結合2024年度工業和資訊化領域數據安全工作重點及北京地區數據安全工作實際,制定本實施方案。
一、總體目標
以貫徹落實【北京地區電信領域數據安全管理實施細則】為抓手,組織開展北京地區電信和互聯網行業「三提升一示範」專項行動,著力加強北京地區數據安全風險治理能力、數據安全事件應急處置能力、數據安全管理能力,征集遴選行業數據安全管理和套用試點示範,持續鞏固和拓展2023年北京地區電信和互聯網行業數據安全「五個一」專項行動治理工作成果,推動完善數據安全治理體系、治理能力建設持續走深走實,為充分發揮數據要素價值、培育新質生產力貢獻力量,推動數據安全助推首都經濟社會高品質發展。
二、組織方式
北京市通訊管理局統籌推進數據安全管理工作,指導監督北京地區電信和互聯網行業重點企業落實落細數據安全管理各項要求,有序推進數據安全管理工作;結合數據安全管理工作需求遴選支撐單位,做好政策解讀、風險評估、標準研制、工具檢測等管理和技術支撐。
電信和互聯網企業應按照工作方案要求,強化數據安全主體責任意識,結合企業實際情況,抓好方案的實施落地。
三、重點任務
(一)持續推進數據安全風險治理能力提升
北京市通訊管理局將根據工業和資訊化部相關工作要求持續深化數據安全風險治理能力專項提升。一是推動數據安全風險評估制度全面落地實施。在2023年數據安全風險評估試點的基礎上,對名錄內已備案重要數據的企業全面部署風險評估工作要求,解讀數據安全風險評估制度要求和方法模型,嚴格開展評估報告備案稽核,敦促企業系統性、綜合性、全面性辨識數據安全風險,並針對性開展風險處置,有效防範化解重大風險。二是強化數據安全風險防控技術能力。督促企業築牢數據安全內防內控第一道防線,利用數據安全管理能力和相關技術手段,加強屬地數據安全風險資訊共享與監測預警。三是開展車聯網數據安全專項行動。面向北京地區智慧網聯汽車、車聯網平台企業開展數據安全風險防範能力專項提升,督促指導車聯網企業強化數據分類分級管理,落實數據安全風險評估、自動駕駛模型安全檢測、數據介面安全防護等管理要求。四是深入開展數據安全風險隱患排查與監督檢查。統籌基礎電信企業考核、「雙隨機一公開」「數安護航」專項行動等工作,科學設計風險排查與監督檢查方案,以「重點物件回頭看、重點要求督落實,熱點事件深入查」為原則,針對合作方管理、許可權管理、使用者數據使用安全、數據中心和雲業務安全、大模型數據安全等重點場景,采用現場檢查、遠端技術監測、隨機飛行檢查等多種檢查方式,全面排查數據安全風險問題,切斷風險源頭。
電信和互聯網企業應積極落實數據安全風險評估制度要求,全面、準確評估數據安全風險並及時落實整改;持續加強自身數據安全技術能力建設最佳化,健全完善內網側數據安全監測技術措施。聚焦合作方管理、許可權管理等突出風險環節提升風險防範能力,按要求開展風險評估及風險自查,形成風險評估及風險自查報告並按要求報送,針對發現的風險問題,加強風險防範和安全加固,完成風險閉環管理。
(二)全面助力數據安全事件應急處置能力提升
北京市通訊管理局將著力完善北京地區電信領域數據安全事件應急處置機制,持續提升數據安全事件綜合應對能力。一是出台屬地行業數據安全事件應急處置管理要求。按照工信領域數據安全事件應急處置相關要求,結合北京地區工作實際,制定【北京地區電信領域數據安全事件應急預案】,構建事件處置組織體系,明確細化事件定級規則、應急處理機制、應急響應流程、事後總結上報等管理要求,為推動北京地區數據安全應急處置工作制度化、規範化開展提供實施指引。二是組織數據安全事件應急演練試點工作。根據工業和資訊化部統一工作部署,以京津冀協同發展十周年為契機,聯合天津市、河北省通訊管理局,牽頭開展京津冀地區電信領域數據安全事件應急演練聯合行動,選取京津冀地區大型央企、互聯網數據中心等重點企業,針對典型事件場景,制定演練指令碼,開展應急演練試點;組織京津冀三地重點企業座談交流,互相借鑒優勢長處,共同學習交流經驗。
電信和互聯網企業應嚴格落實數據安全事件應急處置工作要求,制定企業數據安全事件應急預案並定期開展應急演練。試點企業按照我局有關工作部署積極參與試點工作,形成工作總結報送我局,並結合試點工作經驗不斷完善應急處置工作機制,提升應急處置能力。
(三)重點推進行業數據安全管理能力全面提升
北京市通訊管理局將持續提升行業數據安全保護意識與人員能力水平,助力全行業數據安全管理能力進一步提升。一是持續深化重點企業、重要數據安全管理。聚焦重點監管物件,動態更新重點企業名錄,及時擴充監管覆蓋範圍;督促企業嚴格落實數據辨識備案工作,從嚴開展重要數據和核心數據目錄稽核;督促企業落實數據分級保護要求,加強重要數據和大規模個人使用者數據安全保護。二是組織系列數據安全宣貫培訓。強化電信和互聯網行業數據安全管理、數據要素流通等相關政策檔、行業標準解讀與宣傳推廣,明確要求、統一思想,為行業數據安全管理工作的順利開展奠定良好基礎。三是大力開展數據安全人才隊伍建設。健全人才培養體系、加大人才培養力度、創新人才培養模式,組織開展首席數據官、數據安全管理師、評估師和工程師等緊缺崗位數據安全人才培養,持續性培育、強化、壯大北京地區數據安全人才隊伍。四是開展行業標準貫標達標工作。在前期重點企業數據安全監管推進的基礎上,面向外資企業、數據基礎制度先行區內重點企業開展【電信領域重要數據辨識指南】【電信領域數據安全風險評估規範】等重點行業標準貫標達標工作,加大行業數據安全監管覆蓋面,進一步提升行業數據安全保護水平,拉齊監管基線,消除監管死角。
電信和互聯網企業應主動落實數據安全保護責任要求,辨識重要數據並及時向我局備案,加強重要數據、大規模個人使用者數據安全保護。透過培訓明確政策管理要求,深化工作機制理解,掌握實踐操作規程,並積極組織參與數據安全專項培訓及行業競賽,提升數據安全關鍵崗位人員技能,增強全員數據安全風險意識。
(四)部署開展數據安全管理和套用試點示範
北京市通訊管理局堅持發展和安全並重,加大力度強化創新發展驅動,部署開展數據安全管理和套用試點示範工作,設定人才培養、風險評估、事件處置、先進技術產品套用、數據要素安全流通等多條賽道,遴選一批管理水平先進、技術能力突出、套用成效顯著的試點示範計畫,並鼓勵解決方案在各地方、各行業套用推廣,充分發揮試點示範帶頭作用。
電信和互聯網企業應堅持將數據安全理念融入業務發展全過程,在數位化轉型過程中堅持穩字當頭,積極參與優秀解決方案征集遴選,為行業提供可對標、可借鑒、可復制、可推廣的數據安全實踐案例。
四、工作要求
(一)提高政治站位加強組織領導
電信和互聯網企業應充分認清做好數據安全管理工作的重要作用和意義,加強組織領導,完善工作機制,明確職責分工,細化工作方案,跟蹤工作進度,認真抓好數據安全管理工作實施方案的落實,確保各項工作按時按質完成。
(二)強化工作部署推動工作落實
電信和互聯網企業應扛起主體責任,認真組織方案的學習宣貫,結合本單位實際制定切實可行工作計劃,確保數據安全管理工作高起點推進。各企業應根據自身數據安全管理工作特點,對標法律法規和政策標準,建立健全內部各項制度,數據安全管理責任部門牽頭做好本單位數據安全管理工作。
(三)做好資訊共享 增強協同聯動
電信和互聯網企業應積極總結工作經驗,做好重大事件、重要節點的資訊共享與上報,探索建立政企聯動、跨企協同工作機制,多方協作,共同推動北京地區電信和互聯網行業數據安全工作走深走實,構築數據安全首都防線。
