日前，廣州市國有資產(chǎn)監(jiān)督管理委員會發(fā)布《廣州市國資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南(試行2021年版)》(以下簡稱《指南》)。《指南》細化完善了上位法要求，成為地方國資監(jiān)管部門首部針對數(shù)據(jù)合規(guī)專項領域的合規(guī)操作指南。

《指南》細化了數(shù)據(jù)分級分類管理要求，金融等領域、處理超過10萬人的個人敏感信息等國企屬于數(shù)據(jù)安全風險較高企業(yè)，須將數(shù)據(jù)安全合規(guī)作為重點專項管理;明確企業(yè)數(shù)據(jù)安全管理的三道防線。

數(shù)據(jù)安全風險較高企業(yè)需建立應急響應機制

數(shù)據(jù)安全合法合規(guī)已經(jīng)成為企業(yè)對數(shù)據(jù)進行處理的原則和底線，但部分企業(yè)的數(shù)據(jù)安全合規(guī)體系建設還處于起步狀態(tài)，存在著許多潛在的安全風險問題。

《指南》落實了分類分級的管理要求，廣州市國資委直接履行出資人職責的國有及國有控股企業(yè)、國有實際控制企業(yè)(以下稱“監(jiān)管企業(yè)”)應劃分出數(shù)據(jù)安全風險較高的一類進行專項深化管理，并提出具體的劃分標準。

《指南》明確了監(jiān)管企業(yè)數(shù)據(jù)合規(guī)管理的相關制度，如建立重大數(shù)據(jù)安全合規(guī)事項實施清單管理;定期對新增數(shù)據(jù)梳理，確保所有數(shù)據(jù)分類分級管控;規(guī)范數(shù)據(jù)處理的管理權限，建立適當?shù)挠脩魴嘞薰芾頇C制。

被劃分為數(shù)據(jù)安全風險較高的監(jiān)管企業(yè)，除遵守上述制度外還要承擔更多職責：如建立數(shù)據(jù)安全應急響應機制，制定各類數(shù)據(jù)安全事故的處置流程及應急預案并定期進行演練;建立重大數(shù)據(jù)安全合規(guī)風險事件報告制度，可能威脅國家安全的數(shù)據(jù)處理活動向公安機關、國家安全機關報告，可能關系到重大經(jīng)營風險的向市國資委報告。

構筑數(shù)據(jù)合規(guī)管理三道防線

廣州市作為“千年商都”，企業(yè)數(shù)量眾多，數(shù)據(jù)顯示，2021年，廣州國企資產(chǎn)總額突破5萬億元，11月末達5.4萬億元，較之2019年年末增長超三成。目前廣州共擁有3家世界500強企業(yè)、8家中國500強企業(yè)。

企業(yè)活動必然產(chǎn)生大量數(shù)據(jù)，《指南》的出臺為企業(yè)數(shù)據(jù)安全合規(guī)管理提供了可操作性規(guī)范。

《指南》細化及明確了企業(yè)中各層級數(shù)據(jù)合規(guī)管理機構及相關部門的職責，提出董事會合規(guī)委員會或承擔合規(guī)管理職責的專業(yè)委員應合理配置數(shù)據(jù)合規(guī)管理工作所需資源和懲戒機制;經(jīng)理層及合規(guī)管理負責人應指導和監(jiān)督數(shù)據(jù)安全合規(guī)管理的規(guī)范建設和執(zhí)行等。

此外，《指南》還強調構建數(shù)據(jù)安全合規(guī)管理的三道防線，為企業(yè)數(shù)據(jù)安全管理提供有效保障。

第一道防線由企業(yè)內承擔數(shù)據(jù)管理、信息系統(tǒng)管理或IT技術等相關職能的部門及各業(yè)務部門擔任，負責制定企業(yè)數(shù)據(jù)管理相關標準、制度并負責數(shù)據(jù)管理和數(shù)據(jù)安全技術的應用與更新;第二道防線由合規(guī)管理牽頭部門擔任，參與數(shù)據(jù)安全事項和合規(guī)審查并進行情況評估與檢查，配合其他部門工作展開數(shù)據(jù)安全合規(guī)培訓等;第三道防線由紀檢、審計部門擔任，紀檢部門負責對違規(guī)事件進行監(jiān)督、執(zhí)紀、問責等，審計部門負責定期對數(shù)據(jù)安全進行審計并出具相關審計報告。

強化數(shù)據(jù)全生命周期管理

數(shù)字經(jīng)濟下，新技術、新應用、新模式層出不窮，在革新業(yè)務場景的同時，企業(yè)也面臨更復雜的合規(guī)義務。企業(yè)需將數(shù)據(jù)安全責任落實到每個業(yè)務環(huán)節(jié)，需對數(shù)據(jù)進行全生命周期的管理。

《指南》從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)出境、數(shù)據(jù)儲存、數(shù)據(jù)使用、數(shù)據(jù)共享到數(shù)據(jù)銷毀均制定了必要的管控措施及標準，防范數(shù)據(jù)處理的違規(guī)風險，確保數(shù)據(jù)安全合規(guī)。

《指南》要求明確數(shù)據(jù)采集渠道、格式和流程;劃分數(shù)據(jù)傳輸?shù)木W(wǎng)絡系統(tǒng)安全域，明確域內、域間等不同數(shù)據(jù)傳輸場景的操作規(guī)程;梳理數(shù)據(jù)出境業(yè)務，建立內部出境合規(guī)審查流程和規(guī)范;提升數(shù)據(jù)儲存介質的安全加密管理，評估第三方平臺數(shù)據(jù)儲存和下載行為的安全性;不同類別、級別數(shù)據(jù)使用制定脫敏處理原則并進行風險評估;建立數(shù)據(jù)共享的申請及授權審批的流程及權限設置。

《指南》鼓勵企業(yè)應依托國資國企信息安全“云”監(jiān)管平臺，積極支持配合國資國企一體化網(wǎng)絡安全信息大數(shù)據(jù)平臺的建立，促進數(shù)據(jù)安全信息聯(lián)動和能力共享。

免責聲明：本文不構成任何商業(yè)建議，投資有風險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數(shù)據(jù)的準確性，內容僅供參考