山东省通信管理局关于印发《“齐鲁护航2025”数据安全工作方案》的通知
中国联通山东省分公司、中国移动山东公司、中国电信山东分公司、中国广电山东公司,省内增值电信企业、互联网企业、车联网企业,相关单位:
为提升我省电信领域数据安全保护能力,增强车联网等新型融合领域安全保障能力,护航新型工业化发展,我局制定了《“齐鲁护航2025”数据安全工作方案》,现印发给你们,请结合实际抓好落实。
山东省通信管理局
2025年4月30日
“齐鲁护航2025”数据安全工作方案
为全面提升我省电信领域数据安全保护能力,切实增强车联网等新型融合领域安全保障能力,护航新型工业化发展,结合我省信息通信行业数据安全工作实际,制定本方案。
一、方案目标
以习近平新时代中国特色社会主义思想为指导,深入学习贯彻党的二十届三中全会精神,加快落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》及《山东省工业和信息化领域数据安全管理实施细则(试行)》(鲁工信数据〔2023〕136号)《山东省电信领域数据安全事件应急预案(试行)》(鲁通管〔2025〕35号)等法律法规和政策文件要求,认真落实部省有关工作部署,更好统筹发展和安全,夯实我省信息通信行业数据安全责任体系,进一步提升行业数据安全保护水平,促进数据高效合规流通和利用,以新安全格局保障新发展格局,护航我省数字经济高质量发展。
二、主要任务
(一)开展重要数据和核心数据识别认定及目录备案
各企业要按照《山东省工业和信息化领域数据安全管理实施细则(试行)》《电信领域重要数据识别指南》有关要求,梳理本单位数据资产清单,形成本单位重要数据和核心数据目录并报我局备案。备案内容发生重大变化的,应在发生变化三个月内履行备案变更手续。我局将对备案内容进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。
(二)加强数据全生命周期安全管理
各企业要完善数据全生命周期安全管理制度,针对不同级别的数据,分级明确数据收集、存储、使用、加工、传输、提供、公开、销毁等环节安全要求,对数据处理各环节操作采用事前审批、交叉审核、日志审计等手段实行严格监督与管理,不同级别的数据难以区分或分别采取保护措施的,应按其中级别最高的要求实施保护。
(三)加强数据对外提供安全管理
各企业要依据数据提供场景、数据类别和级别严格履行风险评估、数据获取方管理等责任,并按规定向各自主管部门报备、接受审查。向其他数据处理者提供重要数据(含1000万条以上个人信息)的,应当签订数据安全协议,清晰合理约定双方数据安全责任义务,对数据获取方数据安全资质和数据安全保护能力进行核验,按要求开展风险评估并纳入数据安全风险评估报告。向其他数据处理者提供核心数据的,应当在落实前款要求基础上,报工业和信息化部履行审查程序。
(四)加强数据安全风险排查
各企业要加强重要业务系统数据安全风险排查,选取2个承载重要数据或大规模个人信息的系统,针对越权访问、明文存储、违规提供、非法使用、漏洞后门等典型问题开展数据安全风险排查,同时系统针对合作渠道VPN账号的开通审批、VPN登录鉴权进行管控,监测异常行为,并开展风险排查及整改处置,形成数据安全风险排查报告。
(五)提升数据安全应急保障能力
我局根据《山东省电信领域数据安全事件应急预案(试行)》,组织开展行业数据安全应急演练。各企业要结合自身情况,做好数据安全应急演练,应急演练应覆盖核心业务、重要网络设施和信息系统承载数据,应急演练脚本要突出风险、符合业务实战场景,并结合演练实际情况完善企业应急预案,切实提升数据安全事件实战化应对能力。
(六)加强互联网数据中心客户数据安全管理
各企业要落实《工业和信息化部办公厅关于加强互联网数据中心客户数据保护的通知》(工信厅网安〔2025〕5号)要求,结合业务类型,建立客户数据安全管理制度机制,通过合同协议等方式明确各方数据安全责任义务。要配备客户数据安全保护能力,结合数据处理流程,明确数据访问、操作、销毁等重点环节的安全策略和流程机制,做好数据隔离等保护措施;在实施可能影响客户数据安全的高危操作和对外提供客户数据时,要告知客户并取得授权,用户明确表示不同意后不应频繁征求用户同意。
(七)开展人才教育培训
我局统筹开展数据安全系列培训,围绕数据安全法律法规和政策文件的宣贯解读、前沿技术与管理实践交流等方面开展集中培训,助力企业数据安全合规实践。各企业要建立系统化人才培养机制,制定年度数据安全培训计划,确保一般数据安全岗位人员年度培训时长不少于10学时,重要数据和核心数据处理岗位人员年度培训时长不少于20学时,进一步提升人员数据安全意识和能力。
三、时间安排
(一)开展动员部署(2025年5月)。各企业要统一思想,提高认识,明确各项任务职责分工,建立调度考核机制,确保各项任务落实到位。要研究制定本单位工作方案(包含领导小组人员及支撑保障队伍信息等),开展动员部署。
(二)加强任务实施(2025年6月至7月)。各企业要按照方案要求,细化工作措施,全面推进工作任务,及时整改工作中存在的问题。我局将通过查阅报送材料、现场检查等方式进行督导检查,对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致大量数据泄露等后果的,将依法依规进行处罚。
(三)工作总结评估(2025年8月)。各企业要全面梳理总结工作任务落实情况、存在的问题及相关工作建议等,将工作要求与日常数据安全工作相结合,总结巩固经验成效,建立完善长效机制,于8月15日前将工作总结报送我局,报送材料提供单位盖章纸质版和电子版各1份。
四、保障措施
(一)加强组织协调。我局加强工作统筹,各企业要成立“齐鲁护航2025”数据安全工作领导小组,领导小组组长由数据安全相关部门主要负责人担任,要高度重视,加强领导,统筹部署,组织实施本单位工作方案。鼓励各企业根据实际制定细化工作方案,确保目标任务有效落实。
(二)加大资源保障。各企业在推进数字化信息化建设过程中,要将数据安全技术措施和手段建设同步纳入网络设施和信息系统的规划、建设和运行中,鼓励制定技术手段建设专项规划,保障相关资金投入,确保技术措施与安全风险相适应。
(三)强化成效评估。各企业及时跟踪行动方案落实情况,总结经验做法,评估工作成效,加强沟通交流,及时报告重大进展情况和问题。我局对工作推动有力、取得明显成效的企业予以表扬,对优秀经验做法加强提炼总结和推广宣传。