2024重要數(shù)據(jù)處理安全要求

信息安全技術重要數(shù)據(jù)處理安全要求 目??次TOC\o"1-3"\f\u1范圍 12規(guī)范性引用文件 13術語和定義 14設施安全 24.1系統(tǒng)安全 24.2云計算服務平臺安全 25數(shù)據(jù)處理活動的安全 25.1收集 25.2存儲 35.3使用與加工 45.4傳輸與提供 55.5公開 65.6刪除 66運行與管理安全 76.1組織與人員 76.2數(shù)據(jù)治理設施 86.3供應鏈管理 96.4應急響應 96.5審計 106.6風險評估 106.7配合監(jiān)督管理 10 信息安全技術重要數(shù)據(jù)處理安全要求范圍本文件規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求。本文件適用于數(shù)據(jù)處理者對重要數(shù)據(jù)開展處理活動，也可供監(jiān)管部門、評估機構或其他有關組織對重要數(shù)據(jù)處理活動實施安全監(jiān)管、評估等活動時參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語GB/T22239—2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/TAAAAA—2023信息安全技術數(shù)據(jù)分類分級規(guī)則術語和定義GB/T25069—2022中界定的以及下列術語和定義適用于本文件。3.1重要數(shù)據(jù)keydata特定領域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。[來源：GB/TAAAAA—2023，3.1]3.2數(shù)據(jù)處理dataprocessing數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動的總稱。注：也稱“數(shù)據(jù)處理活動”。3.3數(shù)據(jù)處理者dataprocessor在數(shù)據(jù)處理活動中自主決定處理目的、處理方式的組織和個人。3.4委托處理entrustprocessing數(shù)據(jù)處理者委托第三方按照約定的目的和方式開展的數(shù)據(jù)處理活動。設施安全系統(tǒng)安全處理重要數(shù)據(jù)的系統(tǒng)應符合GB/T22239—2019第三級安全要求，并通過網(wǎng)絡安全等級保護三級（含）以上測評。云計算服務平臺安全使用社會化云計算服務平臺處理重要數(shù)據(jù)前應進行風險評估，論證重要數(shù)據(jù)上云的必要性，并重點評估云計算服務提供者的安全可信性，以及云計算服務平臺的安全狀況。已使用社會化云計算服務平臺處理重要數(shù)據(jù)的，應定期對云計算服務平臺進行安全評估。數(shù)據(jù)處理者認為云計算服務平臺安全存在不可接受的安全風險時，應停止使用其處理重要數(shù)據(jù)。數(shù)據(jù)處理活動的安全收集數(shù)據(jù)來源數(shù)據(jù)處理者應：a）制定數(shù)據(jù)收集程序，明確數(shù)據(jù)收集目的、規(guī)模、方式、范圍、類型、存儲期限、存儲地點等，以及數(shù)據(jù)格式、質量準則和評價方式等要求；b）在收集前進行安全評估，評估內(nèi)容包括收集數(shù)據(jù)的目的、范圍、頻度、方式、存儲期限等是否符合法律法規(guī)的規(guī)定；c）采取合法、正當?shù)姆绞绞占瘮?shù)據(jù)；d）驗證數(shù)據(jù)的真實性、準確性，并定期對數(shù)據(jù)質量進行分析和監(jiān)控，及時對異常數(shù)據(jù)進行告警、修正等；e）跟蹤和記錄數(shù)據(jù)收集過程，保證數(shù)據(jù)收集活動的可追溯性。數(shù)據(jù)分類制度數(shù)據(jù)處理者應：a）根據(jù)國家和行業(yè)主管監(jiān)管部門有關數(shù)據(jù)分類的規(guī)定，和GB/TAAAAA—2023的要求，制定并定期更新本組織的數(shù)據(jù)分類管理制度；b）結合本組織具體情況，充分考慮數(shù)據(jù)特征、業(yè)務類型等因素，在不違反國家和行業(yè)規(guī)定的前提下，可在本組織的數(shù)據(jù)分類管理制度中建立對數(shù)據(jù)進行進一步分類的規(guī)則；c）落實本組織的數(shù)據(jù)分類制度，對本組織處理的數(shù)據(jù)進行分類。數(shù)據(jù)分級制度數(shù)據(jù)處理者應：a）根據(jù)國家和行業(yè)主管監(jiān)管部門有關數(shù)據(jù)分級的規(guī)定，和GB/TAAAAA—2023的要求，制定并定期更新本組織的數(shù)據(jù)分級管理制度；b）結合本組織具體情況，充分考慮數(shù)據(jù)的重要程度和可能造成的危害程度，在不違反國家和行業(yè)規(guī)定的前提下，可在本組織的數(shù)據(jù)分級管理制度中，建立對數(shù)據(jù)進行進一步分級的規(guī)則，并根據(jù)安全風險變化對數(shù)據(jù)分級規(guī)則進行動態(tài)調整和優(yōu)化。識別重要數(shù)據(jù)數(shù)據(jù)處理者應：a）根據(jù)國家和行業(yè)主管監(jiān)管部門有關重要數(shù)據(jù)識別的規(guī)定，和GB/TAAAAA—2023的要求，制定并定期更新本組織的重要數(shù)據(jù)識別制度；b）根據(jù)行業(yè)特點、業(yè)務類型等因素，明確本組織重要數(shù)據(jù)的特征；c）落實本組織的數(shù)據(jù)分級制度和重要數(shù)據(jù)識別制度，對本組織處理的數(shù)據(jù)進行分級，并識別其中的重要數(shù)據(jù)；d）制定重要數(shù)據(jù)清單管理程序，明確清單的編制、審核、維護、更新等要求；e）以清單方式對識別出的重要數(shù)據(jù)進行記錄，標明重要數(shù)據(jù)的來源、用途、重要性時限、存儲位置、存儲期限、數(shù)據(jù)處理者、數(shù)據(jù)安全負責人、數(shù)據(jù)格式、數(shù)據(jù)量、訪問控制規(guī)則等信息；f）采用技術工具和措施，通過自動識別本組織重要數(shù)據(jù)的特征、自動管理重要數(shù)據(jù)清單等方法，提高對重要數(shù)據(jù)的識別效率。數(shù)據(jù)目錄數(shù)據(jù)處理者應：a）采用技術工具和措施，根據(jù)國家和行業(yè)主管監(jiān)管部門有關重要數(shù)據(jù)目錄的規(guī)定，對重要數(shù)據(jù)進行編目，形成重要數(shù)據(jù)目錄，按規(guī)定上報國家有關部門，并定期更新維護；b）在重要數(shù)據(jù)目錄中描述數(shù)據(jù)基本情況、責任主體情況、數(shù)據(jù)處理情況、數(shù)據(jù)安全情況等信息：1） 數(shù)據(jù)基本情況，包括數(shù)據(jù)類別、數(shù)據(jù)級別、數(shù)據(jù)載體、數(shù)據(jù)來源、數(shù)據(jù)數(shù)量，以及數(shù)據(jù)詳細描述等；2）責任主體情況，包括處理者、主要負責人、數(shù)據(jù)安全負責人等；3） 數(shù)據(jù)處理情況，包括使用或共享范圍和方式、是否出境、是否跨主體流動等；4） 數(shù)據(jù)安全情況，包括數(shù)據(jù)安全風險評估機構、所依據(jù)的數(shù)據(jù)分類分級標準規(guī)范、評估時間、評估結論、整改措施等。c）定期評審和更新重要數(shù)據(jù)目錄，確保目錄的準確、有效、合法。存儲存儲保護數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)存儲管理制度，對安全保護制度、訪問流程、介質管理等作出規(guī)定；b）落實重要數(shù)據(jù)安全管理和技術措施，并定期進行評估：1）采用密碼技術對重要數(shù)據(jù)進行保密性和完整性保護；2）在公共信息網(wǎng)絡與存儲系統(tǒng)之間提供邏輯隔離措施；3）對重要數(shù)據(jù)所在的數(shù)據(jù)中心的運維人員建立嚴格管理制度，對所有運維人員進行安全背景審查。存儲位置數(shù)據(jù)處理者應：a）在中國境內(nèi)存儲境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)，存儲重要數(shù)據(jù)的數(shù)據(jù)中心、云平臺等不應設置在境外；b）采取技術和管理措施，防止境內(nèi)訪問流量路由至境外；c）對數(shù)據(jù)存儲的區(qū)域進行規(guī)劃，并對不同區(qū)域之間的數(shù)據(jù)流動進行安全管控。存儲期限數(shù)據(jù)處理者應：a）在重要數(shù)據(jù)清單中記錄的重要性時限和存儲期限到期前，以自動化方式提示數(shù)據(jù)處理者；b）在重要性時限到期前，及時對相關數(shù)據(jù)采取轉移、解密等操作，根據(jù)情況調整相關數(shù)據(jù)的保護措施；c）采取相關技術工具和措施，及時銷毀已超過存儲期限或既定處理目的已不需要的重要數(shù)據(jù)。備份與恢復數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)備份與恢復計劃，明確備份與恢復的范圍、頻率、工具、過程、日志記錄規(guī)范、數(shù)據(jù)存儲期限等；b）采用技術工具和措施，如自動化工具、異地備份等，根據(jù)既定策略自動化執(zhí)行備份與恢復相關活動，并記錄數(shù)據(jù)備份與恢復過程；c）定期評審備份數(shù)據(jù)的可用性、完整性和一致性，評估數(shù)據(jù)恢復質量并采取處理措施；d）建立數(shù)據(jù)備份與恢復技術團隊，并根據(jù)數(shù)據(jù)恢復需求和目的開展數(shù)據(jù)恢復實戰(zhàn)演練。使用與加工訪問控制數(shù)據(jù)處理者應：a）對重要數(shù)據(jù)制定并實施訪問控制策略和制度，遵循最小特權、職責分離等原則，實施安全保護措施；b）建立統(tǒng)一的身份和訪問管理平臺，采取多因子認證、口令管理等技術措施，提供和實施對重要數(shù)據(jù)的細粒度訪問控制機制，限定用戶可訪問數(shù)據(jù)范圍，防止數(shù)據(jù)非授權的泄露、篡改和損壞；c）嚴格限定重要數(shù)據(jù)所在系統(tǒng)的特權賬號的設置和使用，及時注銷棄用的賬號；d）采用相關技術，控制重要數(shù)據(jù)的使用目的和范圍，降低數(shù)據(jù)泄露風險。評估與審批數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)使用或加工前安全評估制度，明確評估要點、評估流程、審批流程等；b）在使用或加工重要數(shù)據(jù)前進行評估，包括但不限于評估以下方面：1）使用或加工重要數(shù)據(jù)的目的、范圍、方式等是否與清單中的記錄相一致，不一致的應說明理由；2）使用或加工重要數(shù)據(jù)的人員是否符合重要數(shù)據(jù)的訪問控制規(guī)則；3）使用或加工重要數(shù)據(jù)過程中安全防護措施是否有效；4）如重要數(shù)據(jù)使用或加工過程可能會導致數(shù)據(jù)跨主體流動，按5.4節(jié)的要求對數(shù)據(jù)接收方進一步評估；c）由本組織數(shù)據(jù)安全負責人對評估結果進行審批，并將評估和審批記錄留存3年以上。保密審查數(shù)據(jù)處理者應：a）建立保密審查制度，明確數(shù)據(jù)保密審查的責任領導、責任部門，規(guī)定保密審查的具體責任，防止因數(shù)據(jù)匯聚等泄露國家秘密信息；b）按照國家有關規(guī)定對數(shù)據(jù)加工結果進行保密審查，確保以預期目的、范圍、方式等使用和加工重要數(shù)據(jù)；c）建立保密審查責任追究制度，明確違規(guī)責任和處理原則；d）在數(shù)據(jù)加工結果中發(fā)現(xiàn)國家秘密信息時，按國家有關保密管理規(guī)定和技術規(guī)范進行處理。傳輸與提供法律文件因對外提供和共享重要數(shù)據(jù)，導致數(shù)據(jù)跨主體流動的，重要數(shù)據(jù)處理者應與數(shù)據(jù)接收方簽訂合同等法律文件，約定處理重要數(shù)據(jù)的目的、范圍、處理方式、安全保護義務等，并約定對接收方履行安全保護義務的情況進行監(jiān)督。評估與審批對外提供和共享重要數(shù)據(jù)前，數(shù)據(jù)處理者應：a）評估以下內(nèi)容：1）數(shù)據(jù)使用目的、范圍、方式，以及數(shù)據(jù)量等，確保合法、正當、必要；2）提供和共享數(shù)據(jù)過程中數(shù)據(jù)被篡改、破壞、泄露、丟失或者被非法獲取、非法利用的風險，以及對國家安全、公共利益帶來的風險；3）提供和共享數(shù)據(jù)過程中安全保護技術和管理措施的有效性；4）接收方的誠信狀況、守法情況、與境外政府機構合作關系、受政府部門處罰情況，以及接收方數(shù)據(jù)處理環(huán)境安全情況、數(shù)據(jù)安全防護能力、履行數(shù)據(jù)保護責任和義務的能力；5）合同等法律文件的內(nèi)容和效力，重點是法律文件中關于數(shù)據(jù)安全的要求能否有效約束接收方履行數(shù)據(jù)安全保護義務；b）由本組織數(shù)據(jù)安全負責人對評估結果進行審批，并將評估和審批記錄留存3年以上。傳輸保護對外提供和共享重要數(shù)據(jù)時，數(shù)據(jù)處理者應：a）建立安全通道，對傳輸通道兩端進行主體身份鑒別；b）采取加密、簽名、防重放等措施，確保數(shù)據(jù)在傳輸過程中的保密性、完整性、不可否認性；c）保護網(wǎng)絡邊界安全，在不同網(wǎng)絡區(qū)域或者安全域之間進行安全隔離；d）提供密鑰管理系統(tǒng)，管理密鑰生成、存儲、使用、分發(fā)、更新和銷毀等；e）對接收方履行安全保護義務的情況進行監(jiān)督。交易將重要數(shù)據(jù)或其加工結果進行交易時，數(shù)據(jù)處理者除滿足5.4.1、5.4.2、5.4.3要求外，還應：a）驗證接收方身份，管控數(shù)據(jù)交易和共享過程，防止數(shù)據(jù)被未授權使用；b）對數(shù)據(jù)交易的全過程進行審計，并采用標記、數(shù)字水印、區(qū)塊鏈等技術，建立對數(shù)據(jù)交易過程進行追溯的能力。接收方義務數(shù)據(jù)接收方應：a）履行合同等法律文件規(guī)定的義務，不超出約定的目的、范圍、方式處理重要數(shù)據(jù)；b） 提供不低于數(shù)據(jù)處理者的數(shù)據(jù)安全保護能力，包括組織機構、技術與工具、人員能力等方面；c）提供數(shù)據(jù)銷毀機制，超過約定期限后對接收的重要數(shù)據(jù)進行銷毀。向境外提供向境外提供重要數(shù)據(jù)時，數(shù)據(jù)處理者應按照國家規(guī)定履行以下義務：a）向國家網(wǎng)信部門申報并通過數(shù)據(jù)出境安全評估；b）采取技術和管理措施，在既定目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等之內(nèi)進行數(shù)據(jù)跨境傳輸，不超出向國家申報數(shù)據(jù)出境安全評估時明確的事項等向境外提供重要數(shù)據(jù)；c）接受和處理數(shù)據(jù)出境所涉及的用戶投訴；d）存留相關數(shù)據(jù)出境日志記錄3年以上；e）主管部門或執(zhí)法部門核驗向境外提供重要數(shù)據(jù)的類型、范圍時，以明文、可讀方式予以展示；f）主管部門認定不應出境的，應停止數(shù)據(jù)出境，并采取有效措施對已出境數(shù)據(jù)的安全予以補救；g）非經(jīng)主管部門批準，不應向外國司法或者執(zhí)法機構提供存儲于中國境內(nèi)的重要數(shù)據(jù)。委托處理委托處理重要數(shù)據(jù)時，數(shù)據(jù)處理者應：a）制定委托處理管理制度，明確委托處理流程、管理要求等；b）通過合同等法律文件，約定委托處理數(shù)據(jù)的范圍和受委托處理者的數(shù)據(jù)安全保護義務；c）采取管理和技術措施，保護委托處理過程中的數(shù)據(jù)安全；d）監(jiān)督受委托方履行數(shù)據(jù)安全保護義務的情況；e）監(jiān)督受委托方及時有效銷毀已委托處理完成的數(shù)據(jù)。公開公開重要數(shù)據(jù)及其加工結果時，數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)公開管理制度，明確管理和技術措施等相關要求；b）評估公開的內(nèi)容、形式、范圍、期限是否合法、正當、必要，以及安全防護和管理措施的有效性；c）定期更新和評估已公開的重要數(shù)據(jù)，對不適宜繼續(xù)公開或超出公開期限的數(shù)據(jù)進行召回或銷毀處理。刪除數(shù)據(jù)刪除數(shù)據(jù)處理者應：a）制定數(shù)據(jù)刪除操作規(guī)范，嚴格按照操作規(guī)范開展重要數(shù)據(jù)的刪除活動；b）建立重要數(shù)據(jù)刪除評估與審批程序，對擬刪除的重要數(shù)據(jù)范圍、刪除理由、再利用的可能性等進行評估，經(jīng)本組織數(shù)據(jù)安全負責人批準后實施數(shù)據(jù)刪除；c）提供數(shù)據(jù)刪除技術措施和工具，對批準后的重要數(shù)據(jù)及其副本進行刪除，包括數(shù)據(jù)處理過程中備份數(shù)據(jù)、衍生數(shù)據(jù)及操作日志數(shù)據(jù)等，確保刪除后的數(shù)據(jù)以商業(yè)手段不可恢復，d）建立數(shù)據(jù)刪除效果評估機制，定期檢查刪除措施的有效性；e）對數(shù)據(jù)刪除過程留存日志，記錄數(shù)據(jù)刪除的審批、實施過程，以及被刪除數(shù)據(jù)的具體情況；f）在刪除數(shù)據(jù)后及時更新重要數(shù)據(jù)清單和目錄。介質銷毀數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)專用介質管理制度，明確重要數(shù)據(jù)存儲介質訪問和使用管理規(guī)范；b）對重要數(shù)據(jù)存儲介質進行標記，并建立重要數(shù)據(jù)與存儲介質的對應關系；c）制定存儲重要數(shù)據(jù)介質的銷毀管理制度，明確介質銷毀處理策略、銷毀對象和流程、技術措施，以及不同介質的銷毀方法和機制；d）采用技術工具和措施進行介質管理，追蹤存儲介質的使用和傳遞過程，對介質訪問和使用、銷毀全過程等行為進行記錄和審計，并定期對銷毀記錄及介質銷毀效果進行檢查。運行與管理安全組織與人員安全負責人數(shù)據(jù)處理者應：a）在數(shù)據(jù)處理者決策層成員中，委任重要數(shù)據(jù)安全負責人，履行重要數(shù)據(jù)安全管理職責，包括組織制定重要數(shù)據(jù)安全保護計劃、組織開展風險評估等；b）選派具備數(shù)據(jù)安全專業(yè)知識和相關管理經(jīng)驗的人員承擔數(shù)據(jù)安全部門負責人，負責落實本組織的重要數(shù)據(jù)安全保護計劃；c）為數(shù)據(jù)安全部門負責人提供資源保障，保證其獨立履行職責，并賦予其直接向網(wǎng)信部門和有關主管部門反映數(shù)據(jù)安全情況的權利；d）定期（最長不超過十二個月）或在數(shù)據(jù)安全部門負責人變更時，對其能力進行評價，并根據(jù)評價結果采取培訓、調崗或重新招聘等必要措施。安全管理機構數(shù)據(jù)處理者應：a）成立數(shù)據(jù)安全管理機構，履行以下重要數(shù)據(jù)安全管理職責：1）研究提出重要數(shù)據(jù)安全相關重大決策建議；2）制定實施重要數(shù)據(jù)安全管理制度、操作規(guī)程和重要數(shù)據(jù)安全事件應急預案；3）定期開展重要數(shù)據(jù)安全風險監(jiān)測、風險評估、應急演練、安全宣傳教育培訓等活動，及時處置數(shù)據(jù)安全風險和事件；4）按照規(guī)定及時向網(wǎng)信部門和主管部門報告數(shù)據(jù)安全情況；5）掌握國家網(wǎng)信部門或者有關主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據(jù)的，數(shù)據(jù)安全管理機構應獨立設立；b）設立數(shù)據(jù)安全管理和技術崗位，定義崗位職責，提供人員、設備等資源；c）明確數(shù)據(jù)管理授權審批事項、審批流程、審批部門和審批人等。機構變化重要數(shù)據(jù)處理者在發(fā)生兼并、重組、破產(chǎn)時，數(shù)據(jù)接收方應繼續(xù)履行相關數(shù)據(jù)安全保護義務。沒有數(shù)據(jù)接收方的，則以收集數(shù)據(jù)時與相關方簽署的合同中約定的形式返還、刪除接收數(shù)據(jù)及其加工結果。管理制度數(shù)據(jù)處理者應：a）確保重要數(shù)據(jù)安全管理制度覆蓋全部重要數(shù)據(jù)處理活動，內(nèi)容包括重要數(shù)據(jù)處理目的、范圍、方式、崗位、責任、管理層承諾、內(nèi)外部協(xié)調及合規(guī)性要求等；b） 建立重要數(shù)據(jù)安全風險評估體系，明確安全評估周期、內(nèi)容、結果使用，以及風險處置等實施細則；c） 建立重要數(shù)據(jù)安全事件投訴、舉報渠道及受理處置流程，公布接受投訴、舉報的聯(lián)系方式、責任人等受理處置信息，及時接受、受理、處置與數(shù)據(jù)安全保護有關的投訴、舉報，并依法采取停止處理、消除影響等處置措施，將處理結果告知投訴、舉報人；d） 在組織架構發(fā)生重大調整或業(yè)務發(fā)生重大變化時，及時評估和修訂數(shù)據(jù)安全管理制度和安全策略；e）通過正式、有效的方式發(fā)布重要數(shù)據(jù)管理制度，確保相關職能部門、崗位和人員知悉。人員數(shù)據(jù)處理者應：a）制定重要數(shù)據(jù)處理人員管理安全制度，明確人員招聘、錄用、培訓、上崗、調崗、離崗、考核、選拔等安全管理要求；b）針對數(shù)據(jù)安全管理機構負責人和關鍵崗位人員，在錄用前進行安全背景審查；c）定期對重要數(shù)據(jù)處理人員進行評估和考核，依據(jù)評估、考核結果確定任職資格；d）與重要數(shù)據(jù)處理人員簽訂安全責任協(xié)議，人員調離時應收回組織的軟硬件資產(chǎn)，移交調離人員的重要數(shù)據(jù)處理崗位職責，并及時終止調離人員的重要數(shù)據(jù)處理權限；e）重要 數(shù)據(jù)處理人員調離時，與其簽訂保密協(xié)議，確保其調離后在合理期限內(nèi)繼續(xù)履行保密義務。培訓數(shù)據(jù)處理者應：a）制定年度數(shù)據(jù)安全培訓計劃，明確培訓內(nèi)容、培訓時間及培訓人員，培訓內(nèi)容包括但不限于重要數(shù)據(jù)安全管理相關法律法規(guī)、政策標準、技術實踐、安全意識等；b）根據(jù)培訓計劃，每年開展培訓，并對培訓結果進行考核、評價、記錄和歸檔；c）根據(jù)實際情況及時調整或定期更新培訓計劃。數(shù)據(jù)治理設施治理工具數(shù)據(jù)處理者應部署數(shù)據(jù)治理工具，對重要數(shù)據(jù)開展以下活動：a）部署和實施數(shù)據(jù)安全治理策略，落實法律法規(guī)相關的數(shù)據(jù)安全保護責任；b）管理、監(jiān)測和審計數(shù)據(jù)資產(chǎn)分布、使用、流轉等，實現(xiàn)自動化數(shù)據(jù)處理與執(zhí)行跟蹤、合規(guī)審核和違規(guī)行為追溯；c）評估、預測和識別潛在數(shù)據(jù)安全風險，及時采取刪除、隔離、修復、減緩等補救措施；d）建立數(shù)據(jù)處理活動的監(jiān)測規(guī)則和安全基線，能根據(jù)預定義閾值對異常數(shù)據(jù)處理活動進行告警，并展示數(shù)據(jù)處理活動發(fā)生的位置、操作以及數(shù)據(jù)處理活動的風險及威脅等信息。統(tǒng)一管理數(shù)據(jù)處理者應通過數(shù)據(jù)治理工具實施以下措施：a）制定和實施本組織范圍內(nèi)的訪問控制策略，遵循最小權限和職責分離原則，實施統(tǒng)一的權限申請和授權管理；b）針對有權訪問重要數(shù)據(jù)的人員，統(tǒng)一管理賬號分配，統(tǒng)一實施身份鑒別；c）使用密鑰管理系統(tǒng)，管理密鑰的生成、存儲、分發(fā)、使用、更新、撤銷、備份、恢復、銷毀和審計等；d）使用證書管理系統(tǒng)，管理證書的申請、簽發(fā)、發(fā)布、安裝、使用、更新、吊銷、歸檔等。供應鏈管理采購管理針對處理重要數(shù)據(jù)的系統(tǒng)，以及數(shù)據(jù)服務，數(shù)據(jù)處理者應：a）制定產(chǎn)品和服務采購策略，確保擬采購產(chǎn)品符合使用需求；b）優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；c）使用資產(chǎn)跟蹤機制，如數(shù)字簽名等措施，確保產(chǎn)品和服務生產(chǎn)、運輸、存儲、交付的安全。供應商管理針對處理重要數(shù)據(jù)的系統(tǒng)，以及數(shù)據(jù)服務，數(shù)據(jù)處理者應：a）制定供應商安全管理制度，規(guī)定供應商管理目標、原則和范圍，明確供應商責任和義務、與供應商合作協(xié)議的相關要求、以及內(nèi)部審核原則等；b）與供應商簽署合作協(xié)議，明確雙方的數(shù)據(jù)安全責任和義務，約定數(shù)據(jù)處理目的、范圍、處理方式，以及保密約定和安全保護措施等；c）監(jiān)測因采購活動而導致的重要數(shù)據(jù)向供應商轉移情況，確需轉移的，應滿足本文件關于數(shù)據(jù)提供和共享的要求，業(yè)務合作結束后應采取有效管理和技術措施督促供應商刪除轉移的重要數(shù)據(jù)；d）建立信息共享機制、黑名單機制，確保供應鏈數(shù)據(jù)完整、可靠和安全。評估針對處理重要數(shù)據(jù)的系統(tǒng)，以及數(shù)據(jù)服務，數(shù)據(jù)處理者應：a） 制定和實施供應鏈安全評估制度，明確評估時機、內(nèi)容、結果使用、風險處置等事項；b）定期評估和審查供應鏈安全風險，并將評估結果應用于產(chǎn)品和服務采購、供應商選擇和審核等過程中。應急響應數(shù)據(jù)處理者應：a） 制定重要數(shù)據(jù)安全事件應急預案，包括應急組織機構與職責、數(shù)據(jù)安全事件分類分級、監(jiān)測與預警、應急處置流程、保障措施等事項；b） 制定并修訂重要數(shù)據(jù)安全事件應急預案演練計劃，定期實施應急演練，保存演練記錄和演練總結報告，根據(jù)數(shù)據(jù)處理系統(tǒng)自身或外界環(huán)境發(fā)生重大變化時，對應急預案進行及時更新，保留審核發(fā)布記錄；c）建立應急響應中心和團隊，為其配備相應的資源和技術手段；d）建立與主管部門的數(shù)據(jù)安全事件應急處理協(xié)調溝通渠道；e）采取技術手段監(jiān)測數(shù)據(jù)安全事件并及時預警；f）發(fā)生重要數(shù)據(jù)泄露、毀損、丟失等數(shù)據(jù)安全事件時：1）及時啟動應急處置機制，采取措施防止危害擴大，消除安全隱患；2）及時向設區(qū)的市級網(wǎng)信部門和有關主管部門報告事件情況，包括涉及的重要數(shù)據(jù)數(shù)量、類型、可能的影響、已經(jīng)或者擬采取的處置措施等；3）在事件處置完畢后5個工作日內(nèi)向設區(qū)的市級網(wǎng)信部門和有關主管部門報告事件原因、危害后果、責任處理、改進措施等情況；4）發(fā)生特別重大的重要