工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》

2019-07-01 16:34:40 来源:上海证券报·中国证券网 作者:

  上证报中国证券网讯 据工业和信息化部7月1日消息,近年来,随着国家大数据发展战略加快实施,大数据技术创新与应用日趋活跃,产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据,成为数字经济发展的关键生产要素。与此同时,数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显,做好电信和互联网行业(以下简称行业)网络数据安全管理尤为迫切。为积极应对新形势新情况新问题,全面提升行业网络数据安全保护能力,制定本方案。

  主要内容如下:

  工作目标

  (一)通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。

  (二)基本建立行业网络数据安全保障体系。网络数据安全制度标准体系进一步完善,形成行业网络数据保护目录,制定15项以上行业网络数据安全标准规范,贯标试点企业不少于20家;行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目不少于30个;基础电信企业和重点互联网企业网络数据安全管理体系有效建立。

  重点任务

  (一)加快完善网络数据安全制度标准

  1.强化网络数据安全管理制度设计。梳理对标《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度。部署电信和互联网企业按照法律法规要求,开展数据安全管理对标工作,健全完善企业内部网络数据全生命周期安全管理制度。

  2.完善网络数据安全标准体系。推动出台行业《网络数据安全标准体系建设指南》,加快完善行业网络数据安全标准体系。制定出台行业重要数据识别指南、网络数据安全防护等重点标准,遴选企业开展贯标试点。指导中国通信标准化协会成立网络数据安全标准专项工作组,加快推动网络数据安全相关标准制定工作。

  (二)开展合规性评估和专项治理

  3.开展网络数据安全风险评估。出台网络数据安全合规性评估要点,依托互联网新技术新业务安全评估机制,部署基础电信企业(含专业公司)和重点互联网企业结合重点业务类型和场景,开展网络数据安全合规性自评估工作,提升企业网络数据安全风险防范能力。针对物联网、车联网、卫星互联网、人工智能等新技术新应用带来的重大互联网数据安全问题,及时开展行业评估和跨部门联合评估工作。

  4.深化App违法违规专项治理。持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光。组织开展应用商店安全责任专项部署,督促应用商店落实App运营者真实身份信息验证、应用程序安全检测、违法违规App下架等责任。创新工作模式,引导鼓励第三方机构开展App数据安全管理认证,探索推动应用商店等明确标识并优先推荐通过认证的App。

  5.强化网络数据安全监督执法。将企业网络数据安全责任落实情况、数据安全合规性评估落实情况作为重点内容,纳入2019年网络信息安全“双随机一公开”检查和基础电信企业网络与信息安全责任考核检查,采取远程测试、实地检查等方式开展监督检查,督促问题整改。持续开展数据泄露等网络数据安全和用户信息安全事件监测跟踪与执法调查,对违法违规行为及时采取约谈、公开曝光、行政处罚等措施,将处罚结果纳入电信业务经营不良名单或失信名单。

  (三)强化行业网络数据安全管理

  6.稳步实施网络数据资源“清单式”管理。开展电信和重点互联网企业网络数据资源调研摸底,依据网络数据重要敏感程度和泄露滥用可能造成的危害,研究形成行业网络数据保护目录,并选取重点企业开展试点应用。指导督促试点企业建立内部网络数据清单和数据分类分级管理制度,对列入目录的网络数据实施重点保护。

  7.明确企业网络数据安全职能部门。指导电信和重点互联网企业加强内部网络数据安全组织保障,推动设立或明确网络数据安全管理责任部门和专职人员,负责承担企业内部网络数据安全管理工作,督促协调企业内部各相关主体和环节严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施,组织开展数据安全岗位人员法律法规、知识技能等培训。

  8.强化网络数据对外合作安全管理。落实《工业和信息化部关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知》等相关管理要求,督促企业定期开展网络数据对外合作业务专项排查,及时发现问题消除隐患。研究明确利用行业网络数据进行大数据开发应用的数据安全管理要求,督促企业开展合作方数据安全保障能力动态评估,充分依托合同约束、信用管理等手段强化合作方管理,切实提升网络数据共享安全管理水平。

  9.加强行业网络数据安全应急管理。落实工业和信息化部相关应急预案要求,指导企业进一步健全完善企业网络数据安全事件应急处置机制,开展应急演练,落实重大网络数据安全事件报告、调查追责、向社会公告等要求。

  (四)创新推动网络数据安全技术防护能力建设

  10.加强网络数据安全技术手段建设。加快建设行业网络数据安全管理和技术支撑平台,支撑开展行业数据备案管理、事件通报、溯源核查、技术检测和安全认证等工作,提升网络数据安全监管技术支撑保障能力。指导企业加大网络数据安全技术投入,加快完善数据防攻击、防窃取、防泄漏、数据备份和恢复等安全技术保障措施,提升企业网络数据安全保障能力。

  11.推动网络数据安全技术创新发展。推动成立大数据安全联盟,打造网络数据安全技术交流、联合攻关和试点应用平台。组织开展网络数据安全技术最佳实践案例征集和试点示范项目评选,加大技术研发、成果转化和解决方案的支持力度,促进网络数据安全先进技术创新和产品服务应用推广。制定发布网络数据安全产业发展白皮书。

  12.加强专业支撑队伍建设。成立行业网络数据安全专家委员会,为网络数据安全政策标准制定、关键技术研究、重大网络数据安全风险评估、网络数据安全示范项目评审等提供决策支撑。委托中国信息通信研究院、中国电子信息产业发展研究院、中国电子技术标准化研究院、中国互联网协会、中国通信标准化协会等单位开展面向行业的网络数据安全法律法规和政策标准宣贯、技能培训和测试检查。

  (五)强化社会监督和宣传交流

  13.强化社会监督和行业自律。依托中国互联网协会12321网络不良与垃圾信息举报受理中心,建立网络数据违法违规行为举报平台,及时受理用户投诉举报。强化行业自律,指导中国互联网协会联合基础电信企业、重点互联网企业、第三方机构等签署网络数据安全自律公约,引导企业自觉履行数据安全保护义务,努力提高数据安全保护水平。

  14.加强宣传展示和国际交流。充分利用中国互联网大会、中国国际大数据产业博览会、国家网络安全宣传周等,指导相关单位举办网络数据安全论坛,开展网络数据安全主题宣传日等活动,促进网络数据安全管理和技术经验交流,提升全行业数据安全意识。加强数据安全国际交流合作,利用世界互联网大会、中欧数字经济与网络安全会议等,积极开展数据安全管理经验交流和信息共享。