強化數據全生命周期管理 廣州首個數據安全地方指導性文件發布

日前，廣州市國有資產監督管理委員會發布《廣州市國資委監管企業數據安全合規管理指南(試行2021年版)》(以下簡稱《指南》)。《指南》細化完善了上位法要求，成為地方國資監管部門首部針對數據合規專項領域的合規操作指南。

《指南》細化了數據分級分類管理要求，金融等領域、處理超過10萬人的個人敏感信息等國企屬于數據安全風險較高企業，須將數據安全合規作為重點專項管理;明確企業數據安全管理的三道防線。

數據安全風險較高企業需建立應急響應機制

數據安全合法合規已經成為企業對數據進行處理的原則和底線，但部分企業的數據安全合規體系建設還處于起步狀態，存在著許多潛在的安全風險問題。

《指南》落實了分類分級的管理要求，廣州市國資委直接履行出資人職責的國有及國有控股企業、國有實際控制企業(以下稱“監管企業”)應劃分出數據安全風險較高的一類進行專項深化管理，并提出具體的劃分標準。

《指南》明確了監管企業數據合規管理的相關制度，如建立重大數據安全合規事項實施清單管理;定期對新增數據梳理，確保所有數據分類分級管控;規范數據處理的管理權限，建立適當的用戶權限管理機制。

被劃分為數據安全風險較高的監管企業，除遵守上述制度外還要承擔更多職責：如建立數據安全應急響應機制，制定各類數據安全事故的處置流程及應急預案并定期進行演練;建立重大數據安全合規風險事件報告制度，可能威脅國家安全的數據處理活動向公安機關、國家安全機關報告，可能關系到重大經營風險的向市國資委報告。

構筑數據合規管理三道防線

廣州市作為“千年商都”，企業數量眾多，數據顯示，2021年，廣州國企資產總額突破5萬億元，11月末達5.4萬億元，較之2019年年末增長超三成。目前廣州共擁有3家世界500強企業、8家中國500強企業。

企業活動必然產生大量數據，《指南》的出臺為企業數據安全合規管理提供了可操作性規范。

《指南》細化及明確了企業中各層級數據合規管理機構及相關部門的職責，提出董事會合規委員會或承擔合規管理職責的專業委員應合理配置數據合規管理工作所需資源和懲戒機制;經理層及合規管理負責人應指導和監督數據安全合規管理的規范建設和執行等。

此外，《指南》還強調構建數據安全合規管理的三道防線，為企業數據安全管理提供有效保障。

第一道防線由企業內承擔數據管理、信息系統管理或IT技術等相關職能的部門及各業務部門擔任，負責制定企業數據管理相關標準、制度并負責數據管理和數據安全技術的應用與更新;第二道防線由合規管理牽頭部門擔任，參與數據安全事項和合規審查并進行情況評估與檢查，配合其他部門工作展開數據安全合規培訓等;第三道防線由紀檢、審計部門擔任，紀檢部門負責對違規事件進行監督、執紀、問責等，審計部門負責定期對數據安全進行審計并出具相關審計報告。

強化數據全生命周期管理

數字經濟下，新技術、新應用、新模式層出不窮，在革新業務場景的同時，企業也面臨更復雜的合規義務。企業需將數據安全責任落實到每個業務環節，需對數據進行全生命周期的管理。

《指南》從數據采集、數據傳輸、數據出境、數據儲存、數據使用、數據共享到數據銷毀均制定了必要的管控措施及標準，防范數據處理的違規風險，確保數據安全合規。

《指南》要求明確數據采集渠道、格式和流程;劃分數據傳輸的網絡系統安全域，明確域內、域間等不同數據傳輸場景的操作規程;梳理數據出境業務，建立內部出境合規審查流程和規范;提升數據儲存介質的安全加密管理，評估第三方平臺數據儲存和下載行為的安全性;不同類別、級別數據使用制定脫敏處理原則并進行風險評估;建立數據共享的申請及授權審批的流程及權限設置。

《指南》鼓勵企業應依托國資國企信息安全“云”監管平臺，積極支持配合國資國企一體化網絡安全信息大數據平臺的建立，促進數據安全信息聯動和能力共享。

免責聲明：本文不構成任何商業建議，投資有風險，選擇需謹慎！本站發布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考