电信领域数据安全管理实施细则.docxVIP

电信领域数据安全管理实施细则

第一章总则

第一条?为了加强XX电信领域数据安全管理工作，进一步提高数据安全保护水平，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《工业和信息化领域数据安全管理办法（试行）》《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》等法律法规和有关规定，结合本市实际，制定本细则。

第二条?XX的电信领域数据处理者开展数据处理活动及其安全监管，应当遵守相关法律、行政法规和本细则的要求。

第三条?本细则所称电信领域数据是指在电信业务经营过程中产生和收集的数据，包括各类基础电信业务和增值电信业务数据。电信领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的取得电信业务经营许可证的电信业务经营者。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。

第四条?在工业和信息化部统筹指导下，北京市通信管理局负责XX电信领域数据安全的组织协调、统筹规划和监督管理工作。

第五条?数据安全管理应当坚持总体国家安全观，统筹数据发展与安全，鼓励数据开发利用，加强数据治理，保证数据供给、流通、使用全过程安全合规。

第二章?基础性数据安全保护要求

第六条?电信领域数据处理者应当每年至少开展一次数据梳理工作，按照电信领域重要数据和核心数据识别标准识别重要数据和核心数据，相关工作开展情况按年度形成报告并报送北京市通信管理局，报告内容包括数据梳理工作开展情况、数据分类分级情况、数据分级防护措施等。

第七条?电信领域数据处理者应当按要求将识别出的重要数据和核心数据进行目录填报，并报北京市通信管理局备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。备案内容发生重大变化的，电信领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，重要数据或核心数据类别新增或减少，数据安全情况、责任主体信息发生变动，或者其他备案内容发生变化。北京市通信管理局对备案信息完整性、重要数据和核心数据类别、级别、数据量等填报内容准确完备性进行审核，在电信领域数据处理者提交备案申请的二十个工作日内完成并反馈审核结果。备案未通过的申请人应当在收到反馈情况后的十五个工作日再次提交备案申请。北京市通信管理局对重要数据和核心数据目录备案落实情况进行监督检查，电信领域数据处理者应当予以配合。

第八条?电信领域数据处理者应当根据实际工作需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理。电信领域重要和核心数据处理者还应当建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，负责牵头内部数据安全管理工作，明确数据处理关键岗位和岗位职责，要并配备具备相应技能水平的专职人员，定期参与行业认可的数据安全考核与培训。

第九条?电信领域数据处理者应加强权限审批管理，合理配置数据处理活动的权限，明确各部门和相关人员权限管理要求，包含但不限于数据处理活动平台系统账号权限分配原则、流程等，建立并定期更新权限分配表。

第十条?电信领域数据处理者应对数据处理、系统运行、权限管理、人员操作等日志进行留存管理，日志留存时间不少于六个月。日志记录信息应包括执行时间、操作账号、处理方式等，针对数据使用加工、关联分析、批量访问、批量复制等数据处理行为还应记录授权情况、登录信息等，记录完整、准确、不可修改。

第十一条?电信领域数据处理者应定期开展数据安全审计，审计对象完整覆盖全部数据处理活动，审计发现问题需及时进行整改，并对审计及处置记录进行留存管理。重要数据处理活动应至少每半年开展一次审计，核心数据处理活动应至少每季度开展一次审计。

第十二条?电信领域数据处理者应当开展数据安全风险监测，对数据安全风险隐患进行预警，并及时开展处置。对于可能造成较大及以上安全事件的风险，应及时向北京市通信管理局报告，报告内容包括但不限于风险类别和级别、涉及数据情况、产生时间、影响范围等信息。

第十三条?电信领域数据处理者应制定数据安全事件应急预案并开展应急演练。应急预案应充分结合数据泄露、数据滥用、数据篡改、数据损毁、数据违规使用等数据安全事件场景和等级明确应急响应工作责任分工、实施流程、保障措施等。在数据安全事件发生后，电信领域数据处理者应当按照应急预案，及时开展应急处置。涉及重要数据和核心数据的安全事件，第一时间向北京市通信管理局报告，事件处置完成后立即开展事件调查、问题整改、责任追究，在处置完成七个工作日内形成总结报告并报送北京市通信管理局。对于发生过数据安全事件的电信领域数据处理者还应每年向北京市通信管理局报告数据安