《网络数据安全管理条例》网络数据处理者实施指南
1 前言
2024年8月30日国务院第40次常务会议通过《网络数据安全管理条例》,并于9月30日正式发布。该条例将于2025年1月1日起正式执行。条例发布以来,对我国数据安全治理工作起到了极大的推动作用,各行业主管部门相继发布了本行业数据安全管理工作的指导意见和管理办法。围绕着本条例的具体执行,很多网络数据处理者也提出很多疑问和难题。
本文结合作者近几年实施数据安全规划、评估工作中的一些经验,针对如何开展《网络数据安全管理条例》相关工作编写本指南。本指南仅针对网络数据处理者通用保护提供一种参考,具体涉及行业领域要求的请参阅本行业本领域管理办法执行。
本材料仅供参考,非官方不专业版发布,受编者水平影响,存在诸多不足和欠缺,敬请各位指正。
2 组织建设
从数据安全治理角度而言,组织建设是建立数据安全保护的一项基础工作,没有自上而下的推动,数据安全工作无法在组织内得到有效推广和开展。同时,由于数据安全工作是一项跨部门的工作,需要组织各个部门有效协同,才能实现组织全生命周期的数据安全治理活动,因此,需要建设有效的组织架构才能为数据安全工作提供重要支撑和帮助。
2.1 建设依据
根据《条例》第一条规定“为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。
条例中未对组织建设提出明确要求,条例第三十条针对重要数据的处理者明确了负责人和网络数据安全管理机构问题;依据《网络安全法》第二十一条和第三十四条相关规定,作为建立组织架构的基本立法依据。
| 条款 | 依据 |
| 第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;…… | 网络安全法 |
| 第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;…… | |
| 第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任: (一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案; (二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件; (三)受理并处理网络数据安全投诉、举报。 网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。 掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。 | 网络数据安全管理条例 |
2.2 实施建议
目前大多数单位已经建立了以单位一把手(党委书记或CEO、总经理等)为主的网络安全领导小组作为组织网络安全工作的指导机构;同时在单位设置网络信息安全部门,具体负责和承担网络安全管理工作;在互联网公司以及部分大型金融机构或大型/超大型企业还设置了更为精细的网络安全技术部门和管理部门;但是针对数据安全工作依旧存在诸多争议和缺失。
由于缺乏明确的数据安全管理组织和架构,依据工信部《网络数据安全管理办法》和检查要求,运营商普遍设置了自上而下的数据安全管理架构,集团/省设置专门的数据安全管理部门(三级)或专职人员,在各部门及地市公司设置数据安全接口人,负责承上启下,并完成具体的数据安全相关工作的协调和执行。
建议:
将原有的网络安全领导小组更名为网络及数据安全领导小组,原成员不变;组织职能中增加数据安全工作的相关要求;
在领导小组下设数据安全专项工作组,工作组中下设重要数据管理小组和数据安全管理组;工作组应至少包括网络和信息安全专职部门、业务部门、IT/OT部门、法务部门以及内审部门负责人共同组成;本专项工作组为未来可能的数据跨境工作和个人信息保护工作提供接口;
在组织网络和信息安全专职部门中,设置下级部门网络数据安全管理科(室),归网络和信息安全专职部门主管领导直接管理,具体负责数据安全整体管理工作;
各下属单位及部门应至少设置专职重要数据安全管理员,该人员应由各单位业务部门业务骨干承担本角色;各部门相关角色应有本部门业务骨干承担本角色。
2.3 实施重点及难点
2.3.1 重点
组织最高层的支持和承诺是组织建立任何管理体系的重点。组织架构必须由组织最高层领导牵头,主持并参与其中。并明确管理者代表具体负责相关工作。定期基于组织架构开展数据安全相关会议,并能够对相关问题做出决策。
本工作实施重点在于能否将组织所有部门形成一种合力。数据安全工作从全生命周期考虑,其不同于传统的网络安全工作,开展数据安全工作必须自上而下,从业务侧开始抓起。这就意味着,很多基层工作人员会对数据安全工作产生误解和抵触,没有基层管理层和业务侧管理人员的支持,数据安全工作仅靠网络或数据安全部门完成,是不可能的任务。因此,组织的数据安全架构必须包含组织各部门相关人员,并在实际工作中能够通过这个架构在各个部门开展具体工作。
尽可能简化组织架构,不增加组织的管理负担和管理流程,是建立本项工作的第二个重点。组织架构的设置与后续管理制度和流程的建设密不可分。同时组织架构建设还要充分考虑未来合规性管理要求中针对具体工作的管理岗位和职能的设定问题,因此需要为未来岗位预留接口,比如:数据安全审计、数据跨境传输、重要数据管理、个人信息管理、未成年人信息管理、大数据安全管理、数据合规管理以及数据要素安全管理等职能岗位。
2.3.2 难点
如何有效落实各个组织架构的具体工作和职能。首先跨部门设置组织,不管是虚拟的还是实际岗位,最重要的目的是能够在今后工作中打破“部门壁垒”的阻碍和知识瓶颈。长期以来,做技术的不懂业务,做业务的不懂安全,做安全的不了解技术细节,导致传统组织的网络安全工作陷入一种自我认知的怪圈。各个部门基于自身的利益关系,不愿开放本领域的知识也为数据安全工作所带来的业务强依赖问题带来阻碍。因此,组织首先需要解决如果通过组织架构打破这种部门之间的隔阂,形成管理流能够和数据流形成同步。
基层数据安全管理员的专职化还是虚拟化问题。由于各基层部门数据安全管理人员虚拟化,在身兼多职的情况下,如何具体开展数据安全工作成为一个难题;如果设定为专职人员,其应归属的管理架构又变得异常混乱。因此,应对基层部门的数据安全管理人员进行清晰的岗位定义和职能定义,并将其工作内容明确写在工作手册中。
根据《网络数据安全管理条例》第三十条规定“网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任”其中“具备网络数据安全专业知识”的条件设定难以考量。大多数的情况是将其是否拥有数据安全相关证书作为具备专业知识的必要条件,但是在实际场景下,受培训体制的影响,具备证书是否等同于具备知识和能力一直在困扰整个领域。如何选择合格的网络数据安全负责人,将在未来成为组织必须要解决的一个难题。
3 制度建设
从管理体系而言,文件是审核的依据,记录是审核的证据。网络数据安全管理工作需要依赖文件建立有效的管控,通过文件化的管理和流程化的控制实现网络数据安全管理的基本原则。
文件体系的建设受各行业主管单位不同而不同,从《网络数据安全管理条例》的规定而言,条例仅仅提出要制定并健全相关管理制度、操作规程等要求,但具体工作应结合本行业本领域的实际需求制定并建立。文件并不是越多越好,文件应根据合规性要求和组织实际面临的数据安全风险而制定。
3.1 条例依据
| 条例 | 依据 |
| 第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度…… | 网络数据安全管理条例 |
| 第十一条 网络数据处理者应当建立健全网络数据安全事件应急预案…… | |
| 第二十一条 ……网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。 | |
| 第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任: (一) 制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;(二) …… | |
| 第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。 | |
| 第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。 |
3.2 实施建议
本节示例列表根据《网络数据安全管理条例》结合电信运营商相关管理要求建立的文件制度清单。本清单仅供参考,不作为实际输出文件,各单位可根据本单位实际情况及本行业相关规范建立文件列表清单。
文件的制定应符合管理体系四级文件制定标准与规范。
| 序号 | 文件层级 | 文件名称 | 对应文件要求 |
| 1 | 一级 | 网络数据安全管理手册 | |
| 2 | 二级 | 网络数据安全管理办法 | 《网络数据安全管理条例》第九条 工业和信息化领域数据安全管理办法(试行) |
| 3 | 四级 | 网络数据安全保密协议(合作方) | 工业和信息化领域数据安全管理办法(试行)第十八条 |
| 4 | 四级 | 网络数据安全保密协议(个人) | 工业和信息化领域数据安全管理办法(试行)第十八条 |
| 5 | 二级 | 网络数据安全访问控制管理办法 | 《电信和互联网企业网络数据安全合规性评估要点》-制度保障 |
| 6 | 三级 | 网络数据安全访问控制实施细则 | 配套文件 |
| 7 | 二级 | 网络数据安全风险评估管理办法 | 工业和信息化领域数据安全管理办法(试行)第三十一条 |
| 8 | 三级 | 网络数据安全风险评估实施指南 | 配套文件 |
| 9 | 二级 | 网络数据分类分级管理办法 | 工业和信息化领域数据安全管理办法(试行)第七条 《电信和互联网企业网络数据安全合规性评估要点》-制度保障 |
| 10 | 三级 | 网络数据分类分级实施指南 | 配套文件 |
| 11 | 四级 | 网络数据资产清单 | 配套文件 |
| 12 | 四级 | 网络数据分类分级列表 | 配套文件 |
| 13 | 二级 | 重要数据安全管理办法 | 《网络数据安全管理条例》第三十条 工业和信息化领域数据安全管理办法(试行)第十三条 |
| 14 | 三级 | 重要数据安全管理实施细则 | 配套文件 |
| 15 | 四级 | 重要数据处理岗位数据安全责任书 | 工业和信息化领域数据安全管理办法(试行)第十三条 |
| 16 | 四级 | 重要数据和核心数据识别备案表 | 配套文件 |
| 17 | 三级 | 网络数据处理关键岗位及其职责 | 工业和信息化领域数据安全管理办法(试行)第十三条 |
| 18 | 二级 | 个人信息安全管理办法 | 《网络数据安全管理办法》第二十一条 工业和信息化领域数据安全管理办法(试行) |
| 19 | 三级 | 个人信息安全管理实施细则 | 配套文件 |
| 20 | 四级 | 个人信息社会责任报告 | 《网络数据安全管理条例》第四十四条 |
| 20 | 二级 | 未成年人信息管理办法 | 《个人信息保护法》第三十一条 《未成年人网络保护条例》第九条 |
| 21 | 三级 | 未成年人信息管理实施细则 | 配套文件 |
| 22 | 四级 | 未成年人信息使用审核表 | 配套文件 |
| 23 | 二级 | 网络数据全生命周期管理办法 | 工业和信息化领域数据安全管理办法(试行)第十三条 |
| 24 | 三级 | 网络数据全生命周期管理细则 | 配套文件 |
| 25 | 四级 | 网络数据安全销毁记录表 | 工业和信息化领域数据安全管理办法(试行)第二十条 |
| 26 | 四级 | 网络数据安全销毁审批表 | 配套文件 |
| 27 | 二级 | 网络数据跨境传输管理办法 | 《网络数据安全管理条例》第五章 |
| 28 | 三级 | 网络数据跨境传输实施细则 | 配套文件 |
| 29 | 四级 | 网络数据跨境传输审批表 | 配套文件 |
| 30 | 四级 | 网络数据跨境传输数据资产清单 | 配套文件 |
| 31 | 四级 | 网络数据跨境传输风险评估报告 | 配套文件 |
| 32 | 四级 | 网络数据跨境传输记录清单 | 配套文件 |
| 33 | 四级 | 网络数据跨境传输合同 | 配套文件 |
| 34 | 四级 | 网络数据跨境传输接收方审计报告 | 配套文件 |
| 35 | 二级 | 网络数据安全教育培训管理办法 | 《电信和互联网企业网络数据安全合规性评估要点》-制度保障 |
| 36 | 四级 | 网络数据安全教育培训登记表 | 配套文件 |
| 37 | 二级 | 网络数据安全审计管理办法 | 《电信和互联网企业网络数据安全合规性评估要点》-安全审计 |
| 38 | 四级 | 网络数据安全审计记录表 | 配套文件 |
| 39 | 四级 | 网络数据安全审计报告 | 配套文件 |
| 40 | 四级 | 网络数据安全审计整改通知书 | 配套文件 |
| 41 | 四级 | 网络数据安全审计整改报告 | 配套文件 |
| 42 | 二级 | 网络数据安全监督检查管理办法 | 《电信和互联网企业网络数据安全合规性评估要点》 |
| 43 | 三级 | 网络数据安全监督检查细则 | 配套文件 |
| 44 | 四级 | 网络数据安全监督检查表 | 配套文件 |
| 45 | 二级 | 网络数据安全工作考核管理办法 | 《电信和互联网企业网络数据安全合规性评估要点》 |
| 46 | 三级 | 网络数据安全工作考核管理细则 | 配套文件 |
| 47 | 四级 | 网络数据安全工作考核清单 | 配套文件 |
| 48 | 四级 | 网络数据安全工作考核评分表 | 配套文件 |
| 49 | 二级 | 网络数据安全合作方管理办法 | 《网络数据安全管理条例》第十二条 |
| 50 | 三级 | 网络数据安全合作方管理细则 | 配套文件 |
| 51 | 四级 | 网络数据安全合作方合规性审计手册 | 配套文件 |
| 52 | 四级 | 网络数据安全合作方合同模板 | 工业和信息化领域数据安全管理办法(试行)第二十三条 |
| 53 | 四级 | 网络数据安全合作方数据资产清单列表 | 配套文件 |
| 54 | 四级 | 网络数据安全合作方数据销毁记录表 | 配套文件 |
| 55 | 二级 | 网络数据安全事件应急响应预案 | 《数据安全法》第二十三条 《网络数据安全管理条例》第十一条 工业和信息化领域数据安全管理办法(试行)第二十六条 |
| 56 | 三级 | 网络数据安全事件应急响应专项预案 | 配套文件 |
| 57 | 四级 | 网络数据安全事件演练方案 | 配套文件 |
| 58 | 四级 | 网络数据安全事件演练报告 | 配套文件 |
| 59 | 四级 | 应急响应成员联络表 | 配套文件 |
| 60 | 四级 | 应急响应工具列表清单 | 配套文件 |
| 61 | 四级 | 网络数据安全事件应急响应报告 | 配套文件 |
| 62 | 四级 | 网络数据安全事件监测报告 | 配套文件 |
| 63 | 四级 | 网络数据安全事件上报模板 | 配套文件 |
| 64 | 二级 | 云数据安全责任书 | 风险提示 |
| 65 | 二级 | 大数据平台数据安全管理办法 | 风险提示 |
| 66 | 二级 | 大数据平台数据安全实施细则 | 风险提示 |
| 67 | 二级 | USB移动介质管理办法 | 风险提示 |
3.3 实施重点及难点
3.3.1 重点
管理制度一直以来是我国一个短板,制定管理制度应结合组织实际情况。针对体系化文件开展编制。由于二级以下文件涉及组织具体的管理流程、规范、架构以及操作活动,应由组织自行编写而非委托第三方编制。第三方在不了解组织具体运营实例的情况下,难以为组织提供有效的文件制度和内容。通常可采用咨询的方式,由甲乙方共同开展文件编制活动,编制过程中应由甲方提供文件所需的流程和技术手段描述,由乙方具体编写文件内容。
数据安全管理制度可能会和网络安全管理制度形成交叉,比如:账号管理、访问控制管理、USB移动设备管理、第三方人员管理等文件。在针对上述控制要求中,可在原文件中补充针对数据安全工作的相关要求,不建议重新编写。
针对体系文件编制发布后,应组织员工学习管理文件。组织全体人员必须学习理解一级文件《数据安全管理手册》与二级文件中有关本部门、本人的相关责权义,针对三级文件应通过技术培训的方式和手段使具体执行人员能够理解三级文件中所涉及的技术手段和工具的使用。
目前我国针对体系文件而言,大多数组织实际上不具备一级文件《数据安全管理手册》或《网络安全管理手册》,而传统网络安全等级保护的管理要求中也未对一级文件做出明确要求。因此,整个组织的文件体系缺乏整体的安全愿景和组织承诺,使得每个文件都是优秀的,但是在整体文件中会产生各种重叠和拼凑的问题,导致文件可执行性变差。因此,一个好的一级文件可以从基础上解决文件的杂乱无序问题。
3.3.2 难点
如何使得体系文件有效落地,是目前我国商业组织所面临的难题。文件的落地首先考核的是文件的适用性,而文件适用性又取决于编制文件时,是否具备有效的流程和需求。文件不能增加业务的复杂性和管理负担,同时文件又要能够被基层所接受并得到有效执行,这对文件编制者是一个巨大的挑战。
如何通过审计工作有效的落实文件的修订与整改,这是文件是否可以持续有效的重要过程。但是如果文件本身缺乏记录也就意味着文件的可执行性难以得到认可,因此在整个文件体系中,为每个文件建立表单、记录、流程(无论是电子的还是非电子的)过程是落实文件执行的重要手段。文件并不是越多越好,如何分阶段制定和完善文件体系,一方面需要考虑合规性审计要求,另一方面需要针对组织所面临的风险做出良好的度量。没有风险评估就没有文件体系的制定和改进,而客观的风险评估工作同样在考验组织数据安全愿景和目标。
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。