日前,广州市国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(以下简称《指南》)。《指南》细化完善了上位法要求,成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。

《指南》细化了数据分级分类管理要求,金融等领域、处理超过10万人的个人敏感信息等国企属于数据安全风险较高企业,须将数据安全合规作为重点专项管理;明确企业数据安全管理的三道防线。

数据安全风险较高企业需建立应急响应机制

数据安全合法合规已经成为企业对数据进行处理的原则和底线,但部分企业的数据安全合规体系建设还处于起步状态,存在着许多潜在的安全风险问题。

《指南》落实了分类分级的管理要求,广州市国资委直接履行出资人职责的国有及国有控股企业、国有实际控制企业(以下称“监管企业”)应划分出数据安全风险较高的一类进行专项深化管理,并提出具体的划分标准。

《指南》明确了监管企业数据合规管理的相关制度,如建立重大数据安全合规事项实施清单管理;定期对新增数据梳理,确保所有数据分类分级管控;规范数据处理的管理权限,建立适当的用户权限管理机制。

被划分为数据安全风险较高的监管企业,除遵守上述制度外还要承担更多职责:如建立数据安全应急响应机制,制定各类数据安全事故的处置流程及应急预案并定期进行演练;建立重大数据安全合规风险事件报告制度,可能威胁国家安全的数据处理活动向公安机关、国家安全机关报告,可能关系到重大经营风险的向市国资委报告。

构筑数据合规管理三道防线

广州市作为“千年商都”,企业数量众多,数据显示,2021年,广州国企资产总额突破5万亿元,11月末达5.4万亿元,较之2019年年末增长超三成。目前广州共拥有3家世界500强企业、8家中国500强企业。

企业活动必然产生大量数据,《指南》的出台为企业数据安全合规管理提供了可操作规范。

《指南》细化及明确了企业中各层级数据合规管理机构及相关部门的职责,提出董事会合规委员会或承担合规管理职责的专业委员应合理配置数据合规管理工作所需资源和惩戒机制;经理层及合规管理负责人应指导和监督数据安全合规管理的规范建设和执行等。

此外,《指南》还强调构建数据安全合规管理的三道防线,为企业数据安全管理提供有效保障。

第一道防线由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门担任,负责制定企业数据管理相关标准、制度并负责数据管理和数据安全技术的应用与更新;第二道防线由合规管理牵头部门担任,参与数据安全事项和合规审查并进行情况评估与检查,配合其他部门工作展开数据安全合规培训等;第三道防线由纪检、审计部门担任,纪检部门负责对违规事件进行监督、执纪、问责等,审计部门负责定期对数据安全进行审计并出具相关审计报告。

强化数据全生命周期管理

数字经济下,新技术、新应用、新模式层出不穷,在革新业务场景的同时,企业也面临更复杂的合规义务。企业需将数据安全责任落实到每个业务环节,需对数据进行全生命周期的管理。

《指南》从数据采集、数据传输、数据出境、数据储存、数据使用、数据共享到数据销毁均制定了必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。

《指南》要求明确数据采集渠道、格式和流程;划分数据传输的网络系统安全域,明确域内、域间等不同数据传输场景的操作规程;梳理数据出境业务,建立内部出境合规审查流程和规范;提升数据储存介质的安全加密管理,评估第三方台数据储存和下载行为的安全;不同类别、级别数据使用制定脱敏处理原则并进行风险评估;建立数据共享的申请及授权审批的流程及权限设置。

《指南》鼓励企业应依托国资国企信息安全“云”监管台,积极支持配合国资国企一体化网络安全信息大数据台的建立,促进数据安全信息联动和能力共享。

推荐内容