第四章  网络安全与数据合规管理



              施数据分类分级管理并强化电信企业大数据安全合规性要求。
                  2. 满足电信业务安全和合规需求
                  从满足电信业务数据安全和合规需求出发，需要建立电信领域以数据为中心
              的涵盖各数据处理活动各环节的防护机制。在各数据处理活动过程中，提供相应

              的数据安全技术保障，如数据分类分级、数据识别和梳理、身份鉴别、访问控制、
              数据加密、数据脱敏、数据溯源、数据备份和恢复等，全方位提升核心应用、业
              务及数据安全防护能力，有效应对外部攻击和内部泄露，构建面向数字时代的新
              一代主动安全防护体系。

                  （三）电信领域数据安全合规治理工作建议思考
                  对于电信领域数据安全合规治理作为一个系统化工程的展开，聚焦组织、流
              程、技术、人员等方面，从讨论对齐、体检分析、诊断治疗、持续监护、执行监
              督等维度进行综合考虑，建立数据可知、风险可视、体系防护、持续有效、不断

              提升改进的数据安全合规治理体系，提出了以下建议。
                  1. 以数据安全合规遵循为逻辑起点
                  根据法律法规、行业规章和电信领域合规遵从情况，基于行业与现行互补、
              兼容，并推陈出新，同时注重与国内政策的体系化综合运用，以合规遵循作为电

              信领域数据安全治理的逻辑起点，全面开展满足电信领域数据安全合规为核心的
              数据安全合规治理工作。在此基础上，电信企业应建立电信领域的数据安全合规
              遵从知识库，该合规库的组成应该包含安全法律法规、电信行业行政规章、集团
              总部数据安全管理要求、商业协议等。所有不同合规条款都应该经过融合成为一

              套有机的去重后的数据安全合规体系。
                  2. 绘制电信领域数据资产安全现状，明确安全合规治理目标
                  依据国家法律法规、电信行业安全规章，通过调研访谈、文档审阅、现场核
              查、技术检测、流程查看等方式，从管理体系、技术体系、运营体系、数据处理

              活动等方面开展数据安全现状分析，评估差异与不足，量化安全合规差距。集合
              多个业务系统的调研结果，掌握组织数据安全全局现状，找出数据安全合规问题，
              明确安全合规治理目标。
                  3. 开展数据安全合规性评估和数据安全风险评估

                  电信企业可根据数据载体类型、数据内容属性等信息定期开展面向电信领域
              数据资产平台、个人信息、APP、大数据、云平台等各类信息系统平台或对象的


                                                                                     127