官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期,广州市国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(以下简称《指南》)。《指南》细化完善了上位法要求,成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。
《指南》细化了数据分级分类管理要求,金融等领域、处理超过10万人的个人敏感信息等国企属于数据安全风险较高企业,须将数据安全合规作为重点专项管理;明确企业数据安全管理的三道防线。
总的来说,《指南》分九章,共计58条,以下是《指南》具体内容和亮点。
1、成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。目前数据安全合规领域相对比较前沿,对于数据安全合规管理相关的定义、概念均与目前最新的立法成果保持一致,使得该指南成为地方国资监管机构首部针对数据安全合规专项领域的合规操作指导性文件。
2、将数据安全合规管理的要求纳入现有合规管理组织体系。为确保数据安全合规管理体系落实、落地,避免重复建设,将数据安全合规管理作为监管企业合规管理体系的专项重点领域,纳入现有合规管理体系进行专项深化管理。
3、划分了数据安全合规管理的三道防线。结合监管企业实际情况,明确由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为数据合规管理第二道防线,纪检、审计部门作为数据合规管理第三道防线,并明确了各自的职能和责任。
4、明确了数据分类分级管控标准和管控要求。要求监管企业要根据所属行业相关标准对核心业务数据进行分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。
5、对重大数据安全合规事项纳入“三重一大”事项并实施清单管理。关系国家安全、国民经济安全、重要民生、重大公共利益等数据需要实施清单管理;对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理。
6、引入了数据安全风险评估机制。要求监管企业定期对企业本部及下属各级全资、控股和实际控制子企业的数据安全风险进行全面评估,根据评估结果可以采取差异化管控措施。
7、重视对数据全生命周期管理。要求监管企业在数据安全合规管理过程中,对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。
8、加强与商业伙伴合作中的数据保护。要求监管企业加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。
9、强化个人信息保护。要求监管企业进一步规范和完善个人信息保护机制,加强企业员工、访客个人信息的保护。特别针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足相关管理要求。
10、强化责任监督。一是重视消除风险隐患、防患未然。对发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患;二是对于企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境外提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。
参考来源:广州国资委