第三章 数据全生命周期安全管理
时间:2022-03-25 00:36:01 | 来源:行业动态
时间:2022-03-25 00:36:01 来源:行业动态
第十三条【主体责任】工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的, 应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展工作;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)根据应对数据安全事件的需要,制定应急预案, 并定期进行演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规等规定的其他措施。
工业和信息化领域重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系, 明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书;
(三)建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
第十四条【数据收集】工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理, 并对收集时间、类型、数量、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十五条【数据存储】工业和信息化领域数据处理者应当依据法律规定或者与用户约定的方式和期限存储数据。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共信息网络访问,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。存储核心数据的,还应当实施异地容灾备份。
第十六条【数据使用加工】工业和信息化领域数据处理者利用数据进行自动化决策分析的,应当保证决策分析的透明度和结果公平合理。使用、加工重要数据和核心数据的, 还应当加强访问控制。
工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
第十七条【数据传输】工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。第十八条【数据提供】工业和信息化领域数据处理者提供数据,应当明确提供的范围、类别、条件、程序等,并与数据获取方签订数据安全协议。提供重要数据和核心数据的,应当对数据获取方数据安全保护能力进行评估或核实, 采取必要的安全保护措施。
第十九条【数据公开】工业和信息化领域数据处理者应当在数据公开前分析研判可能对公共利益、国家安全产生的影响,存在重大影响的不得公开。
第二十条【数据销毁】工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织依据法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。
销毁重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案,不得以任何理由、任何方式对销毁数据进行恢复。
第二十一条【数据出境】工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据, 法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
第二十二条【数据转移】工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)
或无线电管理机构(无线电领域)更新备案。
第二十三条【委托处理】工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与被委托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对被委托方的数据安全保护能力、资质进行评估或核实。
除法律、行政法规等另有规定外,未经委托方同意,被委托方不得将数据提供给第三方。
第二十四条【核心数据跨主体处理】跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施,并经由地方工业和信息化主管部门(工业领域) 或通信管理局(电信领域)或无线电管理机构(无线电领域) 报工业和信息化部。工业和信息化部按照有关规定进行审 查。
第二十五条【日志留存】工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。