【安全规范】中国移动数据安全合规评估工作规范

2021年10月27日 写评论

第一章 总则

  • 为加强中国移动数据安全管理,保护用户合法权益,保障公司数据资产安全及数据业务健康发展,依据工信部《电信和互联网企业网络数据安全合规性评估要点》《中国移动通信集团有限公司数据安全管理办法》和相关行业标准制定本规范。
  • 中国移动通信集团有限公司信息安全管理与运行中心(以下简称集团信安中心)归口管理中国移动数据安全合规评估工作,依据上级单位要求建立相关评估制度,指导开展安全评估。
  • 本规范适用于中国移动境内所属各单位(以下简称各单位)。各单位应参照本规范,结合本单位实际制定实施细则,开展数据安全合规评估工作。
  • 数据安全合规评估应遵循“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,由各单位结合本单位业务发展及系统实际情况,负责组织开展所运营业务及所使用系统的数据安全合规评估工作。
  • 数据安全合规评估应包含整体数据安全保护水平评估和重点业务/系统数据安全合规评估两个方面。

第二章 企业整体数据安全保护水平评估

  • 整体数据安全保护水平评估应重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面开展,具体评估项目与评估标准应参考当年上级单位印发的《电信和互联网企业网络数据安全合规性评估要点》制定。
  • 各单位每年至少开展一次整体数据安全保护水平评估工作。
  • 整体数据安全合规评估应由各单位数据安全管理部门组织实施。

第三章 重点业务/系统数据安全合规评估

  • 重点业务/系统数据安全合规评估应覆盖数据全生命周期,重点围绕数据在采集、传输、存储、使用、开放共享、销毁等环节的安全合规情况开展,评估内容应包含数据识别、安全审计、数据防泄漏、接口安全、敏感信息保护等数据安全保护措施配备情况,具体评估项目与评估标准应参考当年上级单位印发的《电信和互联网企业网络数据安全合规性评估要点》制定。
  • 重点业务应包含具备收集和使用个人信息功能的业务与平台(含移动应用软件)。
  • 重点系统应包含存储和处理个人信息的支撑系统。
  • 发生下列情形时,应开展/重新开展数据安全合规评估:

(一)业务数据处理模式发生变化时(如新增数据出境、数据开放共享等重大操作行为,数据采集、传输、存储、使用、开放共享、销毁方式变化,业务模式、运行环境变化(系统改建、升级或报废),新增合作方、超出原有业务目的使用和交换数据等情况);

(二)集团公司要求,或其他安全管理要求规定的情况;

(三)上级单位依法书面要求进行安全评估的情况。

各单位应至少每六个月对本单位运营的业务是否属于情形(一)进行核对,保留核对记录;发现属于情形(一)的,应及时开展评估

  • 每年初,各单位数据安全管理部门应组织各单位按照业务及系统涉及的数据敏感性级别、影响范围以及可能发生危害的影响程度等因素,制定年度重点业务/系统数据安全合规评估计划,实现对新上线业务、重点存量业务的评估全覆盖,并于每年第一季度末通过公文方式向集团信安中心报备,后续当评估计划发生调整时可于每季度末上报调整情况。
  • 重点业务/系统数据安全合规评估应在各单位数据安全管理部门监督指导下,由各单位业务/系统管理部门组织实施。

第四章 评估流程

  • 评估过程中,业务相关的设计、开发、维护、运营人员应按需参加并提供相应配合和支撑。评估组应对照要点逐项进行评估,详实记录评估过程,审慎得出评估结论,保证评估结果能够真实有效地反应数据安全管控现状。
  • 评估报告内容应包含:评估对象基本情况、评估流程、评估要点对标情况、保障措施配备情况与佐证材料说明、问题分析和改进措施。
  • 对于评估发现存在数据安全问题或重大数据安全风险的业务/系统,由业务/系统管理部门负责完成整改,整改完成后方可上线运营。对于已经上线运营的,应采取适当措施暂停运营。对因涉及系统改造等原因无法在短期内完成整改的安全风险应采取临时性管控措施,并明确整改方案和完成时间。
  •  各单位业务/系统管理部门应于完成数据安全合规评估工作后一周内,向本单位数据安全管理部门报备。
  •  各单位数据安全管理部门应于每季度末,将本单位重点业务和重点系统数据安全合规评估工作情况通过公文方式向集团信安中心报备。
  •  各单位数据安全管理部门应于每年10月底前,将本单位整体数据安全保护水平评估情况通过公文方式向集团信安中心报备。
  •  各单位数据安全管理部门应加强与本地电信管理机构的沟通,按照相关要求做好评估结果的报备工作。

第五章 监督检查

  •  各单位数据安全管理部门应依据业务/系统管理部门报备的评估报告,对数据安全合规评估情况进行全面核验。对于核验中发现的数据安全问题或重大数据安全风险,要及时督促业务/系统管理部门进行整改,将整改情况形成台账。
  •  集团信安中心依据各单位数据安全管理部门报备的评估结果及日常监测中发现的安全问题,定期对各单位数据安全合规评估工作的执行情况进行抽查和日常监督检查。
  •  责任人员因数据安全合规评估工作存在落实不及时不到位、疏于管理、失职等违规行为,造成数据泄露,产生不良影响的,集团公司将依照《中国移动网络安全工作考核问责办法》及《中国移动通信集团有限公司员工违纪违规处分条例》等公司其它相关问责制度进行严肃问责。

第六章 附则 

  •  本规范由集团信安中心负责解释。
  •  本规范自印发之日起实施。

发表评论

电子邮件地址不会被公开。 必填项已用*标注