本文来自北京市通信管理局。
为全面贯彻《工业和信息化领域数据安全管理办法(试行)》及《北京地区电信领域数据安全管理实施细则》,发挥电信和互联网行业力量,助推北京建设全球数字经济标杆城市,护航京津冀一体化协同发展,夯实首都经济社会高质量发展安全基石,结合2024年度工业和信息化领域数据安全工作重点及北京地区数据安全工作实际,制定本实施方案。
一、总体目标
以贯彻落实《北京地区电信领域数据安全管理实施细则》为抓手,组织开展北京地区电信和互联网行业“三提升一示范”专项行动,着力加强北京地区数据安全风险治理能力、数据安全事件应急处置能力、数据安全管理能力,征集遴选行业数据安全管理和应用试点示范,持续巩固和拓展2023年北京地区电信和互联网行业数据安全“五个一”专项行动治理工作成果,推动完善数据安全治理体系、治理能力建设持续走深走实,为充分发挥数据要素价值、培育新质生产力贡献力量,推动数据安全助推首都经济社会高质量发展。
二、组织方式
北京市通信管理局统筹推进数据安全管理工作,指导监督北京地区电信和互联网行业重点企业落实落细数据安全管理各项要求,有序推进数据安全管理工作;结合数据安全管理工作需求遴选支撑单位,做好政策解读、风险评估、标准研制、工具检测等管理和技术支撑。
电信和互联网企业应按照工作方案要求,强化数据安全主体责任意识,结合企业实际情况,抓好方案的实施落地。
三、重点任务
(一)持续推进数据安全风险治理能力提升
北京市通信管理局将根据工业和信息化部相关工作要求持续深化数据安全风险治理能力专项提升。一是推动数据安全风险评估制度全面落地实施。在2023年数据安全风险评估试点的基础上,对名录内已备案重要数据的企业全面部署风险评估工作要求,解读数据安全风险评估制度要求和方法模型,严格开展评估报告备案审核,敦促企业系统性、综合性、全面性识别数据安全风险,并针对性开展风险处置,有效防范化解重大风险。二是强化数据安全风险防控技术能力。督促企业筑牢数据安全内防内控第一道防线,利用数据安全管理能力和相关技术手段,加强属地数据安全风险信息共享与监测预警。三是开展车联网数据安全专项行动。面向北京地区智能网联汽车、车联网平台企业开展数据安全风险防范能力专项提升,督促指导车联网企业强化数据分类分级管理,落实数据安全风险评估、自动驾驶模型安全检测、数据接口安全防护等管理要求。四是深入开展数据安全风险隐患排查与监督检查。统筹基础电信企业考核、“双随机一公开”“数安护航”专项行动等工作,科学设计风险排查与监督检查方案,以“重点对象回头看、重点要求督落实,热点事件深入查”为原则,针对合作方管理、权限管理、用户数据使用安全、数据中心和云业务安全、大模型数据安全等重点场景,采用现场检查、远程技术监测、随机飞行检查等多种检查方式,全面排查数据安全风险问题,切断风险源头。
电信和互联网企业应积极落实数据安全风险评估制度要求,全面、准确评估数据安全风险并及时落实整改;持续加强自身数据安全技术能力建设优化,健全完善内网侧数据安全监测技术措施。聚焦合作方管理、权限管理等突出风险环节提升风险防范能力,按要求开展风险评估及风险自查,形成风险评估及风险自查报告并按要求报送,针对发现的风险问题,加强风险防范和安全加固,完成风险闭环管理。
(二)全面助力数据安全事件应急处置能力提升
北京市通信管理局将着力完善北京地区电信领域数据安全事件应急处置机制,持续提升数据安全事件综合应对能力。一是出台属地行业数据安全事件应急处置管理要求。按照工信领域数据安全事件应急处置相关要求,结合北京地区工作实际,制定《北京地区电信领域数据安全事件应急预案》,构建事件处置组织体系,明确细化事件定级规则、应急处理机制、应急响应流程、事后总结上报等管理要求,为推动北京地区数据安全应急处置工作制度化、规范化开展提供实施指引。二是组织数据安全事件应急演练试点工作。根据工业和信息化部统一工作部署,以京津冀协同发展十周年为契机,联合天津市、河北省通信管理局,牵头开展京津冀地区电信领域数据安全事件应急演练联合行动,选取京津冀地区大型央企、互联网数据中心等重点企业,针对典型事件场景,制定演练脚本,开展应急演练试点;组织京津冀三地重点企业座谈交流,互相借鉴优势长处,共同学习交流经验。
电信和互联网企业应严格落实数据安全事件应急处置工作要求,制定企业数据安全事件应急预案并定期开展应急演练。试点企业按照我局有关工作部署积极参与试点工作,形成工作总结报送我局,并结合试点工作经验不断完善应急处置工作机制,提升应急处置能力。
(三)重点推进行业数据安全管理能力全面提升
北京市通信管理局将持续提升行业数据安全保护意识与人员能力水平,助力全行业数据安全管理能力进一步提升。一是持续深化重点企业、重要数据安全管理。聚焦重点监管对象,动态更新重点企业名录,及时扩充监管覆盖范围;督促企业严格落实数据识别备案工作,从严开展重要数据和核心数据目录审核;督促企业落实数据分级保护要求,加强重要数据和大规模个人用户数据安全保护。二是组织系列数据安全宣贯培训。强化电信和互联网行业数据安全管理、数据要素流通等相关政策文件、行业标准解读与宣传推广,明确要求、统一思想,为行业数据安全管理工作的顺利开展奠定良好基础。三是大力开展数据安全人才队伍建设。健全人才培养体系、加大人才培养力度、创新人才培养模式,组织开展首席数据官、数据安全管理师、评估师和工程师等紧缺岗位数据安全人才培养,持续性培育、强化、壮大北京地区数据安全人才队伍。四是开展行业标准贯标达标工作。在前期重点企业数据安全监管推进的基础上,面向外资企业、数据基础制度先行区内重点企业开展《电信领域重要数据识别指南》《电信领域数据安全风险评估规范》等重点行业标准贯标达标工作,加大行业数据安全监管覆盖面,进一步提升行业数据安全保护水平,拉齐监管基线,消除监管死角。
电信和互联网企业应主动落实数据安全保护责任要求,识别重要数据并及时向我局备案,加强重要数据、大规模个人用户数据安全保护。通过培训明确政策管理要求,深化工作机制理解,掌握实践操作规程,并积极组织参与数据安全专项培训及行业竞赛,提升数据安全关键岗位人员技能,增强全员数据安全风险意识。
(四)部署开展数据安全管理和应用试点示范
北京市通信管理局坚持发展和安全并重,加大力度强化创新发展驱动,部署开展数据安全管理和应用试点示范工作,设置人才培养、风险评估、事件处置、先进技术产品应用、数据要素安全流通等多条赛道,遴选一批管理水平先进、技术能力突出、应用成效显著的试点示范项目,并鼓励解决方案在各地方、各行业应用推广,充分发挥试点示范带头作用。
电信和互联网企业应坚持将数据安全理念融入业务发展全过程,在数字化转型过程中坚持稳字当头,积极参与优秀解决方案征集遴选,为行业提供可对标、可借鉴、可复制、可推广的数据安全实践案例。
四、工作要求
(一)提高政治站位加强组织领导
电信和互联网企业应充分认清做好数据安全管理工作的重要作用和意义,加强组织领导,完善工作机制,明确职责分工,细化工作方案,跟踪工作进度,认真抓好数据安全管理工作实施方案的落实,确保各项工作按时按质完成。
(二)强化工作部署推动工作落实
电信和互联网企业应扛起主体责任,认真组织方案的学习宣贯,结合本单位实际制定切实可行工作计划,确保数据安全管理工作高起点推进。各企业应根据自身数据安全管理工作特点,对标法律法规和政策标准,建立健全内部各项制度,数据安全管理责任部门牵头做好本单位数据安全管理工作。
(三)做好信息共享增强协同联动
电信和互联网企业应积极总结工作经验,做好重大事件、重要节点的信息共享与上报,探索建立政企联动、跨企协同工作机制,多方协作,共同推动北京地区电信和互联网行业数据安全工作走深走实,构筑数据安全首都防线。