|
ICS 35.240.70
CCS I67
团体标准
T/CFEII 0003—2022
数据合规管理体系要求
Data compliance management systems—Requirements
2022 - 11 - 04 发布2022 - 11 - 04 实施
中国电子信息行业联合会 发布
目录
前言.................................................................................... I
引言................................................................................... II
1 范围................................................................................... 1
2 规范性引用文件......................................................................... 1
3 术语和定义............................................................................. 1
4 组织环境............................................................................... 2
4.1 理解组织及其环境................................................................ 2
4.2 理解相关方的需求和期望.......................................................... 2
4.3 确定数据合规管理体系范围........................................................ 2
4.4 数据合规管理体系................................................................ 3
4.5 数据合规义务.................................................................... 3
4.6 数据合规风险评估................................................................ 3
5 领导作用............................................................................... 4
5.1 领导作用和承诺.................................................................. 4
5.2 数据合规管理战略................................................................ 4
5.3 数据合规文化.................................................................... 4
5.4 数据合规治理.................................................................... 4
5.5 岗位、职责和权限................................................................ 5
6 策划................................................................................... 6
6.1 应对风险和机会的措施............................................................ 6
6.2 数据合规目标及其实现的策划...................................................... 6
6.3 针对变更的策划.................................................................. 7
7 支持................................................................................... 7
7.1 资源............................................................................ 7
7.2 制度建设........................................................................ 7
7.3 能力............................................................................ 8
7.4 意识............................................................................ 8
7.5 沟通............................................................................ 9
7.6 文件化信息...................................................................... 9
8 运行.................................................................................. 10
8.1 总则........................................................................... 10
8.2 数据生存周期行为控制........................................................... 10
8.3 数据管理行为控制............................................................... 12
8.4 其他行为控制................................................................... 14
8.5 举报机制....................................................................... 14
8.6 调查过程....................................................................... 14
8.7 配合外部调查................................................................... 14
9 绩效评价.............................................................................. 14
9.1 监视、测量、分析和评价......................................................... 14
9.2 内部审核....................................................................... 15
9.3 管理评审....................................................................... 16
10 改进................................................................................. 17
10.1 持续改进...................................................................... 17
10.2 不符合和纠正措施.............................................................. 17
参考文献.............................................................................. 18
T/CFEII 0003-2022
I
前言
本文件依据T/CAS 1.1—2017《团体标准的结构和编写指南》编写。
本文件由(拟填写企业/组织名称)共同提出。
本文件由中国电子信息行业联合会归口,考虑到本文件中的某些条款可能涉及专利,中国电子信
息行业联合会不负责对任何该类专利的鉴别。
起草单位:中国电子信息行业联合会、中标合信(北京)认证有限公司、中国软件评测中心、上海计
算机软件技术开发中心、中国行为法学会网络与数据法治研究院、北京如火数据科技有限公司、深圳数据
交易有限公司、上海数据交易所有限公司、中电科大数据研究院有限公司、格尔软件股份有限公司、湖州
市数字集团有限公司、湖南快乐阳光互动娱乐传媒有限公司、上海华能电子商务有限公司、远盟康健科技
有限公司、中图科信数智技术(北京)有限公司、北京合规科技有限公司、天津朗言安全技术服务有限公
司、北京滴普科技有限公司、维正知识产权科技有限公司、企知道网络技术有限公司、互动堂科技(南京)
有限公司、法治日报社《法人》杂志、湖南农业大学公共管理与法学学院、北京大成律师事务所、北京市
中伦律师事务所、北京市环球律师事务所、北京市智维律师事务所、广东启源律师事务所、北京市海问律
师事务所、上海市锦天城律师事务所、上海市通力律师事务所、北京市炜衡律师事务所、北京市通商(深
圳)律师事务所、北京万商天勤(杭州)律师事务所、山东文康律师事务所、上海元达律师事务所、北京
理工大学前沿技术研究院、北京劳动保障职业学院、数据治理应用技术(佛山)研究院、长春吉大正元信
息技术股份有限公司、北京易观数智科技股份有限公司、浙江有数数智科技有限公司、北京幂律智能科技
有限责任公司。
主要起草人:王燕珊、李铁男、王丹、柳青松、吴志刚、王闯、陆万万、杨琳、王春晖、丁振赣、陈晓峰、娄
涛、彭学鹏、魏巍、董元旦、罗国文、王尔淇、黄孝然、卢永安、王腾、李可顺、李紫薇、黄丽华、卓训方、张婧慧、
王华、董明富、王帮国、王震、高守杰、卢海波、李小红、邹旭仔、廖云志、黄云飞、李俊华、邢海涛、杨宇、陈浩、
李沄沨、许若华、蔡欣达、张风、饶碧霞、赵亮、麦卓群、王兵、谢辉、钟恒明、徐梓祥、蔡耀东、王永强、戴勇波、
刘落根、薛恕良、田宇、鲍捷、贾宝元、李辽、徐晓林、明承瀚、徐永前、黄鑫淼、陈际红、孟洁、丁洁、汪宏杰、黄
晓霞、曾理、傅鹏、赵卿梦、吴卫明、潘永建、朱晓阳、姜黎黎、李静、郭小明、刘润兴、彭晓燕、李旺、马清泉、王
译萱、江海、潘尤迪、李建武、郑春贤、张峰岭、刘佳、才君、韩宏伟、杨帆、马恩骉、张利江、梁协君、涂存超、石
玏、贾斌昌、瞿伟峰、倪钰婷。
本文件首次制定,在应用过程中如有需要修改与补充的建议,请将相关资料寄送至中国电子信息
行业联合会,以便随时修订。
T/CFEII 0003-2022
II
引言
数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。十八大
以来,我国加快网络强国和数字中国建设,大力发展以数据为生产要素的数字经济,坚持促进发展和监
管规范两手抓、两手都要硬,建立全方位、多层次、立体化监管体系,规范数字经济发展。
数据合规是数据要素释放潜能的前提和基础,是数据治理的重要组成部分。建立和完善数据全流程
合规和监管规则体系,落实贯穿数据治理全过程的合规要求,提升组织数据治理与合规运营能力,是促
进数字经济高质量发展的重要保障。
本文件以数据相关的法律法规为依据,以落实数据合规义务为目标,以构建数据合规管理体系为核
心,提出组织体系、制度体系、运营体系和保障体系等方面的数据合规管理要求,对组织及其最高管理
者、员工、第三方合作伙伴开展数据处理和安全管理全流程监测与防控确立了行为规范和边界。
本文件可以作为组织开展数据合规管理活动的依据,也可作为认证机构开展认证、法律从业者开展
数据合规业务、组织开展第三方监督评估、政府开展数据合规治理的参考依据。同时,本文件可以作为
数据管理能力成熟度评价有关数据合规方面的补充要求。
T/CFEII 0003-2022
1
0
数据合规管理体系要求
1 范围
本文件规定了组织有效的建立、实施、运行和持续改进数据合规管理体系的要求。
本文件适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共的、私营的或非营利性的,
可用于组织对数据合规管理体系的自我评价、二方审核和第三方认证。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件;凡
是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19011 管理体系审核指南
GB/T 35295 信息技术大数据术语
GB/T 36073 数据管理能力成熟度评估模型
GB/T 35770 合规管理体系要求及使用指南
3 术语和定义
GB/T 19011、GB/T 35295、GB/T 36073、GB/T 35770 界定的以及下列术语和定义适用于本文件。
3.1
数据生存周期data life-cycle
将原始数据转化为可用于行动的知识的一组过程[GB/T 35295,定义2.1.2] 。
3.2
数据合规文化data compliance culture
贯穿整个组织的价值观、道德规范、信仰和行为,并与组织结构和控制系统相互作用,产生有利于数据
合规的行为规范。
注:价值观是组织所崇尚的文化的核心,是组织行为的基本原则。
3.3
数据合规团队data compliance team
对数据合规管理体系运行负有责任、享有权限的一个人或一组人。
注:最好指定一人负责数据合规管理体系的监督。
3.4
数据合规义务data compliance obligations
包括但不限于组织强制性必须遵守的与数据有关的要求,以及组织选择性自愿遵守的与数据有关的要求。
T/CFEII 0003-2022
2
0
注1:强制性必须遵守的与数据有关的要求包括但不限于:法律法规;许可、执照或其他形式的授权;监管机构发布的命
令、条例或指南;法院判决或行政决定;条约、公约和协议;强制性标准等。
注2:选择性自愿遵守的与数据有关的要求包括但不限于: 与相关方签订的协议;组织的要求,如战略和程序;自愿的原
则或规程;自愿性标志或环境承诺;相关组织的和产业的标准等。
3.5
数据合规风险data compliance risk
因未履行组织数据合规义务而发生不合规的可能性及其后果。
4 组织环境
4.1 理解组织及其环境
组织应确定与其宗旨相关的,且影响其实现数据合规管理体系预期结果能力的外部和内部事项。组织应
综合诸多事项,包括但不限于:
a)商业模式,包括组织活动和运行的战略、性质、规模、复杂性和可持续性;
b)内部结构、战略、过程、程序和资源;
c)系统、工具、平台等技术环境;
d)自身的合规文化;
e)经济状况;
f)与第三方业务关系的性质和范围;
g)社会、文化、环境背景;
h)法律和监管环境。
4.2 理解相关方的需求和期望
组织应确定:
a)数据合规管理体系的相关方;
b)相关方的有关数据合规方面的需求;
c)将通过数据合规管理体系予以解决的需求。
注:相关方的要求可包括法律、法规要求和合同义务。
4.3 确定数据合规管理体系范围
组织应确定数据合规管理体系的边界及其适用性,以确立其范围。
注:数据合规管理体系的范围旨在阐明组织面临的主要合规风险以及数据合规管理体系将适用的地理或组织边界。
在确定范围时,组织应考虑:
a)4.1 中提到的内部和外部事项;
b)4.2、4.5、4.6 中提到的要求;
c)组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
T/CFEII 0003-2022
3
0
该范围应形成文件化信息并可获取。
4.4 数据合规管理体系
组织应按照本文件的要求,建立、实施、维护和持续改进数据合规管理体系,包括所需的过程以及过程
之间的相互作用。数据合规管理体系应结合组织环境(见4.1)反映组织的价值观、战略、目标和数据合规
风险。
4.5 数据合规义务
组织应系统识别来源于组织活动、产品和服务过程中所产生的数据合规义务,并评估其对组织运营所产
生的影响。
组织应建立过程以:
a)识别新增及变更的数据合规义务,以保证持续数据合规;
b)评估已识别的新增及变更的数据合规义务所产生的影响,并对数据合规义务管理进行必要的调整。
组织应维护其数据合规义务的文件化信息。
4.6 数据合规风险评估
组织应定义并应用数据合规风险评估过程,以:
a)建立并维护数据合规风险准则,包括:
1)数据合规风险接受准则;
2)数据合规风险评估实施准则。
b)确保数据合规风险评估产生一致的、有效的和可比较的结果;
c)识别数据合规风险:
1)应用数据合规风险评估过程,以识别数据合规管理体系范围内与数据保密性、完整性和可用性有
关的风险;
2)识别数据合规义务与组织活动、产品、服务以及运行的相关方面关联风险。
d)分析数据合规风险:
1)评估4.6.c)中所识别的风险实际发生的可能性;
2)评估4.6.c)中所识别的风险发生后,可能导致的潜在后果;
3)确定风险级别。
e)评价数据合规风险:
1)将风险分析结果与4.6.a)中建立的风险准则进行比较;
2)为风险处置排序及确定风险的优先级。
f)组织应评估与外包的和第三方的过程相关的数据合规风险;
g)应定期评估数据合规风险,并在组织环境发生重大变化时进行评估;
h)对于数据出境,应依法评估;
i)应维护有关数据合规风险评估和应对数据合规风险措施的文件化信息。
T/CFEII 0003-2022
4
0
5 领导作用
5.1 领导作用和承诺
治理机构和最高管理者应通过以下活动,证实对数据合规管理体系的领导作用和承诺:
a)确保建立了数据合规管理战略和数据合规目标,并与组织的总体战略方向保持一致;
b)确保将数据合规管理体系要求整合到组织业务过程中;
c)确保数据合规管理体系所需资源可获取,并为数据合规团队配置足够且适宜的资源;
d)确保数据合规管理体系达到预期结果;
e)指导并支持相关人员提升数据合规管理体系的有效性做出贡献;
f)推进持续改进;
g)支持相关岗位在其职责范围内发挥领导作用。
5.2 数据合规管理战略
治理机构和最高管理者应建立数据合规管理战略,该战略应:
a)与组织的价值观、总体战略和目标保持一致;
b)要求履行组织的数据合规义务;
c)支持数据合规治理原则;
d)引用并阐述数据合规团队,为数据合规团队提供资源支持;
e)概述不遵守组织的数据合规义务、战略、过程和程序的后果;
f)鼓励举报,并且禁止任何形式的报复;
g)作为文件化信息便于调取使用;
h)在组织内得到沟通;
i)适宜时,便于相关方获取。
5.3 数据合规文化
数据合规文化反映了组织的治理机构、最高管理者、各级管理层、员工和其他相关方应对数据合规风险
的意识和态度,组织应在其内部各个层级建立、维护并推广数据合规文化。组织的数据合规文化建设,有助
于应对合规风险、增强主动合规意识、提升合规管理有效性并促进实质性合规。
建立、维护、推广和实施良好合规文化应考虑以下方面:
a)组织应在其内部各个层级建立、维护并推广数据合规文化;
b)对于整个组织内部所要求的共同行为准则,最高决策机构、最高管理者和管理者应做出积极的、明示
的、一致且持续的承诺;
c)最高管理者应鼓励、倡导和支持数据合规的行为,应阻止且不容忍损害合规的行为;
d)组织应确立数据合规文化理念,通过健全数据合规组织体系,完善数据合规流程体系,强化员工数据
合规培训,加强数据合规的行为控制,营造数据合规软环境;
e)组织应将数据合规文化传递至相关方,树立积极正面的数据合规形象。
5.4 数据合规治理
T/CFEII 0003-2022
5
0
治理机构和最高管理者应确保下列原则得到实施:
a)数据合规团队应能直接接触治理机构;
b)数据合规团队的独立性;
c)数据合规团队具有适当的权限和能力。
注1:直接接触包括:向治理机构的直接汇报、定期提交报告以及参加其会议。
注2:独立性是指数据合规团队的运行不受任何不当干扰和/或压力的影响。
5.5 岗位、职责和权限
5.5.1 治理机构
治理机构应:
a)确保最高管理者的管理绩效可以根据数据合规目标的实现程度进行测量;
b)对最高管理者运行数据合规管理的情况进行监督。
5.5.2 最高管理者
最高管理者或其授权委托人应通过下列方式对数据合规管理工作负责:
a)确保战略和运行目标与数据合规义务相协同;
b)确保数据合规管理体系符合本文件的要求;
c)确保为建立、制定、实施、评价、维护和改进数据合规管理体系,特别是数据合规团队配置足够且适
宜的资源;
d)确保建立及时有效的数据合规绩效报告制度;
e)确保建立和维护问责机制,包括纪律处分和结果;
f)确保数据合规绩效与人员绩效考核挂钩。
5.5.3 数据合规团队
数据合规团队应负责数据合规管理体系的运行,包括:
a)推进识别数据合规义务;
b)编制数据合规风险评估文件;
c)使数据合规管理体系与数据合规目标保持一致;
d)监视和测量数据合规绩效;
e)分析和评估数据合规管理体系的绩效,以确认是否需要采取纠正措施;
f) 建立数据合规报告和记录制度;
g)确保按策划的时间间隔对数据合规管理体系进行评审;
h)建立举报机制;
i) 监督履行已识别的数据合规义务的职责在整个组织内得到有效分配;
j) 监督数据合规义务与战略、过程和程序的整合;
k)监督所有相关人员按要求接受培训;
l) 监督确立数据合规绩效指标;
T/CFEII 0003-2022
6
0
m)使人员可获得与数据合规战略、过程和程序有关的资源;
n)就数据合规相关事宜向组织提供建议。
注: 数据合规团队的具体职责并不会因此免除其他人员的合规责任。
5.5.4 中层管理者
中层管理者应通过下列方式对其职责范围内的数据合规管理工作负责:
a)持续推进其分管领域内的所有员工都遵守组织的数据合规理念、目标和相关程序;
b)满足员工培训需求,培养员工的数据合规意识, 提升数据合规能力;
c)鼓励并支持员工对企业内可能违反数据合规相关规定的事项进行内部举报,并防止任何形式的报复;
d)确保一经确定需要采取纠正措施时,适当的纠正措施能够得到采取并实施。
5.5.5 员工
组织应关注关键岗位或风险级别较高岗位的员工,所有员工行为应符合如下要求:
a)遵守组织的数据合规理念、目标和相关程序;
b)报告数据合规疑虑、问题和漏洞;
c)根据要求参加数据合规培训。
6 策划
6.1 应对风险和机会的措施
组织在策划数据合规管理体系时,应考虑4.1 中提到的因素和4.2 中提及的需求,并确定需要应对的风
险和机会,以便:
a)确保数据合规管理体系能实现预期目标;
b)预防或减少不利的影响;
c)实现持续改进。
组织在策划时,应结合:
a)其数据合规目标(见6.2);
b)经识别的数据合规义务(见4.5);
c)数据合规风险评估结果(见4.6)。
组织应策划以下活动:
a)应对风险和机会的具体措施;
b)将应对措施融入数据合规管理体系中并实施;
c)评价应对措施有效性。
6.2 数据合规目标及其实现的策划
组织应在相关职能和层级上建立数据合规目标,数据合规目标应:
a)与数据合规战略一致;
T/CFEII 0003-2022
7
0
b)在适宜时可测评;
c)结合适用的要求(如:GB/T 36073 《数据管理能力成熟度评估模型》);
d)予以监督;
e)予以传达;
f)在适宜时予以更新;
g)作为文件化信息便于调取使用。
组织策划如何实现数据合规目标时,应确定:
a)需要做什么;
b)需要什么资源;
c)由谁负责;
d)如何完成;
e)如何评价结果。
6.3 针对变更的策划
当组织确定需要变更数据合规管理体系时,应对这些变更实施进行策划,组织应结合:
a)变更目的及其潜在后果;
b)数据合规管理体系设计和运行的有效性;
c)足够资源的可获取性;
d)职责和权限分配或再分配。
7 支持
7.1 资源
组织应确定并提供建立、实施、维护和持续改进数据合规管理所需要的资源,并采取数字化手段为数据
合规管理提供坚实的工具支撑。
注:资源包括财务、人力、基础设施和技术资源,以及获得外部咨询和专业技能的机会等。
7.2 制度建设
组织应通过下列方式建立健全数据合规管理制度,用以明确总体目标、机构职责、运行机制、考核评价、
监督问责等内容:
a)根据实际情况建立专门的数据合规管理制度,或在现有合规管理制度中开展数据合规管理专项制度建
设工作;
b)将落实数据合规管理制度作为可量化的管理指标,纳入组织总体框架进行管理;
c)将数据合规管理手册中易于被员工、相关方等理解的示例、案例、操作指南等,分发给数据合规风险
较高的部门及员工,并对实施有效性进行检查;
d)及时修订数据合规管理手册,持续反映数据合规相关强制遵守、自愿遵守合规义务的最新变化;
e)涉及数据出境业务的,严格依法制定相关制度并予以落实。
T/CFEII 0003-2022
8
0
7.3 能力
7.3.1 一般要求
组织应:
a)确定在其管理下的员工所需的能够影响数据合规管理绩效的必备能力;
b)确保员工在接受适当的教育、培训或经验的基础上能胜任工作;
c)必要时,采取适当的措施获得必要的能力,并评价所采取措施的有效性;
d)组织应保存并可随时调取使用作为能力证据的适当的文件化信息。
注:适当的措施可能包括,例如:向现有人员提供培训、指导或重新分配工作;或者聘用能胜任的人员。
7.3.2 聘用过程
组织应针对其所有员工制定、建立、实施和保持以下过程:
a)将遵守组织的数据战略、合规义务、过程和流程作为员工的聘用条件,选聘时,对其合规知识、技能、
经验等聘用条件进行衡量;
b)确保在入职后的适当期间内,新入职员工能获得数据合规的系统化培训;
c)对于违反组织数据合规义务及相关要求的员工,应采取适当的纪律处分;
d)作为聘用过程的一部分,组织应考虑岗位和人员可能引发的数据合规风险,并应在任何聘用、调动和
晋升之前按要求进行尽职调查;
e)组织应对绩效目标、绩效奖金和其他激励措施进行定期评审,以验证是否有适当的措施来防止导致不
合规。
7.3.3 培训
组织应定期对员工进行数据合规培训,可以在入职时和适宜的时间点实施。组织应:
a)制定与员工职责和其面临的合规风险相适应的培训计划,包括但不限于最新版法律法规与标准宣贯、
数据合规意识、文化、知识、技能等数据合规管理方面的内容;
b)对培训计划的实施进行有效性评估;
c)定期对培训制度、流程、方式、内容、结果等适宜性进行更新;
d)基于已识别的数据合规风险,组织应确保实施程序对代表组织开展业务,并可能给组织带来合规风险
的第三方进行培训,以提高其数据合规意识;
e)培训记录应作为文件化信息予以保留。
7.4 意识
组织应积极培育敬畏规则、辨别规则、遵守良规的数据合规文化,以良规促进善治,树立诚信合规的价
值观。
组织应通过以下方式确保数据合规意识得以强化:
a)制定发放数据合规管理手册或类似文件;
b)签订合规承诺书;
T/CFEII 0003-2022
9
0
c)提供合规主题培训;
d)开展合规知识测验等。
在组织管理下工作的员工应知晓:
a)数据合规战略;
b)组织鼓励的,能对数据合规管理做出贡献的行为,包括提升数据合规绩效;
c)违反数据合规管理要求的后果;
d)进行举报的方法和流程;
e)岗位职责应履行的数据合规义务及其与数据合规战略的关系;
f)支持数据合规文化的重要性。
7.5 沟通
组织应确定与数据合规管理有关的内部和外部沟通,包括:
a)沟通什么;
b)何时沟通;
c)和谁沟通;
d)如何沟通。
组织应:
a)针对沟通需求,综合考虑沟通的多样性和潜在障碍;
b)在建立沟通过程中,确保考虑相关方的意见;
c)在建立沟通过程时:
1)应将自身的数据合规文化、数据合规目标和数据合规义务纳入沟通内容;
2)应确保所沟通的信息与来源于数据合规管理体系的信息一致且可信。
d)对于数据合规管理相关的沟通内容进行回应;
e)保留适宜的文件化信息作为沟通的证据;
f) 在组织的各个层级和职能内部沟通与数据合规管理体系有关的信息,包括在适当时的合规管理体系
的变更;
g)确保人员能在沟通过程中为数据合规管理体系的持续改进做出贡献;
h)确保能对举报机制进行有效沟通。
7.6 文件化信息
7.6.1 总则
组织的数据合规管理体系文件应包括:
a)本文件要求的文件化信息;
b)组织确定的,数据合规管理体系有效性所必要的文件化信息。
注:不同组织的数据合规管理体系文件化信息的范围可能不同,取决于:
1)组织的规模及其活动、过程、产品和服务的类型;
T/CFEII 0003-2022
10
0
2)过程的复杂程度及其相互作用;
3)人员能力。
7.6.2 文件化信息的创建和更新
组织创建和更新文件化信息时,应确保:
a)予以适当标示和说明(例如标题、日期、作者或参考编号);
b)使用适当的形式(例如语言、软件版本、图形)和载体(例如纸质的、电子的);
c)对适用性和充分性进行适当的评审和审批。
7.6.3 文件化信息的控制
应控制数据合规管理体系和本文件所要求的文件化信息,以确保文件化信息:
a)无论何时何处需要时都易于和适于取用;
b)得到充分地保护(例如避免泄漏机密、不当使用或失去完整性);
c)为了控制文件化信息,适用时,组织应进行以下活动:
1)分发、访问、检索和使用;
2)存储和保存,包括保持易读性;
3)对变更的控制(例如,版本控制);
4)保留和处置。
d)适宜时,应识别和控制由组织确定的,对数据合规管理体系的策划和运行来说必要的来自外部的文件
化信息。
注: 访问指只允许查看文件化信息,或者允许并授权查看和更改文件化信息。
8 运行
8.1 总则
组织应策划、实施和控制满足要求以及实施第6 章所确定的措施所需的过程,具体通过以下方式:
a)对过程确立准则;
b)按照准则对过程实施控制;
c)必要的文件化信息应可获取,以便确认过程已按照策划实施;
d)组织应控制策划的变更,审查意外变更的影响,必要时采取措施减少不利影响;
e)组织应确保对外部提供的与数据合规管理体系相关的产品、过程或服务实施控制;
f)重要数据的处理组织应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险
评估报告;
g)对组织的数据运行外包不会免除组织的法律责任或合规义务;
h)组织应确保第三方过程得到控制和监视。
8.2 数据生存周期行为控制
8.2.1 数据收集行为控制
T/CFEII 0003-2022
11
0
组织宜积极开展数字化转型,利用数字技术对各类业务数据进行数字化,在收集数据时应遵守以下要求:
a)法律法规对数据收集的目的、范围有规定的,应当在法律法规规定的目的和范围内收集数据;
b)遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式收集包括个人信息在内的数据;
c)数据收集应当具有明确、合理的目的,并应与收集目的直接相关,采取对被收集方权益影响最小的方
式,取得被收集方授权同意,严格控制收集信息的数量和频率;
d)数据收集涉及个人信息时,应当限于实现处理目的的最小范围,不得过度收集个人信息;
e)面向第三方收集数据的场景中,应确保数据授权等机制的延伸控制;
f)面向第三方采购数据时,应建立数据供应链合规管理制度,对数据提供方进行合规审查,确保所获得
数据合规,具体要求参见8.3.1.3。
8.2.2 数据存储与传输行为控制
组织应对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,组织应采取以下措施:
a)加强数据处理系统、数据传输网络、数据存储环境等安全防护;
b)积极应对数据安全事件,防范针对和利用数据的违法犯罪活动;
c)处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,
处理核心数据的系统依照有关规定从严保护;
d)传输和存储重要数据、个人信息等敏感数据时,应采用加密、安全存储、访问控制、安全审计等安全
措施;
e)面向第三方传输数据时,应按照要求采取安全措施并以合同形式约定。
8.2.3 数据加工行为控制
组织应强化数据加工行为管理,控制可能存在的风险,在加工时采取以下措施:
a)对照组织数据需求,构建数据模型、数据目录等,建立完善的技术支撑环境;
b)按照业务需求和法律法规要求开展数据转换、汇聚、清洗、分析等加工活动;
c)制定数据清洗、数据分析等管理办法,建立数据加工评价机制,确保数据加工过程的合理规范。
8.2.4 数据使用行为控制
8.2.4.1 数据提供与公开
组织对外提供数据或公开披露数据时,应充分重视风险并遵守以下要求:
a)事先开展安全影响分析和风险评估,并依据评估结果采取有效的保护措施;
b)公开披露数据前告知相关方公开披露信息的目的、类型,并征得相关方明示同意;
c)开展共享、转让、委托处理等对外提供数据活动时,通过合同等形式约定双方的数据安全责任和义务。
8.2.4.2 流通交易
组织在开展数据流通交易相关活动时,应遵守以下要求:
a)获得相关方的授权同意;
b)采取有效措施防止客户、第三方将数据用于违法犯罪活动;
T/CFEII 0003-2022
12
0
c)在安全可控的技术环境下开展相关活动,必要时采取隐私计算、数据脱敏等匿名化手段保护利益相关
方合法权益;
d)审核各相关方的身份并留存审核、交易记录,确保交易流程清晰可追溯。
8.2.5 数据退役行为控制
组织应开展对历史数据的退役管理,采取以下措施:
a)按照业务发展和外部监管需求设计数据退役机制;
b)按照法规、业务和技术需要执行数据退役操作,完成数据的归档、迁移和清除等工作;
c)建立数据恢复检查机制,定期检查退役数据状态,确保数据在需要时可恢复;
d)提供归档数据查询,根据业务管理或监管需要,支持对相关数据进行恢复以供应用。
8.3 数据管理行为控制
8.3.1 管理措施行为控制
8.3.1.1 制度体系
组织应建立数据制度体系,具体要求如下:
a)结合自身的业务战略、经营管理需求以及外部监管需求,制定数据制度框架;
b)针对数据标准、数据质量、数据安全、数据应用等领域制定相应的数据政策、数据管理办法和数据管
理细则;
c)构建数据合规义务库与风险库,建立、实施、运行一套数据合规管理机制;
d)建立有效的数据制度管理机制,根据实际情况持续修订数据制度,确保数据制度的有效性;
e)定期开展数据制度相关的培训和宣贯,构建组织的数据管理文化。
8.3.1.2 认责体系
组织应建立数据认责体系,具体要求如下:
a)建立数据治理组织,明确数据归口管理,构建权责清晰的数据职责体系且保持内部沟通顺畅;
b)根据相关要求合理设置数据合规、数据管理等相关责任人,明确职责和分工,负责推进数据合规和数
据管理等相关工作;
c)建立绩效评价体系,根据团队人员职责、管理数据范围的划分,制定相关人员的绩效考核体系。
8.3.1.3 运营体系
组织应建立数据运营体系,确保内部运维和外部数据运营活动合规,具体包括以下要求:
a)建立数据运维方案和流程并执行,与组织的数据架构、数据标准、数据质量等工作协调一致;
b)构建数据运维支撑技术平台,打造支撑各项数据运维活动的技术环境;
c)涉及数据外包或数据共享等活动时,应采取事前防范、事中监测、事后应对的防控机制,防范第三方
滥用数据;
d)建立数据供应商管理制度,强化供应商准入、更新、退出管理等,开展数据供应商评审管理,建立并
维护合格供应商目录;
e)定期制定数据运营管理工作报告,并在组织内进行发布。
T/CFEII 0003-2022
13
0
8.3.2 技术措施行为控制
组织应采取必要的检测技术、治理技术、持续监管技术措施,保护数据合规,包括:
a)组织在数据收集环节应采取数据收集身份源身份鉴别、敏感数据识别、收集工具及防泄漏工具、收集
合规性评估等技术措施;
b)组织在数据传输环节应采取传输主体两端身份鉴别、数据加密/脱敏算法管理及实现、密钥管理、传
输通道加密管理、传输接口管理认证及监控等技术措施;
c)组织在数据存储环节应采取存储加密算法管理及实现、密钥管理、存储系统部署及安全配置管理、存
储介质审批及购买上架等管理技术措施;
d)组织在数据备份与恢复环节应采取数据备份校验、数据恢复校验、备份数据可用性及完整性验证等技
术措施;
e)组织在数据加工环节应采取测试环境、开发生产环境资源隔离、业务系统身份鉴别及访问控制、数据
操作日志记录及监控审计等技术措施;
f)组织在数据使用环节应采取数据静态/动态脱敏算法管理及实现、使用授权审批、数据流转及人员操
作监控及审计等技术措施;
g)组织在数据出境环节应采取共享双方身份鉴别、数据脱敏算法管理及实现、数据流转溯源实现(如数
字水印)、共享审批及授权、共享过程日志记录及监控审计、数据共享平台建设等技术措施;
h)组织在数据销毁环节应采取逻辑删除、硬盘格式化、文件粉碎、介质销毁、销毁结果验证等技术措施;
i)组织在数据分级分类环节应采取敏感数据识别、分类分级定义管理、结果打标、必要和最小化检测等
技术措施;
j)组织在数据资产方面应采取数据资产的识别、数据资产录入、数据资产管理、数据资产分类分级标识
等技术措施;
k)防范计算机病毒和网络攻击、网络侵入的网络运行安全技术措施;
l)检测、记录网络运行状态、网络安全事件的技术措施,留存网络日志不少于6个月;
m)防止未经授权访问以及个人信息泄露、篡改、毁损、丢失的安全技术措施;
n)组织应在数据监控审计、日志管理、账号及权限、风险检测、数据泄露、代码检测等方面采取技术措
施;
o)组织应在关键信息基础设施安全保护、个人信息保护、人脸识别、算法、APP等专项合规采取相应的
技术措施。
8.3.3 预防措施行为控制
组织应采取以下措施,避免在补救措施方面懈怠失职而形成合规管理失职行为:
a)发生或者可能发生个人信息泄露、篡改、丢失的,组织应当立即采取补救措施,并将信息种类、事件
原因、可能造成的危害、补救措施、企业的联系方式等事项通知职能部门和个人;
b)网络组织发现网络产品和服务存在安全缺陷、漏洞等风险的,应立即采取补救措施,并按规定及时告
知用户,保存有关记录,向主管部门报告;
T/CFEII 0003-2022
14
0
c)网络经营企业对于违反法律、行政法规的信息,一经发现,应立即停止传输该信息,采取消除等处置
措施,防止信息扩散;
d)制定数据安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,发
生危害数据安全事件时,应立即启动应急预案,采取相应的补救措施,并按规定向主管部门报告。
8.4 其他行为控制
当组织出现了数据生存周期行为控制和数据管理行为控制之外的不合规行为时,参照6.1.2.b)进行控
制。
8.5 举报机制
组织应建立、实施并保持一个鼓励并有助于对试图、涉嫌或实际存在的,违反数据合规战略或数据合规
义务的行为(基于合理理由相信信息真实性的情况下)进行举报的过程,该过程应:
a)在整个组织内可知可用;
b)对举报保密;
c)接受匿名举报;
d)保护举报者免于遭受打击报复;
e)便于人员获得建议;
f)组织应确保所有人员了解举报程序、了解其自身的权利和保障机制,并能够运用相关程序。
8.6 调查过程
组织应制定、建立、实施并保持过程,以评估、评价、调查有关涉嫌或实际的不合规情形的报告,并
做出结论。这些过程应确保能公平、公正的做出决定。
调查过程应由具备相应能力的人员独立进行,且避免利益冲突。适当时,组织应利用调查结果改进数
据合规管理体系(见第10 章)。组织应定期向治理机构或最高管理者报告调查的次数和结果。
组织应保留有关调查的文件化信息。
8.7 配合外部调查
8.7.1 义务
执法机构已经对涉嫌违反数据合规相关规定的行为立案并启动调查程序时,组织宜立即停止实施相关行
为,主动向执法机构报告,如实提供有关资料或情况,并应积极配合执法机构的调查,不得拒绝、阻碍执法
机构的调查。
8.7.2 权利
组织被执法机构调查的,可以根据强制遵守的要求、自愿遵守的要求陈述意见,并提供相关事实、理由
和证据。
9 绩效评价
9.1 监视、测量、分析和评价
T/CFEII 0003-2022
15
0
9.1.1 通则
组织应对数据合规管理体系进行监视,以确保实现合规目标。组织应确定:
a)需要监视和测量的对象;
b)适用的监视、测量、分析和评价的方法,以确保有效的结果;
c)何时应实施监视和测量;
d)何时对监视和测量的结果进行分析和评价;
e)应保存并可随时调取作为结果证据的文件化信息;
f)评价数据合规绩效和数据合规管理体系的有效性。
9.1.2 合规绩效的反馈来源
组织应确立、实施、评价和维护能够使其从多种渠道寻求并获取数据合规绩效反馈的过程。组织
应对信息进行分析和严格评估,以确认不合规的根本原因,确保采取适当的措施,并在4.6 要求的定
期风险评估中反映上述信息。
9.1.3 指标的开发
组织应开发、实施和维护一套适当的指标,以帮助组织评价其合规目标的实现情况并评估合规绩效。
9.1.4 数据合规报告
组织应确立、实施和维护数据合规报告的过程,以确保:
a)界定适当的报告准则;
b)确立定期报告的时间表;
c)实施非常规报告机制以便于临时报告;
d)实施保证信息准确性和完整性的机制和过程;
e)向组织中合适的职能或板块提供准确和完整的信息,以便及时采取预防、纠正和补救措施。
数据合规团队向治理机构或最高管理者提交的任何报告内容均应受到充分保护,以防止被修改。
9.1.5 记录保存
组织应保留数据合规活动准确且实时的记录,以协助监视和评审数据合规过程,并证实其符合数据合规
管理体系要求。
9.2 内部审核
9.2.1 通则
组织应参考GB/T 19011 在策划的时间间隔内实施内部审核,为数据合规管理体系进行以下判断提供信息,
以确保数据合规管理体系持续的适用性、充分性和有效性:
a)是否符合:
1)组织自身对合规管理体系的要求;
2)本文件的要求。
b)是否得到有效地实施和维护。
T/CFEII 0003-2022
16
0
9.2.2 方案
组织应策划、制定、实施和维护一个或多个方案,明确频次、方法、职责、策划方向和报告要求,保证
审核过程客观公正。在制定方案时,组织可结合相关过程的重要性和以往审核的结果。
组织应:
a)界定每次审核的目标、准则和范围;
b)选择审核员并实施审核,以确保过程客观公正;
c)确保将审核结果和风险评估报告给相关管理者和管理层;
d)组织应保存并可随时调取使用作为实施方案、审核结果和风险评估报告的证据的文件化信息。
9.3 管理评审
9.3.1 通则
治理机构和最高管理者应在策划的时间间隔内组织数据合规管理体系的评审,以确保数据合规管理体系
持续的适用性、充分性和有效性。
9.3.2 管理评审输入
管理评审应包括下列内容:
a)以往管理评审所采取措施的情况;
b)与组织所处环境有关的外部和内部事项的变化;
c)与数据合规管理有关的相关方需要和期望的变化;
d)关于数据合规绩效的信息,包括:
1)不合规和纠正措施;
2)监视和测量结果;
3)审核结果。
e)持续改进的机会。
管理评审应考虑:
a)数据合规战略的充分性;
b)数据合规职能部门的独立性;
c)数据合规目标的达成度;
d)资源的充分性;
e)数据合规风险评估的充分性;
f)现有控制措施和绩效指标的有效性;
g)与举报员工、相关方沟通,包括内部反馈和外部投诉;
h)调查过程及结果;
i)合规考核机制的有效性。
9.3.3 管理评审结果
T/CFEII 0003-2022
17
0
管理评审的结果应包括与持续改进机会有关的决定和任何需要对数据合规管理体系进行的修改。组织应
保存并可随时调取使用作为管理评审结果证据的文件化信息。
10 改进
10.1 持续改进
组织应持续改进数据合规管理的适宜性、充分性和有效性。当组织认为有必要对数据合规管理过程进行
变更时,应有计划地实施。组织应考虑:
a)变更的目的及其潜在后果;
b)数据合规管理过程设计和运行的有效性;
c)资源的充足程度及可用性;
d)职责和权限的分配或再分配。
10.2 不符合和纠正措施
经审核发现不符合或不合规的,组织应采取下列措施:
a)对不符合或不合规作出反应,并视情况:
1)采取控制和纠正措施;
2)处理后果。
b)通过以下活动评价采取措施的需要,以消除产生不符合和/或不合规的原因,避免其再次发生或在其
他地方发生:
1)评审不符合和/或不合规;
2)确定造成不符合和/或不合规的原因;
3)确定是否存在或可能发生类似的不合规。
c)实施任何必要的措施;
d)评估所采取的任何纠正措施的有效性;
e)如必要,修改数据合规管理制度。
纠正措施应与不符合和/或不合规的影响相适应。组织应保存并可随时调取使用作为以下事项证据的文件
化信息:
1)不符合和/或不合规的性质及所采取的后续措施;
2)任何纠正措施的结果。
T/CFEII 0003-2022
18
0
参考文献
[1] 《中华人民共和国数据安全法》
[2] 《中华人民共和国个人信息保护法》
[3] 《中华人民共和国网络安全法》
[4] 《数据出境安全评估办法》
[5] 《互联网个人信息安全保护指南》
[6] 《关键信息基础设施安全保护条例》
[7] 《网络安全审查办法》
[8] 《互联网信息服务算法推荐管理规定》
[9] ISO/IEC 27001 《信息安全管理体系》
[10] ISO/IEC 27002《信息安全控制实践指南》
[11] ISO/IEC 27701《隐私信息管理体系》
[12] ISO 37301 《合规管理体系要求及使用指南》
[13] GB/T 19011 《管理体系审核指南》
[14] GB/T 22080 《信息技术安全技术信息安全管理体系要求》
[15] GB/T 25058 《信息安全技术网络安全等级保护实施指南》
[16] GB/T 27921 《风险管理风险评估技术》
[17] GB/T 29246 《信息技术安全技术信息安全管理体系概述和词汇》
[18] GB/T 35273 《信息安全技术个人信息安全规范》
[19] GB/T 35274 《信息安全技术大数据服务安全能力要求》
[20] GB/T 37932 《信息安全技术数据交易服务安全要求》
[21] GB/T 37964 《信息安全技术个人信息去标识化指南》
[22] GB/T 37973 《信息安全技术大数据安全管理指南》
[23] GB/T 41479 《信息安全技术网络数据处理安全要求》
[24] GB/T 37988 《信息安全技术数据安全能力成熟度模型》
[25] GB/T 38667 《信息技术大数据数据分类指南》
[26] GB/T 39477 《信息安全技术政务信息共享数据安全技术要求》
|