为指导学术科技服务平台运营者规范开展数据处理活动,依照网安秘字〔2024〕121号,全国网安标委秘书处组织编制了《网络安全标准实践指南——学术科技服务平台数据安全要求(征求意见稿)》。
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,保障数据安全,促进学术科技数据依法合理有效利用,保护个人、组织合法权益,维护国家安全和社会公共利益,制定本指南。
这份指南为学术科技服务平台的数据安全管理提供了详细的指导和要求,提出了学术科技服务平台运营者应履行的安全责任和义务,旨在提升数据安全水平,保障数据的合法、合理利用。学术科技服务平台运营者应建立安全、开放、高效的公开学术科技数据共享机制,遵守数据安全法律法规,对数据进行分类分级保护。
1. 数据处理安全要求
数据收集:合法、正当、必要和诚信的方式收集数据,取得个人同意。
数据存储:分开存储公开和非公开数据,采取安全保护措施。
数据使用与加工:仅用于约定目的,取得相关机构和个人同意。
数据传输:保护数据传输的完整性和保密性。
数据提供和公开:进行脱敏处理,遵守国家有关规定。
数据删除:建立数据删除管理制度,确保数据不能被恢复。
2. 安全管理要求
组织管理:明确数据安全负责人和管理机构,制定内部管理制度。
用户管理:建立用户管理制度,签订协议。
内容管理:建立信息发布传播管理规则。
应急响应:及时处置数据安全事件,通知利害关系人。
安全审计:开展日常安全审计工作,记录日志。
安全评估:定期开展风险评估,形成评估报告。
同时,为了学术科技服务平台可以更好地保护数据安全,确保数据的合法、合理利用,同时提升平台的信誉和竞争力,有效地实施以上提出的安全要求,以下是一些建议:
1. 组织架构与文化建设
成立专门的数据安全团队:负责数据安全的日常管理和监督。
培训与意识提升:定期对员工进行数据安全培训,提高全员的安全意识。
2. 制定详细的安全政策
制定数据安全政策:明确数据处理流程、责任分配和安全标准。
更新和审查政策:定期审查和更新数据安全政策,确保其符合最新的法律法规和技术发展。
3. 技术措施
采用加密技术:对敏感数据进行加密存储和传输。
部署防火墙和入侵检测系统:保护平台免受外部攻击。
实施访问控制:确保只有授权用户才能访问敏感数据。
4. 数据生命周期管理
数据分类与分级:根据数据的敏感性和重要性进行分类和分级。
数据最小化原则:只收集和处理必要的数据。
数据备份与恢复:定期备份数据,并测试恢复流程。
5. 合规性与审计
合规性检查:确保数据处理活动符合相关法律法规的要求。
内部审计:定期进行内部审计,检查安全措施的执行情况。
第三方审计:邀请第三方机构进行独立的安全审计。
6. 应急响应与事件管理
制定应急响应计划:明确数据泄露或其他安全事件的应对措施。
模拟演练:定期进行应急响应演练,提高应对能力。
事件报告与记录:及时记录和报告安全事件,并采取相应的补救措施。
7. 用户管理与隐私保护
用户协议:与用户签订明确的数据处理协议,告知用户数据的使用方式和目的。
隐私保护:尊重和保护用户的隐私权,遵守《个人信息保护法》等相关法律法规。
8. 持续改进
反馈机制:建立用户和内部员工的反馈机制,及时发现和解决问题。
技术更新:持续关注最新的技术发展,及时更新安全措施。
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南——学术科技服务平台数据安全要求(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2024年10月14日前反馈至秘书处。
联系人:王寒生 010-64102730 wanghs@cesi.cn
下载附件:
1. 网络安全标准实践指南——学术科技服务平台数据安全要求(征求意见稿)
来源:全国网安标委网站,附件下载请在页面底部扫码关注我们的微信公众号“idtzed”,对话框内发送“241014”或“入”添加老邪企业微信获取链接。
领取数字人才中国方案,直通数治x行业社群、AIGC+X 成长营,一起产研内训、知识平台共建!