第十三条 IT 合规内容
第一步:采用监控软件,使用文档网络驱动的文档识别(BCTP 技术),对 PC 端的文档全生命周期可视化,可视化包括数据的收集、存储、使用、加工、传输、提供等环节;
第二步:基于文档网络驱动的文档识别(全生命周期可视化),帮助管理员制定安全管理制度。文档全生命周期可视化是制定有效的文档全生命周期管理的基础,看得见,才能管理好。可以包括确定数据处理活动的操作权限、人员管理等。
第三步:基于文档网络驱动的文档识别(BCTP 技术),对文档自动化的分类分级,用户无感。
第四步:分级保护,基于文档安全标记中存档的级别,基于策略,针对性的提供访问控制、权限管理、出企业内网的数据防泄漏控制。
第十四条 IT 合规内容
第一步:分类分级,采用监控软件,基于文档网络驱动的文档识别(BCTP 技术),对 PC 端的全生命周期可视化(文档流动可视),文档全生命周期可视化包括文档的收集(下载来源,本地创建)、存储(复制、移动、另存为、压缩等)、使用(只读)、加工(编辑)、传输(上传、下载)、提供(上传、下载至外部网络、移动存储)等环节。
第二步:基于文档网络驱动的文档识别,实现分类分级,并基于文档安全级别,采取相应的安全措施。包括存储管控:只能存储至指定文件夹(加密磁盘、加密文件夹);外发管控,对外发的高安全级别数据采取自动化的加密,加密对用户透明,用户感觉不到加密的存在。
第三步:基于文档网络驱动的文档识别,通过可视化技术,记录文档的来源、事件、类型、数量、频度、流向。
第十五条合规服务
《办法》15 条 IT 合规内容:
第一步:基于文档网络驱动的文档识别,实现文档分类分级。
第二步:用监控软件,分类为“重要数据”“核心数据”的文档,进行存储管控:确保其存储在磁盘上采用校验技术、密码技术;外发管控:确保其外发时采用校验技术、密码技术。
第十六条 IT 合规内容
第一步:基于文档网络驱动的文档识别,文档分类分级
第二步:用监控软件,分类为“重要数据”“核心数据”的文档,加强访问控制,包括但不限于强制访问控制 MAC、权限管理 ERM。
第十七条合规内容
第一步:基于文档网络驱动的文档识别,文档分类分级
第二步:用监控软件,基于网络传输、移动存储传输的数据类别、级别,以及目的地 IP\URL,选择性的进行加密、阻止、放行等措施。 例如目的地是内网服务器的文档传输,采取明文方式传输; 例如目的地是外网的文档传输,并且级别是密级,采取密码技术加密文档,采取校验技术传输,或者只允许通过可信信道才能传输。
第十八条合规内容
第一步:与律师合作,签署数据安全协议
第二步:基于文档网络驱动的文档识别,文档分类分级
第三步:基于网络传输、移动存储传输的数据类别、级别,以及目的地 IP\URL,选择性的进行加密、阻止、放行等措施。 例如目的地是外网的文档传输,并且级别是重要数据和核心数据的,如果是非授权方,则阻止传输。
第二十条合规内容
第一步:与律师合作,签署数据安全协议
第二步:基于文档网络驱动的文档识别,文档分类分级
第三步:用监控软件,基于级别类别,监控文档的删除。阻止重要文档的非法删除,重要文档的删除进行控制。
第二十一条合规服务
IT服务内容:参见《数据出境自评估报告》服务
第二十五条 IT 合规内容
第一步:基于文档网络驱动的文档识别,采用监控软件,使用文档网络驱动的文档识别(BCTP 技术),对 PC 端的全生命周期可视化(文档流动可视);
第二步:基于文档网络驱动的文档识别,记录数据处理、权限管理、人员操作等日志不少于六个月。
1、全球唯一的文档网络驱动的文档识别,分级分类, 在正式评估前发现风险,消除风险。 消除风险后通过IT系统的统计,自动证明合规。
2、用可视化技术,识别企业内部所有文档的数量、流动、类别,获得企业从未获得过的对 PC 端存储文档的全部感知和管理。
3、人工、自动化工具结合,实现线上结构化数据梳理服务。
4、与数据合规律师的合作,提供完整的 IT + 法律解决方案。
数据全生命周期安全管理
第十三条、工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规等规定的其他措施。
工业和信息化领域重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
第十四条、工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十五条、工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
第十六条、工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。
工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
第十七条、工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十八条、工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。
第十九条、工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。
第二十条、工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。
工业和信息化领域数据处理者销毁重要数据和核心数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。
第二十一条、工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
第二十二条、工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。
第二十三条、工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。
除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。
第二十四条、跨主体提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。
第二十五条、工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。