数据安全合规性评估要点.docx

附件1

电信和互联网企业网络数据安全合规性估要点

（2020年版）

为进一步指导电信和互联网企业做好网络数据安全合规性评估工作，提升数据安全保护水平，依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规，参考《信息安全技术个人信息安全规范》等标准规范，制定本要点，供各企业在网络数据安全合规性评估中使用。

一、基础性评估要点

重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等十个方面开展评估。

【机构人员】

①明确企业数据安全管理责任部门，牵头承担企业数据安全管理工作，包括但不限于制定数据安全管理制度规范，协调强化数据安全技术能力，开展数据安全合规性评估、安全审计管理、安全事件应急处置、教育培训等工作。

（2） 明确数据安全管理责任部门与各项工作执行部门的责任分工界面，建立数据安全管理制度执行落实情况监督检查和考核问责制度。

（3） 数据安全管理责任部门应配备数据安全管理责任人员，相关工作执行部门应设置数据安全工作岗位，负责具体落实数据安全管理工作，包括但不限于数据资产梳理、分

类分级、合规性评估、权限管理、安全审计、应急响应、教育培训等工作。

【制度保障】

建立企业数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等制度。

【分类分级】

（1） 按照数据资产安全管理的目标和原则，定期梳理企业核心数据处理活动有关平台系统数据情况，形成企业数据资产清单。

（2） 综合考虑数据的类别属性、使用目的等，明确数据分类策略。在数据分类的基础上，对每一类数据，结合数据的重要及敏感程度以及一旦泄露、丢失、破坏造成的危害程度等，制定数据分级策略。在数据分类分级基础上，明确重要数据的范围和类型。

（3） 针对不同级别的数据，围绕数据全生命周期各环节部署差异化的安全保障措施。对重要数据实施重点保护，按照法律法规及国家有关规定，落实重要数据境内存储、出境安全评估等要求。

【合规评估】

（1）将数据安全合规性评估作为企业数据安全管理的重要内容和抓手，按照“谁运营、谁主管、谁负责”的原则，开展企业整体数据安全保护水平评估并形成评估报告。评估内容包括但不限于数据安全制度建设情况、数据分类分级情况、数据安全事件应急响应水平，以及重点业务与系统数据

1核心数据处理活动有关平台系统是指：存储和处理用户个人信息的支撑系统。不包含对企业生产经营数据、内部管理数据及企业内部研发测试数据的处理。合规处理情况、数据安全保障措施配备情况、合作方数据安全保护水平等。

（2）对照企业数据安全制度规范，按年度开展重点业务数据安全合规性评估并形成评估报告。重点评估业务数据处理活动中相关制度规范执行落实情况、数据安全保护措施配备情况等。实现对新上线业务、重点存量业务的评估全覆盖，业务数据处理模式变化3时应动态跟踪评估。

⑶对照企业数据安全制度规范，按年度开展核心数据处理活动平台系统数据安全合规性评估并形成评估报告。重点评估企业内部管理措施执行落实情况、平台建设运维部门及合作方数据安全保护措施配备情况等。

⑷各项评估报告中应包括评估对象基本情况、评估流程、评估要点对标情况、保障措施配备情况与佐证材料说明、问题分析和改进措施等。

【权限管理】

（1） 明确企业数据处理活动平台系统的用户账号分配、开通、使用、变更、注销等安全保障要求，及账号操作审批要求和操作流程，形成并定期更新平台系统权限分配表，重点关注离职人员账号回收、账号权限变更、沉默账号安全等问题。

（2） 按照业务需求、安全策略及最小授权原则等，合

2重点存量业务（含移动应用软件）：关注具备收集、使用个人信息功能的业务与平台，包括但不限于网掌微厅、即时通信、在线教育、在线医疗、电子商务、位置服务、营销支撑平台、信息登记平台、大数据平台、用户通讯录管理平台、云业务平台及数据合作类业务。

3业务数据处理模式变化：新增数据出境、数据开放共享等重大操作行为，数据采集、传输、存储、使用、开放共享、销毁方式变化，业务模式、运行环境变化

（系统改建、升级或报废），新增合作方、跨业务目的使用和交换数据等情况。

理配置系统访问权限，避免非授权用户或业务访问数据。严格控制超级管理员权限账号数量。

（3）对数据安全管理、数据使用、安全审计等人员角色进行分离设置。涉及授权特定人员超权限处理数据的，由数据安全管理责任部门进行审批并记录；涉及数据重大操作的（如数据批量复制、传输、处理、开放共享和销毁等），采取多人审批授权或操作监督，并实施日志审计。

【安全审计】

①对数据授权访问、批量复制、开放共享、销毁、数据接口