附件1 工业和信息化领域数据安全管理办法(试行) (征求意见稿) 第一章 总则 第一条【目的依据】为了规范工业和信息化领域数据处 理活动,加强数据安全管理,保障数据安全,促进数据开发 利用,保护个人、组织的合法权益,维护国家安全和发展利 益,根据《中华人民共和国民法典》《中华人民共和国数据 安全法》《中华人民共和国网络安全法》等法律法规,制定 本办法。 第二条【适用范围】在中华人民共和国境内开展的工业 和电信数据处理活动及其安全监管,应当遵守相关法律、行 政法规和本办法的要求。 第三条【数据定义】工业数据是指原材料工业、装备工 业、消费品工业、电子信息制造业、软件和信息技术服务业、 民爆等行业领域,在研发设计、生产制造、经营管理、运维 服务、平台运营、应用服务等过程中收集和产生的数据。 电信数据是指在电信业务经营活动中收集和产生的数 据。 工业和电信数据处理者是指对工业、电信数据进行收 — 1 — 集、存储、使用、加工、传输、提供、公开等数据处理活动 的工业企业、软件和信息技术服务企业和取得电信业务经营 许可证的电信业务经营者等工业和信息化领域各类主体。 第四条【监管机构】工业和信息化部负责对工业和电信 数据处理者的数据处理活动和安全保护进行监督管理。各 省、自治区、直辖市及计划单列市、新疆生产建设兵团工业 和信息化主管部门(以下统称地方工业和信息化主管部门) 负责对本地区工业数据处理者的数据处理活动和安全保护 进行监督管理。各省、自治区、直辖市通信管理局(以下统 称地方通信管理局)负责对本地区电信数据处理者的数据处 理活动和安全保护进行监督管理。 工业和信息化部及地方工业和信息化主管部门、通信管 理局统称为行业监管部门。 第五条【产业发展】行业监管部门鼓励数据开发利用和 数据安全技术研究,支持推广数据安全产品和服务,培育数 据安全企业、研究和服务机构,壮大数据安全产业,提升数 据安全保障能力,促进数据的创新应用。 工业和电信数据处理者研发提供数据开发利用新技术、 新产品、新服务,应当有利于促进经济社会和行业发展,符 合社会公德和伦理。 第六条【标准制定】行业监管部门推进工业和信息化领 域数据开发利用和数据安全标准体系建设,组织开展行业标 — 2 — 准制修订工作。鼓励支持企业、研究机构、高等院校、行业 组织等不同主体,开展国际标准、国家标准、团体标准、企 业标准制定。引导工业和电信数据处理者开展数据管理、数 据安全贯标达标工作。 第二章 数据分类分级管理 第七条【分类分级方法】工业和电信数据处理者应当坚 持先分类后分级,定期梳理,根据行业要求、业务需求、数 据来源和用途等因素对数据进行分类和标识,形成数据分类 清单。数据分类类别包括但不限于研发数据、生产运行数据、 管理数据、运维数据、业务服务数据、个人信息等。 工业和信息化部按照国家有关规定,根据数据遭到篡 改、破坏、泄露或者非法获取、非法利用,对国家安全、公 共利益或者个人、组织合法权益等造成的危害程度,将工业 和电信数据分为一般数据、重要数据和核心数据三级。 第八条【一般数据】危害程度符合下列条件之一的数据 为一般数据: (一)对公共利益或者个人、组织合法权益造成较小影 响,社会负面影响小; (二)受影响的用户和企业数量较少、生产生活区域范 围较小、持续时间较短,对企业经营、行业发展、技术进步 和产业生态等影响较小; (三)恢复数据或消除负面影响所需付出的代价小; — 3 — (四)其他未纳入重要数据、核心数据目录的数据。 第九条【重要数据】危害程度符合下列条件之一的数据 为重要数据: (一)对政治、国土、军事、经济、文化、社会、科技、 网络、生态、资源、核安全等构成威胁,影响海外利益、生 物、太空、极地、深海、人工智能等重点领域国家安全相关 数据的安全; (二)对工业、电信行业发展、生产、运行和经济利益 等造成影响; (三)造成重大数据安全事件或生产安全事故,对公共 利益或者个人、组织合法权益造成严重影响,社会负面影响 大; (四)引发的级联效应明显,影响范围涉及多个行业、 区域或者行业内多个企业,或者影响持续时间长,对行业发 展、技术进步和产业生态等造成严重影响; (五)恢复数据或消除负面影响所需付出的代价大; (六)经行业监管部门评估确定的其他重要数据。 第十条【核心数据】危害程度符合下列条件之一的数据为核 心数据: (一)对政治、国土、军事、经济、文化、社会、科技、 网络、生态、资源、核安全等构成严重威胁,严重影响海外 利益、生物、太空、极地、深海、人工智能等重点领域国家 — 4 — 安全相关数据的安全; (二)对工业、电信行业及其重要骨干企业、关键信息 基础设施、重要资源等造成严重影响; (三)对工业生产运营、电信和互联网运行和服务等造 成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、 大量业务处理能力丧失等; (四)经工业和信息化部评估确定的其他核心数据。 第十一条【分类分级工作要求】工业和信息化部组织制 定工业和信息化领域数据分类分级、重要数据和核心数据识 别认定及数据分级防护等制度规范,形成行业重要数据和核 心数据具体目录并实施动态管理,指导开展数据分类分级防 护工作。 地方工业和信息化主管部门、通信管理局组织开展本地 区工业、电信行业数据分类分级防护及重要数据和核心数据 识别认定工作,形成本地区行业重要数据和核心数据具体目 录并上报工业和信息化部。 工业和电信数据处理者应当建立健全数据分类分级管 理制度,将重要数据和核心数据目录报送地方工业和信息化 主管部门或通信管理局,并采取措施开展数据分级防护,对 重要数据进行重点保护,对核心数据在重要数据保护基础上 实施更严格的管理和保护。不同级别数据同时被处理且难以 分别采取保护措施的,应当按照其中级别最高的要求实施保 — 5 — 护。 第十二条【重要数据和核心数据备案管理】工业和信息 化部建立工业和信息化领域重要数据和核心数据备案管理 制度,统筹建设备案管理平台。备案内容包括数据的数量、 类别、处理目的和方式、使用范围、主体责任、安全保护措 施等基本情况,数据提供、公开、出境、承接,以及数据安 全风险、事件处置等情况。 地方工业和信息化主管部门、通信管理局应当分别对本 地区工业、电信行业重要数据和核心数据备案内容进行审 核,对不符合有关备案要求的,应当督促企业及时完善并重 新进行备案。 工业和电信数据处理者应当按照有关要求进行备案,备 案内容发生变化的,应在三个月内报备变更情况,同时对整 体备案情况进行更新。 第三章 数据全生命周期安全管理 第十三条【主体责任】工业和电信数据处理者应当对数 据处理活动负安全主体责任,根据数据的类型、数量、安全 级别、处理方式以及对国家安全、公共利益或者个人、组织 合法权益带来的影响和安全风险等,采取必要措施确保数据 持续处于有效保护和合法利用的状态。 (一)建立数据全生命周期安全管理制度,针对不同级 别数据,制定数据收集、存储、使用、加工、传输、提供、 — 6 — 公开等环节的具体分级防护要求和操作规程; (二)明确数据安全管理的主要负责人和责任部门,统 筹负责数据处理活动的安全监督管理; (三)合理确定数据处理活动的操作权限,严格实施人 员权限管理; (四)制定数据安全事件应急预案,并定期进行演练; (五)定期对从业人员开展数据安全教育和培训; (六)法律、行政法规规定的其他措施。 第十四条【工作体系】涉及重要数据和核心数据的,工 业和电信数据处理者应当建立覆盖本单位相关部门的数据 安全工作体系,设置专门的数据安全管理责任部门,本单位 党委(党组)或领导班子对数据安全负主体责任,主要负责 人是数据安全第一责任人,分管数据安全的负责人是直接责 任人,明确各部门数据安全职责及人员,建立常态化沟通与 协作机制。 第十五条【关键岗位管理】工业和电信数据处理者应当 确认数据处理关键岗位及人员,签署数据安全责任书,记录 数据处理活动。 第十六条【安全同步】工业和电信数据处理者应当确保 数据安全管理和技术保护手段与生产运营、业务发展同步规 划、同步建设、同步运行。 第十七条【数据收集】工业和电信数据处理者收集数据 — 7 — 应当遵循合法、正当、必要的原则,不得窃取或者以其他非 法方式收集数据。 数据收集过程中,应当采取配备技术手段、签署安全协 议等措施加强对数据收集人员、设备的管理,并对数据收集 的时间、类型、数量、频度、流向等进行记录。 通过间接途径获取数据的,应当要求数据提供方做出数 据源合法性的书面承诺,并承担相应的法律责任。 第十八条【数据存储】工业和电信数据处理者应当依据 法律规定或者与用户约定的方式和期限存储数据。存储重要 数据的,还应当采用校验技术、密码技术等措施进行安全存 储,不得直接提供存储系统的公共信息网络访问,并实施数 据容灾备份和存储介质安全管理。存储核心数据的,还应当 实施异地容灾备份。 第十九条【数据使用加工】工业和电信数据处理者未经 个人、单位等同意,不得使用数据挖掘、关联分析等技术手 段针对特定主体进行精准画像、数据复原等加工处理活动。 利用数据进行自动化决策的,应当保证决策的透明度和结果 公平合理。使用、加工重要数据和核心数据的,还应当加强 访问控制,建立登记、审批机制并留存记录。 工业和电信数据处理者提供数据处理服务,涉及经营电 信业务的,应当按照相关法律、行政法规规定取得电信业务 经营许可。 — 8 — 第二十条【数据传输】工业和电信数据处理者应当根据 传输的数据类型、级别和应用场景,制定安全策略并采取保 护措施。传输重要数据的,还应当采取校验技术、密码技术、 安全传输通道或者安全传输协议等措施,涉及跨组织机构或 者使用公共信息网络进行数据传输的,应当建立登记、审批 机制。跨不同数据处理主体传输核心数据的,还应当通过国 家数据安全工作协调机制审批。 第二十一条【数据提供】工业和电信数据处理者应当依 据行业数据分类分级管理要求,明确数据提供的范围、数量、 条件、程序等。提供重要数据的,还应当采取数据脱敏等措 施,建立审批机制。提供核心数据的,还应当通过国家数据 安全工作协调机制审批。 工业和电信数据处理者应当事先对数据接收方的数据 安全保护能力进行核实,并与数据接收方签订数据安全协 议,明确数据提供的范围、使用方式、时限、用途以及相应 的安全保护措施、违约责任,并督促数据接收方予以落实。 第二十二条【数据公开】工业和电信数据处理者公开数 据应当真实、准确,并在公开前开展安全评估,对涉及个人 隐私、个人信息、商业秘密、保密商务信息以及可能对公共 利益及国家安全产生重大影响的,不得公开。 第二十三条【数据销毁】工业和电信数据处理者应当建 立数据销毁策略和管理制度,明确销毁对象、流程和技术等 — 9 — 要求,

pdf文档 工业和信息化领域数据安全管理办法(试行)(征求意见稿)

文档预览
中文文档 16 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
工业和信息化领域数据安全管理办法(试行)(征求意见稿) 第 1 页 工业和信息化领域数据安全管理办法(试行)(征求意见稿) 第 2 页 工业和信息化领域数据安全管理办法(试行)(征求意见稿) 第 3 页
下载文档到电脑,方便使用
本文档由 思安2022-09-18 12:22:08上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
热门文档