正文

【资讯】云南省通管局印发《云南省电信领域数据安全风险评估实施细则(试行)》

admin
admin V管理员 /0 评论 /20 阅读
0218
此篇文章发布距今已超过2天,您需要注意文章的内容或图片是否可用!

↑关注网络与信息法学会 获得更多精彩

云南省通信管理局关于印发
《云南省电信领域数据安全风险评估
实施细则(试行)》的通知
(云通信局发〔2025〕11号)
中国电信云南公司、中国移动云南公司、中国联通云南省分公司、相关互联网企业:
根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)》有关要求,现将《云南省电信领域数据安全风险评估实施细则(试行)》印发给你们,请各企业参照执行。
云南通信管理局
2025年1月20日
云南省电信领域数据安全风险评估
实施细则(试行)
第一条 根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)》有关要求,为引导云南省电信领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,制定本细则。
第二条 本细则适用于云南省内电信领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。
本细则所称的电信领域包含基础电信和增值电信业务领域,重要数据和核心数据处理者由云南省通信管理局按照相关标准进行认定。
第三条 云南省通信管理局统一管理、监督和指导云南省电信领域数据安全风险评估工作,组建云南省电信领域数据安全工作组,组织开展相关评估规范制修订及推广应用。
第四条 重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。
第五条 重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
(一)数据处理目的、方式、范围是否合法、正当、必要;
(二)数据安全管理制度、流程策略的制定和落实情况;
(三)数据安全组织架构、岗位配备和职责履行情况;
(四)数据安全技术防护能力建设及应用情况;
(五)数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
(七)涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况;
(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。
第六条 重要数据和核心数据处理者每年至少开展一次数据安全风险评估,评估结果有效期为一年,以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境,以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。
在有效期内出现以下情形之一的,重要数据和核心数据处理者应当及时对发生变化及其影响的部分开展风险评估:
(一)新增跨主体提供、委托处理、转移核心数据的;
(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的;
(三)发生涉及重要数据、核心数据的安全事件的;
(四)重要数据和核心数据目录备案内容发生重大变化的;
(五)行业监管部门要求进行评估的其他情形。
第七条 重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作能力的第三方评估机构或经云南省电信领域数据安全工作组遴选的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。
第八条 重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估的,可以通过订立合同或者其他具有法律效力的文件,明确双方的权利和责任,向第三方评估机构提供必需的材料和条件,确保相关材料的真实性和完整性,并确认评估结果。
第九条 重要数据和核心数据处理者对评估中发现的数据安全风险隐患,应当及时采取适当措施消除或降低风险隐患。
第十条 重要数据和核心数据处理者应当在评估工作完成后的10个工作日内,向云南省通信管理局报送评估报告。
云南省通信管理局指导云南省电信领域数据安全工作组对重要数据和核心数据处理者的评估报告进行审核,并将评估结果报送工业和信息化部。
第十一条 云南省通信管理局发现不符合法律法规和有关规定的,及时通知重要数据和核心数据处理者依法予以改正。12月25日前,云南省通信管理局将本地区年度评估报告接收和审核情况报送工业和信息化部。
第十二条 云南省电信领域数据安全工作组按要求遴选具备能力的第三方评估机构,建立第三方评估机构管理制度,明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求,跟踪管理第三方评估机构的服务质量,督促第三方评估机构独立、公正、客观、科学地开展数据安全风险评估工作。
第十三条 第三方评估机构应当履行下列义务:
(一)对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私,以及与数据处理者签署的保密协议中约定的保密信息等严格保密;
(二)严格按照国家法律法规、工业和信息化部、云南省通信管理局有关规定以及评估标准,公正、独立地开展评估并出具评估报告,全面、准确、客观地反映重要数据和核心数据处理者的数据安全风险状况,提供务实有效的风险整改建议措施;
(三)除重要数据和核心数据处理者书面同意或者法律、行政法规另有规定外,不得向其他组织或个人提供评估中收集掌握的相关信息。
第十四条 云南省通信管理局根据技术能力、人员配备、信誉资质等情况,择优遴选通过能力认证的第三方评估机构纳入云南省电信领域数据安全风险评估支撑机构库。
云南省通信管理局根据工作需要,组织云南省电信领域数据安全工作组对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。
重要数据和核心数据处理者对云南省通信管理局发起的专项风险评估及监督检查应当予以配合,并对评估发现的相关问题及时进行改正。
第十五条 云南省通信管理局对于违反国家认证认可相关规定的认证机构,将相关线索移交市场监督管理部门处理。
云南省通信管理局对第三方评估机构的评估活动进行监督管理,对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构,视情按照规定权限和程序进行约谈、通报,认证机构应根据通报信息,对不符合认证要求的第三方评估机构依法暂停直至撤销其相应支撑资格。
第十六条 有违反本实施细则行为的,由云南省通信管理局按照相关法律法规,根据情节严重程度给予行政处罚;构成犯罪的,依法追究刑事责任。
第十七条 云南省通信管理局、云南省电信领域数据安全工作组及委托的支撑机构工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。
第十八条 对一般数据处理者数据处理活动开展的数据安全风险评估可参照本细则实施。涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
第十九条 本细则自发布之日起施行。
来源于:云南省通信管理局


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om