内蒙古自治区通信管理局关于加强全区电信数据安全分类分级保护工作的通知

自治区各基础电信企业和增值电信企业、相关电信数据处理单位：

为深入贯彻《中华人民共和国数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》《内蒙古自治区电信数据安全管理实施细则（试行）》等要求，加强我区电信数据分类分级保护，进一步夯实数据安全管理基础，现将有关事项通知如下。

一、总体要求

（一）工作目标

以习近平新时代中国特色社会主义思想为指导，坚持总体国家安全观，更好统筹发展和安全，构建“制度健全、责任明晰、保护得当、处置高效”的数据安全保护体系，为自治区信息通信行业高质量发展提供坚实的数据安全保障。

（二）工作范围

在内蒙古自治区行政区域内开展电信业务经营活动的各类数据处理者，包括基础电信业务经营者和互联网数据中心、互联网接入服务、在线数据处理与交易处理、互联网信息服务等增值电信业务经营者，以及其他从事电信数据收集、存储、使用、加工、传输、提供、公开、销毁等活动的单位（以下统称电信数据处理者）都应按照本通知要求开展相关工作。

（三）组织保障

电信数据处理者对数据处理活动负主体责任，据实配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，将数据安全与业务发展同规划、同部署、同落实。

重要数据和核心数据处理者应建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理部门，管理部门应配备数据安全专职人员，相关部门配备数据安全责任人，并明确人员职责。

二、强化数据识别备案工作

（四）全面准确识别数据

电信数据处理者应按照组建数据识别团队、确定识别范围、制定工作方案、实施数据识别的程序，根据电信领域重要数据识别标准，遵循定量定性相结合的原则，全面、完整、准确识别一般数据、重要和核心数据，形成数据目录，明确数据来源、规模、载体、处理方式等核心要素。仅影响电信数据处理者自身的电信数据一般不作为重要数据。

（五）加强数据目录备案及更新

电信数据处理者应将本单位重要数据和核心数据目录向我局备案，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。备案内容发生重大变化（规模变动30%以上、类别增减、责任主体变更等）的，应在3个月内完成备案变更。

三、加强数据安全基础管理

（六）强化权限及账号管理

电信数据处理者要建立权限管理机制，明确权限申请、审批、变更、注销等流程，基于岗位需要分配数据访问权限，设置有效期。形成权限管理台账，记录权限分配、变更、审计等情况。对数据处理、安全管理、日志审计等岗位角色进行分离设置，严格限制超级管理员角色账号数量。及时清理岗位变动和第三方人员账号、测试账号、沉默账号。杜绝多人使用同一账号开展数据处理。对重要数据和核心数据处理活动相关系统平台，要配备安全保障措施。

（七）规范日志留存

电信数据处理者要对数据处理、系统运行等日志进行记录，明确审计策略，日志留存时间不少于6个月。重要数据和核心数据处理活动全量纳入审计范围，对批量复制、导出、传输、销毁等高风险操作日志进行备份。

（八）强化风险监测预警

电信数据处理者要明确数据安全风险监测预警工作责任部门，按照工业和信息化领域数据安全风险监测预警要求，厘清职责分工，建立指标体系和监测能力，制定实施流程，明确处置措施，开展常态化监测预警。遇有较大及以上安全事件风险，按照有关规定及时报我局。

（九）完善应急处置流程

电信数据处理者要制定符合实际的数据安全事件应急预案，明确数据泄露、数据篡改、数据损毁、数据违规使用等各类数据安全事件场景的处置流程和责任分工，每年至少开展一次实战化应急演练。发生数据安全事件后，应立即启动预案，采取补救措施防止危害扩大，并第一时间报告。

（十）全面完成风险评估

重要数据和核心数据处理者要按照《工业和信息化领域数据安全风险评估实施细则(试行)》要求和风险评估行业标准规范，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，每年至少开展一次数据安全风险评估，于11月30日前将评估报告报我局。

（十一）强化教育培训

电信数据处理者要完善数据安全教育培训机制，普通岗位人员年度培训时长不少于10学时，重要数据和核心数据处理岗位人员年度培训时长不少于20学时，培训内容涵盖法律法规、政策制度、标准规范、操作技能、警示教育等。

（十二）加强合作方管理

电信数据处理者要根据实际建立合作方安全准入、评估、退出全流程管理机制。合作前，对合作方的数据安全资质、技术能力、管理体系等进行严格审核。合作协议应明确数据安全责任条款，包括数据处理范围、安全防护要求、违约责任等内容。合作期间每半年对合作方数据安全履行情况开展一次监督检查。建立合作方管理档案，记录准入审核、合同条款、监督检查等信息，保存至合作终止后3年。

四、深入落实数据全生命周期安全保护要求

（十三）规范数据收集活动

数据收集应遵循合法、正当、必要原则，规范收集渠道、流程、方式和存储期限等，不得窃取或非法获取数据。收集用户信息应通过弹窗、协议、产品说明等方式，明确告知收集目的、范围和用途，并取得用户同意，不得超范围收集无关数据。重要数据和核心数据收集设备要配备多因子认证、二次认证等安全技术措施，并对收集来源、时间、类型、数量、频度、流向等信息进行记录，记录留存时间应不少于6个月。

（十四）强化存储传输安全

电信数据处理者要根据系统平台、存储介质差异性，按照分级保护要求制定不同的安全存储策略和管理规定。重要数据和核心数据存储要配备容灾备份能力，定期开展数据恢复性测试。不同网络区域传输、跨主体传输要采取校验技术、加密技术、安全传输通道或协议等措施，并对传输内容进行加密处理。传输重要数据和核心数据要进行前置审批，相关数据接口需采取安全控制措施。

（十五）加强数据使用加工管理

电信数据处理者要建立数据使用审批机制，对批量访问、数据导出、关联分析等敏感操作实行双人复核制度，落实数据使用相关安全管控要求，不得未经授权或越权处理数据。使用加工重要和核心数据时，要进行脱敏、加密等预处理。

（十六）严格数据提供与出境管理

向第三方提供或委托处理重要数据和核心数据前，应核验数据获取方资质及数据安全保护能力，开展安全风险评估，签订安全责任协议。建立包含提供形式、期限、涉及的业务或系统名称、数据安全保护措施等内容的数据提供清单。跨主体提供核心数据时，还应报行业主管部门审查。数据公开要明确范围，重要数据公开应符合国家法律法规要求，并进行脱敏处理。可能对国家安全、公共利益产生影响的数据不得公开。

涉及数据出境的，应按照国家有关规定履行安全评估和备案程序，确保数据出境安全可控。

（十七）规范数据销毁

数据处理者要建立数据销毁制度，明确销毁对象、原因、流程、策略等。重要数据和核心数据销毁应在审批后，由多人共同销毁，销毁后不得以任何理由、任何方式进行恢复。

五、加强监督管理

全区电信数据处理者要充分认识数据安全的重要性，结合本单位实际制定实施方案。下一步，我局将对未按要求开展数据识别备案、未落实数据安全保护要求、数据安全风险评估不到位、应急演练流于形式、未建立风险监测预警体系、发生数据安全事件隐瞒不报等问题，予以严肃处理。存在违法违规情节的，依法依规处罚。工作中遇到重大问题，请及时报告。