点击上方蓝字关注「魔都安全札记」
为建立健全网络数据分类分级制度及重要数据目录管理机制,保障网络数据安全,促进网络数据开发利用,依据有关法律法规,上海市网信办会同市数据局起草了《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径提出反馈意见:2.通过信函方式将意见寄至:上海市徐汇区宛平路315号上海市互联网信息办公室网络安全处,邮编200030,并在信封上注明“网络数据分类分级和重要数据目录管理办法征求意见”。附件:上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)上海市网络数据分类分级和
重要数据目录管理办法
(征求意见稿)
为建立健全网络数据分类分级制度及重要数据目录管理机制,保障网络数据安全,促进网络数据开发利用,保护个人、组织的合法权益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《上海市数据条例》等法律法规要求,结合本市实际,制定本办法。本办法适用于在本市范围内开展的各行业、各领域的网络数据分类分级规则制定、网络数据分类分级实践、重要数据识别处理、网络数据安全保护体系建立等工作及其安全监管行为。开展核心数据的网络数据处理活动,按照国家有关规定执行。开展涉及国家秘密、工作秘密的网络数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。本办法所称网络数据,是指通过网络处理和产生的各种电子数据。重要数据,是指特定领域、特定群体、特定区域或达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。公共数据,是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织,在履行公共管理和服务职责过程中收集和产生的数据。网络数据处理者,是指在网络数据处理活动中自主决定处理目的、处理方式的个人、组织。网络数据安全,是指通过采取必要措施,确保网络数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。本市实行网络数据安全工作与业务工作协同管理,网络数据分类分级和重要数据目录管理应当结合网络数据所属行业领域特点,按照谁主管谁负责、属地管理的原则,坚持“谁收集谁负责、谁持有谁负责、谁使用谁负责”,统筹促进网络数据开发利用与保障网络数据安全。我市数据安全工作协调机制负责统筹协调网络数据安全重大事项和重要工作。市网信部门负责统筹协调本市网络数据安全和相关监督管理工作,推进网络数据分类分级和重要数据目录管理。市数据部门负责组织协调数据发展管理,推动公共数据资源开发利用,指导市大数据中心结合公共数据上链、数据开发利用等要求,推动各部门落实本市公共数据分类分级和重要公共数据目录管理。本市各主管部门负责承担本行业、本领域网络数据安全监督管理职责,统筹本行业、本领域网络数据分类分级、重要数据目录确定、指导重要数据处理者履行安全保护责任等工作。各部门对本部门工作中收集和产生的网络数据及网络数据安全负责,推进本部门数据分类分级和重要数据目录确定。市公安机关、国家安全机关在各自职责范围内承担网络数据安全监管职责。网络数据分类分级应当遵循国家有关规定,按照网络数据所属行业领域要求,依据科学实用、边界清晰、就高从严、点面结合、动态更新等原则进行。如所属行业、领域没有主管部门认可的网络数据分类分级标准规范,或存在相关行业、领域规范未覆盖的网络数据类型,参照国家网络数据分类分级标准进行网络数据分类分级。网络数据分类应当根据网络数据管理和使用需求,结合网络数据所属行业领域已有的网络数据分类基础,灵活选择业务属性将网络数据逐级细化分类。涉及法律法规有专门管理要求的网络数据类别(如个人信息、公共数据),应按照有关规定和标准进行识别和分类。网络数据分级应当根据网络数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将网络数据从高到低分为核心数据、重要数据、一般数据三个级别。一般数据级别可根据本单位网络数据管理和使用需求进一步分级。公共数据、行业数据等有明确分级要求的从其规定。当网络数据业务属性、重要程度和可能造成的危害程度变化时,应当对网络数据的级别进行动态更新。网络数据分类分级工作可以按照梳理网络数据资产、制定网络数据分类分级内部规则、实施网络数据分类、实施网络数据分级、形成网络数据资产清单、按有关程序上报重要数据目录等步骤开展。所属行业、领域有明确网络数据分类分级流程的从其规定。完成网络数据分类分级后,不同类别、级别的网络数据应当根据法律法规要求采取不同的保护措施,建立重要数据重点保护、一般数据全周期分级保护体系。重要数据识别主要依据相关法律法规,行业、领域重要数据识别指南,数据分类分级相关国家标准等。各部门应当将相关重要数据识别依据报送至市网信部门。网络数据处理者应当对所处理的数据情况进行盘点、梳理和分类分级,并判断其对国家安全、经济运行、社会稳定、公共健康和安全可能造成的影响,按照国家有关规定识别、申报重要数据。各主管部门根据本行业、领域实际,审核申报情况,对确认为重要数据的,应当及时向网络数据处理者告知或者公开发布,同时将相关网络数据处理者纳入到重要数据处理者名单。各主管部门应当结合实际,按照下列方式之一组织开展本行业、领域重要数据目录制定工作:(一)对照国家部委明确的本行业、领域重要数据目录,排摸掌握本行业、领域属地重要数据处理者底数及重要数据底数,形成我市本行业、领域重要数据目录;(二)根据本行业、领域数据分类分级标准规范及重要数据识别规则或数据分类分级相关国家标准,组织本行业、领域数据处理者报送重要数据识别情况,形成我市本行业、领域重要数据目录;各部门应当结合实际,参照行业、领域重要数据目录制定方式,形成本部门重要数据目录。各主管部门应当要求重要数据处理者在数据的业务属性、重要性和可能造成的危害程度发生变化时,重新开展重要数据识别,并上报变更情况。各部门应当在本部门以及相关行业、领域数据重要程度和可能造成的危害程度变化、或重要数据处理者掌握数据发生变化时,更新本部门以及相关行业、领域重要数据目录。各部门应当在重要数据目录制定完成或发生重大变化时,及时报告市网信部门。重要数据处理者应当履行网络数据安全保护责任,明确网络数据安全负责人和网络数据安全管理机构,对重要数据进行重点保护。重要数据处理者应当每年度对网络数据处理活动开展风险评估,并向主管部门报送风险评估报告,有关主管部门应当及时通报市网信部门、市公安部门。各主管部门应当排摸掌握本行业、领域重要数据出境情况,涉及重要数据出境的,应当指导督促网络数据处理者通过市网信部门申报数据出境安全评估。各部门在公共数据目录编制过程中,应当同步完成公共数据分类分级和重要公共数据识别,依托市大数据资源平台开展重要公共数据目录编制、上链工作。公共数据中的重要数据目录,由各部门通过市大数据资源平台统一标记,并纳入本市公共数据统一管理。各部门应当按照相关规定,明确不同级别公共数据的共享应用场景、数据应用模式、共享方式,完善权限管理和审核机制,推动公共数据安全、便捷共享。因数据分级需调整原有公共数据共享属性的,各部门应当提供依据,报市数据部门同意。对于重要数据和较高级别的一般数据,各部门在确保安全可控的前提下,通过隐私计算、数据脱敏、匿名化等技术手段,可以依场景运用公共数据,充分促进数据要素流通利用。自然人、法人和非法人组织明确授权使用其公共数据的,应当按照授权依法提供。纳入公共数据开放和授权运营范围的公共数据,应当优先完成数据分类分级和重要数据识别,保障公共数据资源安全开发利用。市网信部门定期会同数据管理等相关部门开展网络数据安全检查,形成检查结果并进行通报,督促网络数据处理者做好网络数据分类分级相关工作。各主管部门对本行业、领域数据分类分级、重要数据保护行为进行监督,确保网络数据处理者能够依照规定识别申报重要数据,并加强重点保护。市网信部门综合运用日常监督和评估结果,将各部门网络数据分类分级和重要数据目录管理工作纳入绩效考核。各区、各部门应当加强组织领导、资金投入、人才队伍建设和法律法规宣传,合理保障网络数据分类分级、重要数据目录管理工作。星球里有什么?
各类监管通知,法律法规安全标准整理,各类等级保护、安全检查checklist、培训ppt模版、漏洞预警定期更新:
我会坚持更新公众号和知识星球,希望能跟大家一起不断提升自我,结伴前行。可领优惠券或私我(限时免费)加入
还没有评论,来说两句吧...