工业和信息化领域数据安全合规指引.pdf

1、编制单位编制单位工业信息安全产业发展联盟中国钢铁工业协会中国有色金属工业协会中国石油和化学工业联合会中国建筑材料联合会中国机械工业联合会中国汽车工业协会中国纺织工业联合会中国轻工业联合会中国电子信息行业联合会中国计算机行业协会中国通信企业协会中国互联网协会中国通信标准化协会中国中小企业国际合作协会中国通信学会工业和信息化部商用密码应用产业促进联盟编制说明编制说明数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通等各环节，保障数据安全，事关国家安全大局。工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。随着数字化转型进入全面加速期，

2、数据的价值和重要性不断提升，数据泄露、篡改、破坏导致的影响日趋严重。国家层面对数据安全更加重视，中华人民共和国数据安全法 中华人民共和国网络安全法中华人民共和国个人信息保护法网络数据安全管理条例数据出境安全评估办法促进和规范数据跨境流动规定等数据安全相关法律法规、政策文件不断颁布实施，为开展数据安全监管和保护工作提供了根本遵循，对数据处理者落实数据安全保护责任义务指明了方向、提出了要求。工业和信息化部作为工业和电信行业数据安全工作的主管部门，结合行业实际，衔接法律法规，陆续出台发布了工业和信息化领域数据安全管理办法（试行）工业和信息化领域数据安全行政处罚裁量指引（征求意见稿）工业和信息化领域数

3、据安全风险评估实施细则（试行）工业和信息化领域数据安全事件应急预案（试行）等政策文件，细化了工业和信息化领域数据处理者合法合规开展数据处理活动的实施路径和主要内容。编制工业和信息化领域数据安全合规指引，聚焦数据处理者在履行数据安全保护义务过程中的难点问题，明确数据安全合规依据，提供实务指引，有利于支撑数据处理者全面、准确、规范开展数据安全合规管理，提升数据安全保护能力。I目目录录1 1 工业和信息化领域数据安全合规建设概述工业和信息化领域数据安全合规建设概述.1 11.1 数据安全合规建设目的.11.2 数据安全合规建设依据.11.3 适用范围.21.4 术语和定义.22 2 数据分类分级数据

4、分类分级.4 42.1 数据调研.42.2 数据梳理.42.3 数据分类.42.4 数据分级.52.5 目录报备.52.6 目录动态更新.63 3 数据安全管理体系数据安全管理体系.7 73.1 数据安全组织架构.73.2 数据安全管理制度.103.3 权限管理.103.4 内部审批、登记.113.5 系统与设备安全管理.113.6 容灾备份.123.7 合作方管理.133.8 日志管理.153.9 监督检查.163.10 配合监管.174 4 数据全生命周期保护数据全生命周期保护.19194.1 数据收集.194.2 数据存储.204.3 数据使用加工.204.4 数据传输.214.5 数据

5、提供.224.6 数据公开.23II4.7 数据销毁.234.8 数据委托处理.244.9 数据转移.244.10 其他事项.255 5 数据安全风险监测预警、报告、处置数据安全风险监测预警、报告、处置.26265.1 数据安全风险监测预警.265.2 数据安全风险信息报告.265.3 数据安全风险处置.276 6 数据安全事件应急处置数据安全事件应急处置.28286.1 制定应急预案.286.2 开展应急演练.286.3 数据安全事件报告.286.4 应急响应.286.5 先行处置.296.6 总结上报.296.7 数据安全事件告知.297 7 数据安全风险评估数据安全风险评估.30307.

6、1 组建评估团队.307.2 确定评估范围.307.3 制定评估方案.317.4 实施风险评估.317.5 形成评估报告.317.6 评估时间及上报行业监管部门.327.7 风险评估特殊场景.328 8 数据出境安全管理数据出境安全管理.33338.1 数据出境安全评估.338.2 订立个人信息出境标准合同.368.3 通过个人信息保护认证.368.4 个人信息出境的注意事项.378.5 数据出境的豁免情形.378.6 遵守出口管制要求的合规义务.388.7 境外执法或司法机构调取数据时合规义务.389 9 数据交易数据交易.3939工业和信息化领域数据安全合规指引第 1 页202420241

7、 1 工业和信息化领域数据安全合规建设概述工业和信息化领域数据安全合规建设概述1 1.1 1 数据安全合规建设目的数据安全合规建设目的为引导工业和信息化领域数据处理者合法合规开展数据处理活动，履行数据安全保护义务，保障数据安全，保护个人、组织的合法权益，维护国家主权、安全和发展利益，根据我国现行数据安全法律法规以及工业和信息化领域相关政策标准，制定本指引。1 1.2 2 数据安全合规建设依据数据安全合规建设依据中华人民共和国国家安全法中华人民共和国数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法网络数据安全管理条例促进和规范数据跨境流动规定数据出境安全评估办法个人信息出境标准合同

8、办法个人信息保护认证实施规则工业和信息化领域数据安全管理办法（试行）工业和信息化领域数据安全风险评估实施细则（试行）工业和信息化领域数据安全事件应急预案（试行）数据安全技术 数据分类分级规则信息安全技术 信息系统密码应用基本要求工业领域重要数据识别指南工业企业数据安全防护要求工业领域数据安全风险评估规范电信领域重要数据识别指南电信领域数据安全分级保护要求电信领域数据安全风险评估规范工业和信息化领域数据安全合规指引第 2 页202420241 1.3 3 适用范围适用范围工业和信息化领域数据处理者可参照本指引开展数据处理活动全生命周期安全保护工作。本指引所称工业和信息化领域数据处理者是指数据处理

9、活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、电信和互联网企业，以及无线电频率、台（站）使用单位等工业和信息化领域各类主体。数据处理过程中涉及工业和信息化领域数据的其他有关主体，可参照本指引落实数据安全责任义务。1 1.4 4 术语和定义术语和定义1 1.4 4.1 1 重要数据重要数据指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响工业和信息化领域数据处理者自身的数据一般不作为重要数据。1 1.4 4.2 2 核心数据核心数据指特定领域、特定群体、

10、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可直接对国家安全、经济运行、社会稳定、公共健康和安全造成严重危害的数据。1 1.4 4.3 3 一般数据一般数据核心数据、重要数据之外的其他数据。1 1.4 4.4 4 重要数据和核心数据处理者重要数据和核心数据处理者数据处理活动中自主决定重要数据和核心数据处理目的、处理方式的主体。1 1.4 4.5 5 一般数据处理者一般数据处理者数据处理活动中自主决定一般数据处理目的、处理方式的主体。工业和信息化领域数据安全合规指引第 3 页202420241 1.4 4.6 6 行业监管部门行业监管部门本地区本领域的工业和信

11、息化主管部门、通信管理局和无线电管理机构，统称为地方行业监管部门。工业和信息化部及地方行业监管部门统称为行业监管部门。1 1.4 4.7 7 工业数据工业数据工业领域各行业企业在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。1 1.4 4.8 8 电信数据电信数据电信和互联网企业在经营活动中产生和收集的数据。工业和信息化领域数据安全合规指引第 4 页202420242 2 数据分类分级数据分类分级2 2.1 1 数据调研数据调研定期对本单位数据情况，以及数据安全管理制度、组织架构、人员配备、技术防护、风险监测能力等内容进行现状调研，明确当前所处数据安全管理水平，明晰

12、数据安全保护薄弱环节，为进一步做好数据安全工作提出工作举措。2 2.2 2 数据梳理数据梳理（1）每年对本单位数据至少开展一次全面梳理，形成数据清单，并跟踪维护。数据清单包含数据类型、级别、规模、数据处理方式、存储位置、用途、出境情况、共享应用情况等内容，详见附件。（2）梳理过程中，可综合考虑业务规模、种类，数据数量、种类，涉及系统的复杂程度等因素，组建由管理层、数据安全管理责任部门、数据所属部门（包括职能部门和业务部门）等人员组成的工作团队，制定工作计划，分解任务，全面、系统梳理数据。（3）建立数据清单的例行维护机制，对数据变更的跟踪、审核和更新进行动态管理。2 2.3 3 数据分类数据分类

13、按所属行业要求、特点、业务需求、数据来源和用途等，对数据进行分类，具体可采取“所属行业业务领域业务特点（属性）细化业务特点（属性）”的分类方式制定数据分类规则：（1）工业领域可分为研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据、人事财务数据等）、外部数据域（与其他主体共享的数据等）等。（2）电信数据分类可分为网络规划运维数据域（网络规划建设、网络运行维护等）、安全保障数据域（网络与数据安全保障、物理安全保障、应急通信保障等）

14、、经济运行与业务发展数据域（发展战略与重大决策、关系国家安全和公工业和信息化领域数据安全合规指引第 5 页20242024共利益的非公开统计数据等）、关键技术成果数据域（涉及电信领域出口管制物项相关数据，重大科技成果、国家科技计划等活动中产生的先进技术数据等）等。可结合自身业务特点进一步细化三、四级数据分类。2 2.4 4 数据分级数据分级工业和信息化领域数据分为一般数据、重要数据和核心数据三级，具体数据分级步骤如下：（1）重要数据识别工业领域重要数据从国家秘密生成、国家安全、行业发展安全、出口管制物项、行业特色以及其他共 6 个维度进行识别。具体识别规则可参照工业领域重要数据识别指南。电信领

15、域重要数据从反映信息系统重要程度、影响行业发展程度、科技成果先进程度数据，以及人群覆盖程度等维度进行识别。具体识别规则可参照电信领域重要数据识别指南。（2）核心数据识别核心数据识别由行业监管部门审核确定。（3）一般数据识别结合本单位业务情况及业务经营管理需求，可对一般数据进行进一步细化分级。2 2.5 5 目录报备目录报备（1）完成全部重要数据识别工作后，根据识别结果规范填写重要数据目录备案表。备案表主要包括数据基本情况、责任主体情况、数据处理情况、数据安全情况等信息。（2）按工作部署要求主动报送重要数据目录，如每年 8 月 30 日前向地方行业监管部门报送重要数据目录。（3）如重要数据目录未

16、获得地方行业监管部门审核认定，则按要求修改完善目录后重新报备，或者重新开展重要数据识别和目录报送工作。工业和信息化领域数据安全合规指引第 6 页20242024（4）根据地方行业监管部门审核认定的重要数据目录，按要求开展保护。2 2.6 6 目录动态更新目录动态更新发生下述情形之一时，在发生变化的三个月内向地方行业监管部门履行备案变更手续，更新目录备案表，说明具体情况。（1）重要数据和核心数据的类别或规模（条目数量或者存储总量）变化 30%以上。（2）其他备案内容发生重大变化的，如变更重要数据和核心数据的详细描述、数据安全风险评估情况、数据安全负责人等。（3）销毁、转移重要数据和核心数据。在上

17、述工作中，可根据自身业务发展需要，聘请技术专家、第三方咨询机构参与、指导数据梳理、数据分类分级、目录备案管理等工作，确保结果的准确性、规范性。工业和信息化领域数据安全合规指引第 7 页202420243 3 数据安全管理体系数据安全管理体系3 3.1 1 数据安全组织架构数据安全组织架构3 3.1 1.1 1 一般数据处理者一般数据处理者（1）配备数据安全管理责任部门明确数据安全管理责任部门，配备熟悉数据安全相关法律法规、专业技术知识等的专职或兼职数据安全管理人员。数据安全管理责任部门负责统筹本单位数据处理活动的安全监督管理，可独立设置，也可结合实际情况由职责相近的有关部门负责，主要承担以下职

18、责：组织制定本单位数据安全管理制度规范与工作计划，并推动其有效实施。统筹实施、指导数据安全管理工作，并对数据安全管理情况进行评估与检查。为单位内相关职能部门提供数据安全咨询与支持。及时向管理层报告数据安全重大风险和数据安全工作落实情况。对行业监管部门开展监管执法工作予以积极配合。与其他数据所属部门协同，确保数据安全管理工作的全面性与有效性。（2）开展数据安全教育与培训 定期组织或协助相关部门开展数据安全培训，每年至少开展一次。结合业务经营需求制定数据安全培训计划，明确培训内容、频率、人员、时长、考核要求等。培训范围包括数据安全管理、评估、审计以及系统开发运维、业务运营、客户服务等人员。培训内容

19、包含岗位内数据安全有关职责、数据安全法规、本单位数据安全制度规范及工作计划、数据安全领域知识技能、数据安全保护意识和责任义务等。工业和信息化领域数据安全合规指引第 8 页202420243 3.1 1.2 2 重要数据和核心数重要数据和核心数据处理者据处理者（1）明确领导责任本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人。数据安全第一责任人主要负责单位内数据安全管理制度的构建和运行，提供必要的资源保障和条件支持，牵头特别重大数据安全事件应急处置等。数据安全直接责任人主要负责：确立符合本单位战略方向的数据安全方针和目标。保障数据安全管理责任部门具备独

20、立履行职责的能力与权限。审批单位内重大数据安全合规事项。确保将数据安全管理要求融入单位内的业务过程。解决数据安全工作中的关键问题，确保本单位数据安全工作顺利进行。确保建立有效的数据安全违规举报与惩处机制。（2）建立数据安全工作架构设置数据安全管理责任部门并配备至少一名熟悉数据安全相关法律法规、专业技术知识等的数据安全专职人员，建立健全覆盖数据安全管理责任部门以及研发设计、生产制造、经营管理、运行维护、外部服务、采购、销售、审计、法务等相关部门的数据安全工作体系。数据安全管理责任部门主要负责：组织制定单位内数据安全管理制度规范与工作计划，并推动其有效实施。统筹实施数据安全管理工作，并对数据安全管

21、理情况进行评估与检查。建立数据安全举报与调查机制，对数据安全合规举报制定调查方案并开展调查。定期组织或协助相关部门开展数据安全培训，为单位内相关部门提供数据安全咨询与支持。工业和信息化领域数据安全合规指引第 9 页20242024 向数据安全直接责任人报告数据安全重大风险和相关工作落实情况。对行业监管部门开展监管执法工作予以积极配合。与其他数据所属部门协同，确保数据安全管理工作的全面性与有效性。单位内开展数据处理的各职能与业务部门配合数据安全相关管理工作，具体职责如下：结合单位内数据安全管理制度规范和工作指引，明确本部门日常数据处理活动的全生命周期要求和具体工作机制。确保本部门员工遵守数据安全

22、制度规范，履行数据安全义务。配合数据安全责任部门开展监督检查、风险评估、整改等各项工作。密切监测日常数据处理工作中的数据安全风险，并采取适当的安全保护措施。当发现数据处理活动存在较大数据安全风险或者发生数据安全事件时，及时向数据安全管理责任部门报告，并配合采取应急处置和整改措施。（3）设置关键岗位和职责 将处理重要数据和核心数据的操作人员，关键业务系统、平台管理人员及设备运维人员，高操作权限的管理人员（如负责审批重要数据和核心数据对外提供、委托处理、出境等环节，以及数据批量导出导入、跨法人主体传输等人员）等设定为关键岗位，明确岗位职责。要求关键岗位人员签署数据安全责任书，责任书内容包括但不限于

23、数据安全岗位职责、义务、处罚措施、注意事项等内容。要求关键岗位离职人员签订保密承诺书，继续履行不泄露本单位数据的责任义务。（4）开展数据安全教育与培训可在满足 3.1.1 要求的基础上，对培训内容、频率、时长、考核要求等进行强化。（5）开展背景调查工业和信息化领域数据安全合规指引第 10 页20242024若单位内掌握行业监管部门规定的特定种类、规模重要数据，需对数据安全第一负责人、数据安全直接责任人和关键岗位的人员开展安全背景审查。3 3.2 2 数据安全管理制度数据安全管理制度依照法规政策规定，结合所属行业领域的数据特征、数据处理场景等，建立健全覆盖数据全生命周期的差异化数据安全管理制度，

24、涵盖本单位数据安全管理、数据分类分级、数据全生命周期保护管理、数据安全风险评估、数据容灾备份与恢复、数据安全应急处置、数据跨境安全传输、数据合作协议规范、个人信息保护管理、合作方管理等有关要求。对重要数据与核心数据实施更加严格的制度管理和操作规范，设置更为严格的数据处理权限、建立内部登记审批机制，采取记录访问和操作留痕等方式，强化重要数据与核心数据的安全保障。3 3.3 3 权限管理权限管理3 3.3 3.1 1 一般数据处理者一般数据处理者（1）制定数据访问处理权限管理制度。明确数据权限分配、开通、使用、变更、注销等要求和审批流程，避免出现越权访问、下载、复制、修改数据等行为。（2）严格实施

25、人员权限管理，按照最小授权原则合理确定数据访问与操作权限、分配账号权限，仅在完成职责所需的范围内授予特定人员最小必要的数据操作权限。建立并定期更新权限分配情况台账，确保权限到人。（3）合理界定相关人员的数据访问和处理权限，对数据处理、数据安全管理、日志审计等岗位角色进行分离设置，严格控制超级管理员权限账号数量，确保超级管理员权限账号存在的必要性。3 3.3 3.2 2 重要数据和核心数据处理者重要数据和核心数据处理者在满足 3.3.1 的基础上，做好以下工作：（1）配备账号管理保障功能，如限制非正常登录次数、登录连接超时自动退出、配置口令遗忘申请和重置流程、账号口令加密保护、低活跃度账号监测、

26、工业和信息化领域数据安全合规指引第 11 页20242024沉默账号、失效账号定期检测关闭等措施。（2）定期审计重要数据和核心数据相关账号分配台账，重点关注离职人员账号回收、账号权限变更、沉默账号安全等问题，在人员变更、调离或终止劳动合同时，及时变更或终止其数据处理权限。（3）采用安全措施对权限数据进行完整性保护，防止权限数据被非授权篡改。3 3.4 4 内部审批、登记内部审批、登记3 3.4 4.1 1 一般数据处理者一般数据处理者根据业务经营需求，可参照重要数据和核心数据处理者要求建设应用。3 3.4 4.2 2 重要数据和核心数据处理者重要数据和核心数据处理者（1）针对重要数据和核心数据

27、对外提供、委托处理、转移、销毁、公开、出境，以及批量导入导出、跨法人主体进行传输等情形建立内部登记、审批机制，明确重要数据和核心数据访问处理单次授权、多人审批和行为审计等要求和登记、审批流程。通过专线或线下方式访问处理重要数据和核心数据的，应对数据处理方式、数据流转区域范围、数据承载介质等管理要求和登记、审批流程进行明确。（2）审批时应提交相关数据操作所涉及的数据处理主体、数据数量、类别、级别、处理方式、目的、范围、时效，以及审批人员和时间。审批通过后，留存审批记录，形成台账。通过线下表单、邮件等方式进行审批的还应留存原始审批记录，方便溯源查询。（3）审批程序上履行先审后做的要求，避免出现审批

28、时间和数据处理时间倒挂情形。3 3.5 5 系统与设备安全管理系统与设备安全管理3 3.5 5.1 1 一般数据处理者一般数据处理者（1）对数据库、研发终端、关键业务设备、开发代码库等数据载体及数据采集系统进行安全配置，建立安全配置清单，定期进行配置审计。工业和信息化领域数据安全合规指引第 12 页20242024（2）密切关注数据载体的重大安全漏洞及其补丁发布，及时采取升级措施，短期内无法升级的，开展针对性安全加固。（3）加强对直接或间接访问数据载体的登录账户、口令管理，避免使用默认口令或弱口令，定期更新口令，禁止账号共享。（4）在服务器、工程师站等主机上部署防病毒软件或采用应用软件白名单技

29、术，防范勒索病毒等造成的数据破坏攻击行为。（5）采取最小化原则，避免关键业务系统面向互联网开通 HTTP、FTP、Telnet、RDP 等高风险通用网络服务，对必要开通的网络服务采取安全接入代理等手段进行用户身份认证和应用鉴权。3 3.5 5.2 2 重要数据和核心数据处理者重要数据和核心数据处理者在满足 3.5.1 的基础上，做好以下工作：（1）对涉及重要数据和核心数据处理活动的数据载体加强访问控制，设置多因子身份鉴别、口令复杂度策略、账号锁定策略等安全措施。（2）对涉及重要数据和核心数据处理活动的数据载体，通过防火墙、网闸等防护设备设置合理的隔离方式，包括物理隔离、逻辑隔离等。（3）对关键

30、业务系统的开发、测试和生产环境进行逻辑或物理隔离。（4）处理重要数据的系统应满足三级及以上网络安全等级保护要求，处理核心数据的系统依照关键信息基础设施安全保护有关规定从严保护。3 3.6 6 容灾备份容灾备份3 3.6 6.1 1 一般数据处理者一般数据处理者根据业务经营需求，可参照重要数据和核心数据处理者要求建设应用。3 3.6 6.2 2 重要数据和核心数据处理者重要数据和核心数据处理者（1）数据安全管理责任部门组织数据所属部门明确重要数据和核心数据的备份要求和操作规程，制定备份策略，策略内容应包括数据备份对象、责任人、操作步骤、周期、备份方式（如全量备份、增量备份）、异地备份要求、存储介

31、工业和信息化领域数据安全合规指引第 13 页20242024质、命名规则、保存期、责任人以及有效性测试周期等。对核心数据存储设备进行硬件冗余，启用实时数据备份功能，保证主设备出现故障时，冗余设备可以及时切换并恢复数据。（2）数据所属部门按照备份策略，对重要数据和核心数据分别开展备份。（3）数据安全管理责任部门对是否备份、是否按要求备份等情况进行验证与检查。（4）数据安全管理责任部门组织数据所属部门根据策略的要求定期执行备份介质有效性测试，确保备份介质内的数据准确性、安全性、完整性，并填写形成测试报告，留存相关记录。（5）涉及非电子化重要数据和核心数据的，应明确相关数据备份单独存放、专门管理等要

32、求，并建立包括备份数据名称、类别级别、数据规模、备份介质、存放地点、备份周期和责任人等信息的台账，同时明确台账视同重要数据进行管理。3 3.7 7 合作方合作方管理管理3 3.7 7.1 1 本单位向合作方提供重要数据或核心数据本单位向合作方提供重要数据或核心数据（1）开展合规性与必要性评估评估内容包括数据提供的必要性，涉及数据的数量、类别、级别、范围、使用用途等，是否存在数据泄露等风险，以及采取的保护措施等，确保数据提供合法、正当、必要。（2）审核合作方保护能力审核内容包括数据安全风险评估结果、数据安全制度设置和日常管理（企业管理制度建立情况、管理落实机制建设情况、相关工作记录等）、技术手段

33、应用（数据保护、风险监测等技术手段能力说明、建设规范、应用截图）等。审核方式可自行审核，也可组织单位内部相关部门联合审核，必要时还可聘请技术专家、第三方咨询机构等参与、指导审核工作。若数据接收方为境外相关组织机构，按照本指引第 8 章进行管理。工业和信息化领域数据安全合规指引第 14 页20242024（3）签订数据安全协议通过签订合同协议等方式明确不同类型数据提供的安全保护方式以及双方数据安全责任和义务。数据安全协议可参考下述内容：数据提供的基本情况，如数据类型、级别、使用目的、方式、用途、范围、数据安全保护要求等。明确禁止不缓存、窃取、泄漏、滥用、非法向其他人提供本单位数据等要求，不将加工

34、后的数据还原成原始数据。明确合作方员工在本单位平台系统中的权限范围（符合最小化原则）等。履行保密义务。合作结束后，要求合作方及时销毁数据。违约责任和处罚条款。发生数据安全事件或存在数据安全风险，立刻暂停合作，进行整改。整改未完成前，不开展数据合作。遵守本单位相关管理办法，配备相应的数据安全保护措施，并接受必要的安全监控和审计等，对履行义务情况进行监督。（4）人员管理根据岗位职责对合作方人员设置相应的平台系统、物理设施访问权限。对接触重要数据和核心数据，涉及数据批量操作，对关键业务系统拥有管理权限的合作人员进行背景审查和保密审查。在合作方人员转岗或离岗前，要求数据接收方提供相关人员转岗或离岗申请

35、书，用人部门根据相关规定完成相关人员的账号回收、审核、权限调整等工作，并签署转岗或离岗审批意见，签订数据安全保密承诺书，合作方人员方可转岗或离岗。（5）建立管理台账建立合作方管理台账，梳理形成并定期更新本单位涉及的合作方清单，包含单位名称、业务或系统、数据接收形式、合作期限、数据接收方联系人、数据接收方是否发生过数据安全事件等，加强对合作方数据使用情况的监督管理。工业和信息化领域数据安全合规指引第 15 页202420243 3.7 7.2 2 本单位从合作方接收重要数据或核心数据本单位从合作方接收重要数据或核心数据（1）数据合规性审核审核合作方身份，并对合作方提供的数据来源的合法性进行确认，

36、留存审核、交易记录，确保数据的真实性、有效性、安全性，避免收集不明来源的数据。（2）落实数据安全保护根据数据安全协议或数据转移方案在相关服务履约过程中履行数据安全保护责任，按照数据级别落实防护要求。配合合作方开展数据提供前的数据保护能力评估与审核、数据提供中的数据安全保护情况的监督检查等工作。若发生数据安全事件或发现重大数据安全风险，第一时间向合作方报告，并立刻采取处置措施，消减危害影响。3 3.8 8 日志管理日志管理3 3.8 8.1 1 一般数据处理者一般数据处理者（1）数据全生命周期处理过程中对数据处理、权限管理、人员操作、数据授权访问、批量操作、开放共享、销毁、数据接口调用等重点环节

37、实施日志留存管理，日志记录包括执行时间、操作账号、处理方式、授权情况、IP 地址、登录信息等，能够对识别和追溯数据操作和访问行为提供支撑。（2）日志留存时间不少于 6 个月。（3）可对数据处理活动定期开展审计活动，形成审计报告，并对审计发现的问题进行处理，形成闭环管理。3 3.8 8.2 2 重要数据和核心数据处理者重要数据和核心数据处理者在满足 3.8.1 的基础上，做好以下工作：（1）对日志访问和处理加强管理。（2）对高风险操作（如批量复制、批量传输、批量销毁等操作）日志进行备份和完整性校验，保障日志文件的可用性和真实性。工业和信息化领域数据安全合规指引第 16 页20242024（3）对

38、重要数据和核心数据收集、传输、访问、使用、提供等进行定期审计，形成审计报告，并对审计发现的问题进行处理，形成闭环管理。可通过统一安全审计平台等方式实现审计功能。（4）记录维护数据安全所需的日志。涉及安全事件处置溯源的，相关日志留存时间不少于 1 年；涉及向他人提供、委托处理、共同处理重要数据和个人信息的，相关日志留存时间不少于 3 年；涉及核心数据安全、事件处置、溯源相关日志留存时间不少于 3 年。（5）采用安全措施对重要日志数据进行安全保护，防止重要日志数据被泄露、篡改。3 3.9 9 监督检查监督检查可结合实际需要建立单位内部数据安全监督检查机制，对数据安全管理情况和落实效果进行监督检查，

39、保障监督检查工作的标准化、制度化、精细化、规范化。3 3.9 9.1 1 监督检查工作机制监督检查工作机制（1）本单位数据安全管理责任部门负责对各职能与业务部门进行数据安全义务落实情况的监督、检查、核查、督促、整改等工作。（2）可于每年年初结合上一年监督检查情况，制定本年度监督检查计划。（3）可按照每年至少一次的频率，组织相关部门开展监督检查。（4）针对地方行业监管部门发现并通报的重大数据安全事件，或外部形势发生的重大变化，数据安全管理责任部门可适时增加监督检查频率或进行专项监督检查。3 3.9 9.2 2 监督检查内容监督检查内容（1）数据分类分级落实情况，如数据梳理范围是否全面，新上线系统

40、等新增数据是否纳入梳理范围，是否有新增重要数据和核心数据，已识别的重要数据和核心数据是否发生变更等。（2）数据安全教育培训情况，如是否按照制度要求完成教育培训，覆盖人工业和信息化领域数据安全合规指引第 17 页20242024员、培训内容、培训时长和频率等是否符合有关要求。（3）技术措施部署情况，如是否基于数据分类分级情况配备相应的数据安全保护措施（数据加密、操作权限管理、数据流动记录、人员操作记录、数据备份与恢复等技术能力和措施是否落实到位）。（4）监测溯源技术能力落实情况，如是否具备相应技术手段开展重要数据和核心数据实现安全风险监测、数据安全事件溯源、数据公网暴露等。（5）接口安全情况，如

41、是否明确数据接口调用安全控制措施、数据接口使用规则及协议，是否具备接口鉴权、接口调用审计、接口调用日志记录等技术能力。（6）数据使用情况，如是否建立数据使用正当性的内部审批责任制度，是否采取必要的访问控制措施对用户个人信息、重要数据等对外披露使用去标识化措施。（7）数据合作情况，如是否明确数据共享涉及机构或部门的相关职责和权限、明确共享数据相关使用者的数据保护责任，是否针对数据共享涉及的数据类型、数据内容、数据格式、以及常见场景制定细化的规范要求，是否建立规范的数据共享的审核流程，在开展第三方业务合作时是否采取事前审核、合同约束、信用管理等手段，业务合作结束后是否督促业务合作方依照合同约定及时

42、关闭数据接口、删除数据。（8）其他监督检查内容。3 3.9 9.3 3 监督检查问题处置监督检查问题处置（1）与被检查对象沟通确认数据安全监督检查中发现的问题并签字。（2）针对发现的问题，由数据安全管理责任部门发起整改，并跟踪整改情况。3 3.1010 配合监管配合监管（1）建立监管执法配合机制，受到行业监管部门调查时立即通知数据安全负责人、数据安全管理部门负责人和相关职能部门负责人等人员，明确监管调查对接人员。工业和信息化领域数据安全合规指引第 18 页20242024（2）对行业监管部门的监管执法予以配合、协助，对包括组织运作、制度文件、技术系统、算法原理、数据处理程序等进行解释说明，提供

43、相关真实资料信息，安全开放相关数据访问、提供必要技术支持等。（3）针对行业监管部门提出的风险事项、薄弱环节，积极开展合规整改，采取有效措施减轻、消除危害影响。工业和信息化领域数据安全合规指引第 19 页202420244 4 数据全生命周期保护数据全生命周期保护按照不同数据级别，采取相应的防护技术手段。若不同级别数据同时被处理且难以分别采取保护措施的，按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。4 4.1 1 数据收集数据收集4 4.1 1.1 1 一般数据一般数据（1）采取合法、正当的方式收集数据。（2）数据收集过程中，可结合具体管理、业务场景，制定数据收集规则

44、，规范数据收集渠道、数据格式、收集流程、收集方式和存储期限，采用人工核查或技术措施对外部数据的真实性、有效性、完整性、安全性和合法性进行鉴别，避免收集不明来源的数据。（3）涉及收集个人信息的，应按照最小必要、公开透明原则，明确收集目的、使用方式、使用范围，告知用户并得到授权。4 4.1 1.2 2 重要数据和核心数据重要数据和核心数据在满足 4.1.1 的基础上，做好以下工作：（1）采取技术监测、签署安全协议、账号权限管控、监督检查、安全审计等措施加强对重要数据和核心数据收集人员、设备系统的管理，并对收集来源、时间、类型、数量、频度、流向等进行记录。（2）对数据收集所涉及的软硬件工具、设备、系

45、统、平台、接口以及相关技术等，采取必要的测试、认证、鉴权等安全防护措施，防止针对数据采集环节的网络攻击。（3）通过与数据提供方签署相关协议、承诺书等方式，直接或间接获取重要数据和核心数据，明确双方法律责任。（4）在发生产品或服务停止运营、用户终止服务等情况时，立即停止对相关数据的采集。涉及个人信息的，可采取用户协议或隐私政策文件等明确方便快捷的注销流程，并按照用户协议或隐私政策文件规定对收集数据进行销毁处理。工业和信息化领域数据安全合规指引第 20 页202420244 4.2 2 数据存储数据存储4 4.2 2.1 1 一般数据一般数据（1）制定数据存储安全策略和操作规程，对存储数据的访问操

46、作进行身份鉴别和访问控制。（2）采用物理安全措施保障存储载体的设备数据访问或调试接口不暴露，避免存储数据被泄露、篡改或破坏。（3）依据业务需要制定数据备份策略，按需要定期开展数据备份。4 4.2 2.2 2 重要数据和核心数据重要数据和核心数据在满足 4.2.1 的基础上，做好以下工作：（1）制定重要数据和核心数据存储管理要求和操作、审批流程，明确相关数据存储系统或载体管理要求、访问控制、存储周期、日志留存、销毁流程、保障措施等要求。涉及容灾备份的，可参考“3.6 容灾备份”相关要求。（2）对存储重要数据和核心数据的数据载体，采用校验技术、密码技术等相关措施进行安全存储，如对称密码算法或密码杂

47、凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制、对称密码算法的加解密机制和公钥算法数字信封等，防止重要数据和核心数据被非授权篡改和非法窃取。直接提供存储服务的系统或平台不宜直接通过公共信息网络访问。可优先采用国产商用密码算法。（3）对重要数据和核心数据存储载体进行安全管理，确保存放在安全环境中，并实行存储环境专人管理。对载体进行分类和标识管理，并建立数据存储载体管理台账，记录载体名称，所涉数据数量、类别级别，存放地点，使用、维护、标记和销毁等情况和相应审批记录，并定期盘点。（4）对备份数据定期开展数据恢复测试，并实施不低于源数据的防护要求。4 4.3 3 数据使用加工数据使用

48、加工4 4.3 3.1 1 一般数据一般数据工业和信息化领域数据安全合规指引第 21 页20242024（1）数据使用加工应遵循合理必要原则，制定数据使用加工管理要求、安全策略和操作规程，包括数据使用加工审批流程、结果发布、安全保护规则等。（2）利用数据进行自动化决策的，保证决策的透明度和结果公平合理。4 4.3 3.2 2 重要数据和核心数据重要数据和核心数据在满足 4.3.1 的基础上，做好以下工作：（1）加强访问控制，对重要数据和核心数据的使用加工进行授权和验证，并遵循最小化访问原则。（2）严格管理原始数据使用加工过程中的数据获取方式，采用多级审批、权限管理、访问控制、数据加密、脱敏、接

49、口鉴权等措施，避免涉及重要数据和核心数据的原始数据发生超权限、超范围使用加工的情况，并定期检查数据操作行为。（3）在不影响数据使用加工的情况下，可对重要数据和核心数据脱敏后再进行处理。（4）对加工使用中产生的过程性数据做好防护。4 4.4 4 数据传输数据传输4 4.4 4.1 1 一般数据一般数据（1）根据业务流程、职责内容、网络部署、安全风险等情况，合理划分企业网络系统安全域，区分域内、域间等不同数据传输场景，并且根据传输的数据类型、级别和应用场景，制定安全策略、采取保护措施，建立安全传输信道。（2）可建立数据传输接口安全管理工作规范，明确技术管控措施，具备系统间接口和设备的认证鉴权能力，

50、未通过认证鉴权的设备禁止接入。4 4.4 4.2 2 重要数据和核心数据重要数据和核心数据在满足 4.4.1 的基础上，做好以下工作：（1）传输重要数据和核心数据时，采用校验技术、密码技术，如对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名工业和信息化领域数据安全合规指引第 22 页20242024机制、对称密码算法的加解密机制和公钥算法数字信封等，保证重要数据和核心数据的传输安全。可优先使用国产商用密码算法。（2）对跨组织机构或使用互联网进行的数据传输事项进行前置审批，安全边界配备数据访问控制、身份认证等保障措施。根据传输的数据级别，明确相匹配的数据传输加密要