工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引

GuidelinesforDataSecurityComplianceintheIndustrialandInformationTechnologyFields2024@目 錄工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)建設概述 1數(shù)據(jù)安全合規(guī)建設目的 1數(shù)據(jù)安全合規(guī)建設依據(jù) 1適用范圍 2術(shù)語和定義 2數(shù)據(jù)分類分級 4數(shù)據(jù)調(diào)研 4數(shù)據(jù)梳理 4數(shù)據(jù)分類 4數(shù)據(jù)分級 5目錄報備 5目錄動態(tài)更新 6數(shù)據(jù)安全管理體系 7數(shù)據(jù)安全組織架構(gòu) 7數(shù)據(jù)安全管理制度 10權(quán)限管理 10內(nèi)部審批、登記 11系統(tǒng)與設備安全管理 11容災備份 12合作方管理 13日志管理 15監(jiān)督檢查 16配合監(jiān)管 17數(shù)據(jù)全生命周期保護 19數(shù)據(jù)收集 19數(shù)據(jù)存儲 20數(shù)據(jù)使用加工 20數(shù)據(jù)傳輸 21數(shù)據(jù)提供 22數(shù)據(jù)公開 23數(shù)據(jù)銷毀 23數(shù)據(jù)委托處理 24數(shù)據(jù)轉(zhuǎn)移 24其他事項 25數(shù)據(jù)安全風險監(jiān)測預警、報告、處置 26數(shù)據(jù)安全風險監(jiān)測預警 26數(shù)據(jù)安全風險信息報告 26數(shù)據(jù)安全風險處置 27數(shù)據(jù)安全事件應急處置 28制定應急預案 28開展應急演練 28數(shù)據(jù)安全事件報告 28應急響應 28先行處置 29總結(jié)上報 29數(shù)據(jù)安全事件告知 29數(shù)據(jù)安全風險評估 30組建評估團隊 30確定評估范圍 30制定評估方案 31實施風險評估 31形成評估報告 31評估時間及上報行業(yè)監(jiān)管部門 32風險評估特殊場景 32數(shù)據(jù)出境安全管理 33數(shù)據(jù)出境安全評估 33訂立個人信息出境標準合同 36通過個人信息保護認證 36個人信息出境的注意事項 37數(shù)據(jù)出境的豁免情形 37遵守出口管制要求的合規(guī)義務 38境外執(zhí)法或司法機構(gòu)調(diào)取數(shù)據(jù)時合規(guī)義務 38數(shù)據(jù)交易 39工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)建設概述標準，制定本指引。《中華人民共和國國家安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規(guī)則》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險評估實施細則（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案（試行）》《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》《工業(yè)領(lǐng)域重要數(shù)據(jù)識別指南》《工業(yè)企業(yè)數(shù)據(jù)安全防護要求》《工業(yè)領(lǐng)域數(shù)據(jù)安全風險評估規(guī)范》《電信領(lǐng)域重要數(shù)據(jù)識別指南》《電信領(lǐng)域數(shù)據(jù)安全分級保護要求》《電信領(lǐng)域數(shù)據(jù)安全風險評估規(guī)范》工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可參照本指引開展數(shù)據(jù)處理活動全生命周期網(wǎng)企業(yè)，以及無線電頻率、臺（站）使用單位等工業(yè)和信息化領(lǐng)域各類主體。落實數(shù)據(jù)安全責任義務。重要數(shù)據(jù)核心數(shù)據(jù)公共健康和安全造成嚴重危害的數(shù)據(jù)。一般數(shù)據(jù)核心數(shù)據(jù)、重要數(shù)據(jù)之外的其他數(shù)據(jù)。重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動中自主決定重要數(shù)據(jù)和核心數(shù)據(jù)處理目的、處理方式的主體。一般數(shù)據(jù)處理者數(shù)據(jù)處理活動中自主決定一般數(shù)據(jù)處理目的、處理方式的主體。行業(yè)監(jiān)管部門本地區(qū)本領(lǐng)域的工業(yè)和信息化主管部門、通信管理局和無線電管理機構(gòu)，統(tǒng)稱為地方行業(yè)監(jiān)管部門。工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。工業(yè)數(shù)據(jù)工業(yè)領(lǐng)域各行業(yè)企業(yè)在研發(fā)設計、生產(chǎn)制造、經(jīng)營管理、運行維護、平臺運營等過程中產(chǎn)生和收集的數(shù)據(jù)。電信數(shù)據(jù)電信和互聯(lián)網(wǎng)企業(yè)在經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)。數(shù)據(jù)分類分級明晰數(shù)據(jù)安全保護薄弱環(huán)節(jié)，為進一步做好數(shù)據(jù)安全工作提出工作舉措。境情況、共享應用情況等內(nèi)容，詳見附件。（括職能部門和業(yè)務部門面、系統(tǒng)梳理數(shù)據(jù)。動態(tài)管理。按所屬行業(yè)要求、特點、業(yè)務需求、數(shù)據(jù)來源和用途等，對數(shù)據(jù)進行分類，具體可采取“所屬行業(yè)——業(yè)務領(lǐng)域——業(yè)務特點（屬性）——細化業(yè)務特點（屬性）”的分類方式制定數(shù)據(jù)分類規(guī)則：工業(yè)領(lǐng)域可分為研發(fā)數(shù)據(jù)域（研發(fā)設計數(shù)據(jù)、開發(fā)測試數(shù)據(jù)等）（（（與其他主體共享的數(shù)據(jù)等）等。電信數(shù)據(jù)分類可分為網(wǎng)絡規(guī)劃運維數(shù)據(jù)域（維護等障等（共利益的非公開統(tǒng)計數(shù)據(jù)等（涉及電信領(lǐng)域出口管制物可結(jié)合自身業(yè)務特點進一步細化三、四級數(shù)據(jù)分類。工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級，具體數(shù)據(jù)分級步驟如下：重要數(shù)據(jù)識別6要數(shù)據(jù)識別指南》。領(lǐng)域重要數(shù)據(jù)識別指南》。核心數(shù)據(jù)識別核心數(shù)據(jù)識別由行業(yè)監(jiān)管部門審核確定。一般數(shù)據(jù)識別結(jié)合本單位業(yè)務情況及業(yè)務經(jīng)營管理需求，可對一般數(shù)據(jù)進行進一步細化分級。全情況等信息。8月30善目錄后重新報備，或者重新開展重要數(shù)據(jù)識別和目錄報送工作。根據(jù)地方行業(yè)監(jiān)管部門審核認定的重要數(shù)據(jù)目錄，按要求開展保護。變更手續(xù)，更新目錄備案表，說明具體情況。（條目數(shù)量或者存儲總量變化以上。述、數(shù)據(jù)安全風險評估情況、數(shù)據(jù)安全負責人等。銷毀、轉(zhuǎn)移重要數(shù)據(jù)和核心數(shù)據(jù)。規(guī)范性。數(shù)據(jù)安全管理體系一般數(shù)據(jù)處理者（1）配備數(shù)據(jù)安全管理責任部門識等的專職或兼職數(shù)據(jù)安全管理人員。數(shù)據(jù)安全管理責任部門負責統(tǒng)籌本單位數(shù)據(jù)處理活動的安全監(jiān)督管理，可獨立設置，也可結(jié)合實際情況由職責相近的有關(guān)部門負責，主要承擔以下職責：檢查。為單位內(nèi)相關(guān)職能部門提供數(shù)據(jù)安全咨詢與支持。及時向管理層報告數(shù)據(jù)安全重大風險和數(shù)據(jù)安全工作落實情況。對行業(yè)監(jiān)管部門開展監(jiān)管執(zhí)法工作予以積極配合。與其他數(shù)據(jù)所屬部門協(xié)同，確保數(shù)據(jù)安全管理工作的全面性與有效性。（2）開展數(shù)據(jù)安全教育與培訓定期組織或協(xié)助相關(guān)部門開展數(shù)據(jù)安全培訓，每年至少開展一次。時長、考核要求等。客戶服務等人員。等。重要數(shù)據(jù)和核心數(shù)據(jù)處理者明確領(lǐng)導責任本單位法定代表人或者主要負責人是數(shù)據(jù)安全第一責任人，領(lǐng)導團隊中分管數(shù)據(jù)安全的成員是直接責任人。數(shù)據(jù)安全第一責任人主要負責單位內(nèi)數(shù)據(jù)安全管理制度的構(gòu)建和運行，提供必要的資源保障和條件支持，牽頭特別重大數(shù)據(jù)安全事件應急處置等。數(shù)據(jù)安全直接責任人主要負責：確立符合本單位戰(zhàn)略方向的數(shù)據(jù)安全方針和目標。保障數(shù)據(jù)安全管理責任部門具備獨立履行職責的能力與權(quán)限。審批單位內(nèi)重大數(shù)據(jù)安全合規(guī)事項。確保將數(shù)據(jù)安全管理要求融入單位內(nèi)的業(yè)務過程。解決數(shù)據(jù)安全工作中的關(guān)鍵問題，確保本單位數(shù)據(jù)安全工作順利進行。確保建立有效的數(shù)據(jù)安全違規(guī)舉報與懲處機制。建立數(shù)據(jù)安全工作架構(gòu)數(shù)據(jù)安全管理責任部門主要負責：統(tǒng)籌實施數(shù)據(jù)安全管理工作，并對數(shù)據(jù)安全管理情況進行評估與檢查。展調(diào)查。據(jù)安全咨詢與支持。向數(shù)據(jù)安全直接責任人報告數(shù)據(jù)安全重大風險和相關(guān)工作落實情況。對行業(yè)監(jiān)管部門開展監(jiān)管執(zhí)法工作予以積極配合。與其他數(shù)據(jù)所屬部門協(xié)同，確保數(shù)據(jù)安全管理工作的全面性與有效性。職責如下：理活動的全生命周期要求和具體工作機制。確保本部門員工遵守數(shù)據(jù)安全制度規(guī)范，履行數(shù)據(jù)安全義務。配合數(shù)據(jù)安全責任部門開展監(jiān)督檢查、風險評估、整改等各項工作。措施。及時向數(shù)據(jù)安全管理責任部門報告，并配合采取應急處置和整改措施。設置關(guān)鍵崗位和職責將處理重要數(shù)據(jù)和核心數(shù)據(jù)的操作人員，關(guān)鍵業(yè)務系統(tǒng)、平臺管理人員（如負責審批重要數(shù)據(jù)和核心數(shù)據(jù)對外等設定為關(guān)鍵崗位，明確崗位職責。安全崗位職責、義務、處罰措施、注意事項等內(nèi)容。責任義務。開展數(shù)據(jù)安全教育與培訓可在滿足3.1.1要求的基礎上，對培訓內(nèi)容、頻率、時長、考核要求等進行強化。開展背景調(diào)查若單位內(nèi)掌握行業(yè)監(jiān)管部門規(guī)定的特定種類、規(guī)模重要數(shù)據(jù)，需對數(shù)據(jù)安全第一負責人、數(shù)據(jù)安全直接責任人和關(guān)鍵崗位的人員開展安全背景審查。息保護管理、合作方管理等有關(guān)要求?；匾獢?shù)據(jù)與核心數(shù)據(jù)的安全保障。一般數(shù)據(jù)處理者為。操作權(quán)限。建立并定期更新權(quán)限分配情況臺賬，確保權(quán)限到人。保超級管理員權(quán)限賬號存在的必要性。重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.3.1的基礎上，做好以下工作：配備賬號管理保障功能，如限制非正常登錄次數(shù)、登錄連接超時自動沉默賬號、失效賬號定期檢測關(guān)閉等措施。合同時，及時變更或終止其數(shù)據(jù)處理權(quán)限。改。一般數(shù)據(jù)處理者根據(jù)業(yè)務經(jīng)營需求，可參照重要數(shù)據(jù)和核心數(shù)據(jù)處理者要求建設應用。重要數(shù)據(jù)和核心數(shù)據(jù)處理者針對重要數(shù)據(jù)和核心數(shù)據(jù)對外提供、委托處理、轉(zhuǎn)移、銷毀、公開、明確重要數(shù)據(jù)和核心數(shù)據(jù)訪問處理單次授權(quán)、多人審批和行為審計等要求和登倒掛情形。一般數(shù)據(jù)處理者采集系統(tǒng)進行安全配置，建立安全配置清單，定期進行配置審計。認口令或弱口令，定期更新口令，禁止賬號共享。技術(shù)，防范勒索病毒等造成的數(shù)據(jù)破壞攻擊行為。HTTPFTPTelnet、RDP重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.5.1的基礎上，做好以下工作：多因子身份鑒別、口令復雜度策略、賬號鎖定策略等安全措施。等防護設備設置合理的隔離方式，包括物理隔離、邏輯隔離等。對關(guān)鍵業(yè)務系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境進行邏輯或物理隔離。核心數(shù)據(jù)的系統(tǒng)依照關(guān)鍵信息基礎設施安全保護有關(guān)規(guī)定從嚴保護。一般數(shù)據(jù)處理者根據(jù)業(yè)務經(jīng)營需求，可參照重要數(shù)據(jù)和核心數(shù)據(jù)處理者要求建設應用。重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)安全管理責任部門組織數(shù)據(jù)所屬部門明確重要數(shù)據(jù)和核心數(shù)據(jù)的（時切換并恢復數(shù)據(jù)。數(shù)據(jù)所屬部門按照備份策略，對重要數(shù)據(jù)和核心數(shù)據(jù)分別開展備份。與檢查。成測試報告，留存相關(guān)記錄。本單位向合作方提供重要數(shù)據(jù)或核心數(shù)據(jù)開展合規(guī)性與必要性評估法、正當、必要。審核合作方保護能力審核內(nèi)容包括數(shù)據(jù)安全風險評估結(jié)果、數(shù)據(jù)安全制度設置和日常管理（企業(yè)管理制度建立情況、管理落實機制建設情況、相關(guān)工作記錄等）、技術(shù)手段應用（數(shù)據(jù)保護、風險監(jiān)測等技術(shù)手段能力說明、建設規(guī)范、應用截圖）等。請技術(shù)專家、第三方咨詢機構(gòu)等參與、指導審核工作。若數(shù)據(jù)接收方為境外相關(guān)組織機構(gòu)，按照本指引第8章進行管理。簽訂數(shù)據(jù)安全協(xié)議通過簽訂合同協(xié)議等方式明確不同類型數(shù)據(jù)提供的安全保護方式以及雙方數(shù)據(jù)安全責任和義務。數(shù)據(jù)安全協(xié)議可參考下述內(nèi)容：圍、數(shù)據(jù)安全保護要求等。要求，不將加工后的數(shù)據(jù)還原成原始數(shù)據(jù)。（符合最小化原則等。履行保密義務。合作結(jié)束后，要求合作方及時銷毀數(shù)據(jù)。停合作，進行整改。整改未完成前，不開展數(shù)據(jù)合作。的安全監(jiān)控和審計等，對履行義務情況進行監(jiān)督。人員管理根據(jù)崗位職責對合作方人員設置相應的平臺系統(tǒng)、物理設施訪問權(quán)限。權(quán)限的合作人員進行背景審查和保密審查。建立管理臺賬收方是否發(fā)生過數(shù)據(jù)安全事件等，加強對合作方數(shù)據(jù)使用情況的監(jiān)督管理。本單位從合作方接收重要數(shù)據(jù)或核心數(shù)據(jù)數(shù)據(jù)合規(guī)性審核交易記錄，確保數(shù)據(jù)的真實性、有效性、安全性，避免收集不明來源的數(shù)據(jù)。落實數(shù)據(jù)安全保護根據(jù)數(shù)據(jù)安全協(xié)議或數(shù)據(jù)轉(zhuǎn)移方案在相關(guān)服務履約過程中履行數(shù)據(jù)安全保護責任，按照數(shù)據(jù)級別落實防護要求。配合合作方開展數(shù)據(jù)提供前的數(shù)據(jù)保護能力評估與審核、數(shù)據(jù)提供中的數(shù)據(jù)安全保護情況的監(jiān)督檢查等工作。若發(fā)生數(shù)據(jù)安全事件或發(fā)現(xiàn)重大數(shù)據(jù)安全風險，第一時間向合作方報告，并立刻采取處置措施，消減危害影響。一般數(shù)據(jù)處理者IP地址、登錄信息等，能夠?qū)ψR別和追溯數(shù)據(jù)操作和訪問行為提供支撐。6的問題進行處理，形成閉環(huán)管理。重要數(shù)據(jù)和核心數(shù)據(jù)處理者在滿足3.8.1的基礎上，做好以下工作：對日志訪問和處理加強管理。對高風險操作（如批量復制、批量傳輸、批量銷毀等操作）備份和完整性校驗，保障日志文件的可用性和真實性。安全審計平臺等方式實現(xiàn)審計功能。留存時間不少于1息的，相關(guān)日志留存時間不少于3年；涉及核心數(shù)據(jù)安全、事件處置、溯源相關(guān)日志留存時間不少于3年。露、篡改?；１O(jiān)督檢查工作機制義務落實情況的監(jiān)督、檢查、核查、督促、整改等工作?？捎诿磕昴瓿踅Y(jié)合上一年監(jiān)督檢查情況，制定本年度監(jiān)督檢查計劃?？砂凑彰磕曛辽僖淮蔚念l率，組織相關(guān)部門開展監(jiān)督檢查。督檢查。監(jiān)督檢查內(nèi)容和核心數(shù)據(jù)是否發(fā)生變更等。數(shù)據(jù)安全教育培訓情況，如是否按照制度要求完成教育培訓，覆蓋人員、培訓內(nèi)容、培訓時長和頻率等是否符合有關(guān)要求。（份與恢復等技術(shù)能力和措施是否落實到位）。和核心數(shù)據(jù)實現(xiàn)安全風險監(jiān)測、數(shù)據(jù)安全事件溯源、數(shù)據(jù)公網(wǎng)暴露等。力。措施。數(shù)據(jù)合作情況，如是否明確數(shù)據(jù)共享涉及機構(gòu)或部門的相關(guān)職責和權(quán)其他監(jiān)督檢查內(nèi)容。監(jiān)督檢查問題處置與被檢查對象溝通確認數(shù)據(jù)安全監(jiān)督檢查中發(fā)現(xiàn)的問題并簽字。況。對接人員。信息，安全開放相關(guān)數(shù)據(jù)訪問、提供必要技術(shù)支持等。采取有效措施減輕、消除危害影響。數(shù)據(jù)全生命周期保護處于有效保護和合法利用的狀態(tài)。一般數(shù)據(jù)采取合法、正當?shù)姆绞绞占瘮?shù)據(jù)。數(shù)據(jù)收集過程中，可結(jié)合具體管理、業(yè)務場景，制定數(shù)據(jù)收集規(guī)則，避免收集不明來源的數(shù)據(jù)。的、使用方式、使用范圍，告知用戶并得到授權(quán)。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.1.1的基礎上，做好以下工作：采取技術(shù)監(jiān)測、簽署安全協(xié)議、賬號權(quán)限管控、監(jiān)督檢查、安全審計時間、類型、數(shù)量、頻度、流向等進行記錄。的網(wǎng)絡攻擊。要數(shù)據(jù)和核心數(shù)據(jù)，明確雙方法律責任。在發(fā)生產(chǎn)品或服務停止運營、用戶終止服務等情況時，立即停止對相一般數(shù)據(jù)鑒別和訪問控制。避免存儲數(shù)據(jù)被泄露、篡改或破壞。依據(jù)業(yè)務需要制定數(shù)據(jù)備份策略，按需要定期開展數(shù)據(jù)備份。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.2.1的基礎上，做好以下工作：障措施等要求。涉及容災備份的，可參考“3.6對存儲重要數(shù)據(jù)和核心數(shù)據(jù)的數(shù)據(jù)載體，采用校驗技術(shù)、密碼技術(shù)等相關(guān)措施進行安全存儲，如對稱密碼算法或密碼雜湊算法的消息鑒別碼對重要數(shù)據(jù)和核心數(shù)據(jù)存儲載體進行安全管理，確保存放在安全環(huán)境標記和銷毀等情況和相應審批記錄，并定期盤點。一般數(shù)據(jù)數(shù)據(jù)使用加工應遵循合理必要原則，制定數(shù)據(jù)使用加工管理要求、安利用數(shù)據(jù)進行自動化決策的，保證決策的透明度和結(jié)果公平合理。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.3.1的基礎上，做好以下工作：并遵循最小化訪問原則。行為。進行處理。對加工使用中產(chǎn)生的過程性數(shù)據(jù)做好防護。一般數(shù)據(jù)類型、級別和應用場景，制定安全策略、采取保護措施，建立安全傳輸信道。統(tǒng)間接口和設備的認證鑒權(quán)能力，未通過認證鑒權(quán)的設備禁止接入。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.4.1的基礎上，做好以下工作：數(shù)據(jù)的傳輸安全?？蓛?yōu)先使用國產(chǎn)商用密碼算法。配的數(shù)據(jù)傳輸加密要求（如數(shù)據(jù)加密、數(shù)據(jù)簽名、散列等）。對傳輸接口管理和技術(shù)管控措施部署情況進行梳理，形成接口梳理情一般數(shù)據(jù)供基本安全策略，確認沒有超出需求和授權(quán)范圍的數(shù)據(jù)。安全。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.5.1的基礎上，做好以下工作：據(jù)脫敏等。網(wǎng)絡出口和數(shù)據(jù)，加強網(wǎng)絡邊界的身份認證和訪問控制。一般數(shù)據(jù)家安全、公共利益產(chǎn)生影響的數(shù)據(jù)不得公開。組織開展風險評估，研判可能存在的安全風險。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.6.1的基礎上，做好以下工作：等技術(shù)，確保重要數(shù)據(jù)公開安全。安全風險時，第一時間進行刪除，并采取相關(guān)有效措施消除危害影響。一般數(shù)據(jù)建立數(shù)據(jù)銷毀操作規(guī)程，明確銷毀對象、規(guī)則、流程技術(shù)等要求。（）進行記錄。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.7.1的基礎上，做好以下工作：色，負責監(jiān)督銷毀操作過程，確保數(shù)據(jù)銷毀流程合規(guī)。使用物理銷毀等方法，確保重要數(shù)據(jù)和核心數(shù)據(jù)銷毀后無法恢復。引起備案內(nèi)容發(fā)生變化的，履行備案變更手續(xù)。一般數(shù)據(jù)明確數(shù)據(jù)委托處理范圍、所涉數(shù)據(jù)類別級別、條件、程序等，并明確委托方與受托方的數(shù)據(jù)安全責任和義務。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.8.1的基礎上，做好以下工作：務。一般數(shù)據(jù)（轉(zhuǎn)移數(shù)據(jù)涉及個人信息的，事先向用戶告知接收方的名稱或者姓名和經(jīng)過處理無法識別特定個人且不能復原的除外。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足4.9.1的基礎上，做好以下工作：轉(zhuǎn)移重要、核心數(shù)據(jù)引起備案內(nèi)容發(fā)生變化的，履行備案變更手續(xù)。（SDK）及可能引起數(shù)據(jù)泄露等安全事件的行為，并留存第三方接入日志記錄。數(shù)據(jù)安全風險監(jiān)測預警、報告、處置一般數(shù)據(jù)法訪問、流量異常、數(shù)據(jù)違規(guī)出境等。密切關(guān)注工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險信息報送與共享平臺通報的可根據(jù)相關(guān)預警信息設置差異化告警級別，匹配對應的告警提醒方式（安全審計員等。重要數(shù)據(jù)和核心數(shù)據(jù)在滿足5.1.1的基礎上，做好以下工作：建設數(shù)據(jù)風險監(jiān)測預警能力，確保相關(guān)能力覆蓋涉及操作處理重要數(shù)IP地址訪問、數(shù)據(jù)庫異常連接（如在設定IP）等。并實現(xiàn)異常行為的可溯源。息化領(lǐng)域數(shù)據(jù)安全事件應急預案（試行）》。將可能造成重大及以上安全事件的風險及時向地方行業(yè)監(jiān)管部門報告。圍等。的處置和懲戒措施，并對存在風險隱患的環(huán)節(jié)進行加固防護。況、下一步工作考慮等。數(shù)據(jù)安全事件應急處置根據(jù)應對數(shù)據(jù)安全事件的需要，制定本單位數(shù)據(jù)安全應急預案。針策略、人員職責、具體措施、流程規(guī)范、物資保障等內(nèi)容。員熟練掌握應急管理的內(nèi)容與流程。積極參與行業(yè)監(jiān)管部門組織的應急演練。者涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，立即如實向地方行業(yè)監(jiān)管部門報告。行）》。當收到紅色預警（特別重大事件）時，應啟動I級響應。立即進入緊當收到橙色預警（重大事件）時，應啟動II級響應。立即啟動相應數(shù)進展和處置情況。（較大事件時，應啟動III處置情況。（一般事件時，應啟動IV恢復或追溯工作，盡可能減少對用戶和社會影響，同時保存相關(guān)痕跡和證據(jù)。應急處置工作的經(jīng)驗教訓，提出處理意見和改進措施，并在應急工作結(jié)束后個工作日內(nèi)形成總結(jié)報告，報地方行業(yè)監(jiān)管部門。失，總結(jié)事件防范和應急處置工作的經(jīng)驗教訓，提出處理意見和改進措施。數(shù)據(jù)安全事件對個人、組織造成實質(zhì)性危害的，及時以電話、短信、無法逐一告知的，可采取公告方式告知。數(shù)據(jù)安全風險評估開展自評估保障、安全合規(guī)等人員組成的評估團隊。評估團隊原則上具備不少于5144估結(jié)論、編寫評估報告等。委托第三方評估機構(gòu)開展評估工作，保障數(shù)據(jù)處理者的安全生產(chǎn)運行和數(shù)據(jù)安全。與被委托機構(gòu)共同組建評估團隊，確定評估團隊組長和團隊成員。指定本單位至少1單位相應資源、對第三方評估機構(gòu)相應工作進行管理和監(jiān)督。數(shù)據(jù)類別（二級子類），且數(shù)據(jù)載體避免重復。評估團隊可根據(jù)實際需要制定風險評估工作方案。保障評估的可行性。使用的評估工具情況、保障條件等。評估團隊首先進行數(shù)據(jù)處理活動分析，明確評估范圍內(nèi)數(shù)據(jù)處理活動涉及的接收方及數(shù)據(jù)載體情況等。開展合規(guī)性評估，包括正當必要性評估、基礎性安全評估和數(shù)據(jù)全生《電信領(lǐng)域數(shù)據(jù)安全風險評估規(guī)范》。（分為極高、高、中、低四個等級形成評估結(jié)論。或問題進行整改或改進，并對整改措施的有效性進行復核。完成實施風險評估后，經(jīng)協(xié)商一致，根據(jù)評估結(jié)論形成評估報告。（包含面臨的數(shù)據(jù)安全風險及其應對措施等論及應對措施等。評估。重要數(shù)據(jù)和核心數(shù)據(jù)發(fā)生重大變更時，及時開展數(shù)據(jù)安全風險評估。工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者于每年12月底前向地風險評估。理者可以開展風險評估。數(shù)據(jù)出境安全管理數(shù)據(jù)出境活動。申報數(shù)據(jù)出境安全評估的情形關(guān)鍵信息基礎設施運營者向境外提供個人信息或者重要數(shù)據(jù)。關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)。關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1境外提供100萬人以上1個人信息（不含敏感個人信息）。關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1境外提供1萬人以上敏感個人信息。國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。申報數(shù)據(jù)出境安全評估的流程重要數(shù)據(jù)識別報備按照本指引“2數(shù)據(jù)分類分級”相關(guān)要求，識別、申報重要數(shù)據(jù)，準確界定需要出境的重要數(shù)據(jù)范疇。事前評估向境外提供數(shù)據(jù)前，首先開展數(shù)據(jù)出境風險自評估，并形成數(shù)據(jù)出境自評估1本指引所指“以上”均含本數(shù)。報告。重點評估以下事項：性、必要性。公共利益、個人或者組織合法權(quán)益帶來的風險。能力等能否保障出境數(shù)據(jù)的安全。取、非法利用等風險，個人信息權(quán)益維護的渠道是否通暢等。等是否充分約定了數(shù)據(jù)安全保護責任義務。其他可能影響數(shù)據(jù)出境安全的事項。申報評估根據(jù)《數(shù)據(jù)出境安全評估申報指南（第二版）安全評估的，采取線下申報流程。接收方擬訂立的法律文件、安全評估工作需要的其他材料。因申報材料不齊全被退回的，進行補充、更正申報材料。重新評估通過數(shù)據(jù)出境安全評估的結(jié)果有效期為3年，自評估結(jié)果出具之日起計算。在有效期內(nèi)出現(xiàn)以下情形之一的，重新申報評估。期限的。變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的。出現(xiàn)影響出境數(shù)據(jù)安全的其他情形重新申報數(shù)據(jù)出境安全評估。終止出境管理要求的，在收到國家網(wǎng)信部門書面通知后，終止數(shù)據(jù)出境活動。估。需要明確的數(shù)據(jù)安全保護責任義務與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務，至少包括以下內(nèi)容：式等。法律文件終止后出境數(shù)據(jù)的處理措施。對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求。情形導致難以保障數(shù)據(jù)安全時，采取的安全措施。解決方式。和方式。通過數(shù)據(jù)出境安全評估的結(jié)果有效期未發(fā)生需要重新申報數(shù)據(jù)出境安全評估情形的，在有效期屆滿前60通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出延長評估結(jié)果有效期申請。3訂立個人信息出境標準合同的情形關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1向境外提供不滿1萬人敏感個人信息的。訂立個人信息出境標準合同的流程開展個人信息保護影響評估并訂立合同材料提交在標準合同生效之日起10個工作日內(nèi)，通過數(shù)據(jù)出境申報系統(tǒng)開展個人信息出境標準合同備案。材料查驗及反饋備案結(jié)果收到省級網(wǎng)信辦發(fā)放的備案編號后，根據(jù)需要在10個工作日內(nèi)提交補充完善材料。逾期視為終止本次備案程序。通過個人信息保護認證的情形關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）的；關(guān)鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1向境外提供不滿1萬人敏感個人信息的。通過個人信息保護認證的流程提交認證委托資料認證委托書、相關(guān)證明文檔等。結(jié)果反饋的，將獲得認證證書。個人信息出境場景下的告知同意要求個人信息出境場景下的個人信息保護影響評估處理情況進行記錄。個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權(quán)益的影響及安全風險；3通過個人信息保護認證：中收集和