《2024年度北京地区电信和互联网行业数据安全管理实施方案》落地

中国消费者报北京讯（记者武晓莉）为全面贯彻《工业和信息化领域数据安全管理办法（试行）》及《北京地区电信领域数据安全管理实施细则》，北京市通信管理局日前颁布了《2024年度北京地区电信和互联网行业数据安全管理实施方案》（以下称《实施方案》）。

《实施方案》的总体目标是组织开展北京地区电信和互联网行业“三提升一示范”专项行动，着力加强北京地区数据安全风险治理能力、数据安全事件应急处置能力、数据安全管理能力，征集遴选行业数据安全管理和应用试点示范，持续巩固和拓展2023年北京地区电信和互联网行业数据安全“五个一”专项行动治理工作成果，推动完善数据安全治理体系、治理能力建设持续走深走实，为充分发挥数据要素价值、培育新质生产力贡献力量。

《实施方案》要求电信和互联网企业强化数据安全主体责任意识，结合企业实际情况抓好方案的实施落地，并对重点工作进行了详细部署。

推进数据安全风险治理能力提升 按照《实施方案》，北京市通信管理局将根据工业和信息化部相关工作要求，持续深化数据安全风险治理能力专项提升。

一是推动数据安全风险评估制度全面落地实施。在2023年数据安全风险评估试点的基础上，对名录内已备案重要数据的企业，全面部署风险评估工作要求，解读数据安全风险评估制度要求和方法模型，严格开展评估报告备案审核，敦促企业系统性、综合性、全面性识别数据安全风险，并针对性开展风险处置，有效防范化解重大风险。

二是强化数据安全风险防控技术能力。督促企业筑牢数据安全内防内控第一道防线，利用数据安全管理能力和相关技术手段，加强属地数据安全风险信息共享与监测预警。

三是开展车联网数据安全专项行动。面向北京地区智能网联汽车、车联网平台企业开展数据安全风险防范能力专项提升，督促指导车联网企业强化数据分类分级管理，落实数据安全风险评估、自动驾驶模型安全检测、数据接口安全防护等管理要求。

四是深入开展数据安全风险隐患排查与监督检查。统筹基础电信企业考核、“双随机、一公开”“数安护航”专项行动等工作，科学设计风险排查与监督检查方案，以“重点对象回头看、重点要求督落实，热点事件深入查”为原则，针对合作方管理、权限管理、用户数据使用安全、数据中心和云业务安全、大模型数据安全等重点场景，采用现场检查、远程技术监测、随机飞行检查等多种检查方式，全面排查数据安全、切断风险问题源头。

《实施方案》要求，电信和互联网企业应积极落实数据安全风险评估制度要求，全面、准确评估数据安全风险并及时落实整改；持续加强自身数据安全技术能力建设优化，健全完善内网侧数据安全监测技术措施。聚焦合作方管理、权限管理等突出风险环节，提升风险防范能力，按要求开展风险评估及风险自查，形成风险评估及风险自查报告并按要求报送，针对发现的风险问题，加强风险防范和安全加固，完成风险闭环管理。

助力数据安全事件应急处置能力提升 按照《实施方案》，北京市通信管理局将着力完善北京地区电信领域数据安全事件应急处置机制，持续提升数据安全事件综合应对能力。

一是出台属地行业数据安全事件应急处置管理要求。按照工信领域数据安全事件应急处置相关要求，结合北京地区工作实际，制定《北京地区电信领域数据安全事件应急预案》，构建事件处置组织体系，明确细化事件定级规则、应急处理机制、应急响应流程、事后总结上报等管理要求，为推动数据安全应急处置工作制度化、规范化开展提供实施指引。

二是组织数据安全事件应急演练试点工作。根据工业和信息化部统一工作部署，以京津冀协同发展10周年为契机，联合天津市、河北省通信管理局牵头开展京津冀地区电信领域数据安全事件应急演练联合行动，选取京津冀地区大型央企、互联网数据中心等重点企业，针对典型事件场景，制定演练脚本、开展应急演练试点；组织京津地重点企业座谈交流，互相借鉴优势长处，共同学习交流经验。

《实施方案》要求，电信和互联网企业应严格落实数据安全事件应急处置工作要求，制定企业数据安全事件应急预案并定期开展应急演练。积极参与试点工作，不断完善应急处置工作机制，提升应急处置能力。

推进行业数据安全管理能力全面提升 按照《实施方案》，北京市通信管理局将持续提升行业数据安全保护意识与人员能力水平，助力行业数据安全管理能力进一步提升。

一是持续深化重点企业、重要数据安全管理。聚焦重点监管对象，动态更新重点企业名录，及时扩充监管覆盖范围；督促企业严格落实数据识别备案工作，从严开展重要数据和核心数据目录审核；督促企业落实数据分级保护要求，加强重要数据和大规模个人用户数据安全保护。

二是组织系列数据安全宣贯培训。强化电信和互联网行业数据安全管理、数据要素流通等相关政策文件、行业标准解读与宣传推广，为行业数据安全管理工作的顺利开展奠定良好基础。

三是大力开展数据安全人才队伍建设。健全人才培养体系、加大人才培养力度、创新人才培养模式，组织开展首席数据官、数据安全管理师、评估师和工程师等紧缺岗位数据安全人才培养，持续性培育、强化、壮大数据安全人才队伍。

四是开展行业标准贯标达标工作。加大行业数据安全监管覆盖面，进一步提升行业数据安全保护水平，拉齐监管基线，消除监管死角。

《实施方案》要求，电信和互联网企业应主动落实数据安全保护责任要求，识别重要数据并及时备案，加强重要数据、大规模个人用户数据安全保护。提升数据安全关键岗位人员技能，增强全员数据安全风险意识。