潘 妍，肖 菲

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

1 引言

近年來，我國電信業(yè)深化數(shù)字經(jīng)濟與實體經(jīng)濟融合，5G、千兆光網(wǎng)等新型信息基礎(chǔ)設(shè)施建設(shè)取得新進展，各項應(yīng)用普及全面加速，為打造數(shù)字經(jīng)濟新優(yōu)勢、增強經(jīng)濟發(fā)展新動能提供有力支撐。2022年，電信業(yè)務(wù)收入累計1.58萬億元，比上年增長8%。電信行業(yè)積累著大量的業(yè)務(wù)數(shù)據(jù)，類型多、數(shù)據(jù)規(guī)模大。這些數(shù)據(jù)蘊含著巨大的商業(yè)價值，如果能在監(jiān)管之下被合理利用，則會對跨境服務(wù)及電信行業(yè)的發(fā)展產(chǎn)生推動作用。與此同時，電信業(yè)屬于通信領(lǐng)域，是國家的重要行業(yè)，其所掌握的重要數(shù)據(jù)一旦被泄露則有嚴重危害涉及國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)的可能。因此，完善電信行業(yè)的數(shù)據(jù)安全治理體系至關(guān)重要。

2 電信行業(yè)面臨的數(shù)據(jù)安全風(fēng)險

2.1 電信行業(yè)數(shù)據(jù)特點

2.1.1 數(shù)據(jù)規(guī)模大，類型多

2022年，全國電話用戶總數(shù)達到18.63億戶，移動電話用戶總數(shù)為16.83 億戶，全年凈增4 062 萬戶，其中，5G 移動電話用戶達到5.61 億戶，占移動電話用戶的33.3%［1］。電信業(yè)積累的業(yè)務(wù)數(shù)據(jù)類型主要包括用戶屬性數(shù)據(jù)、通話數(shù)據(jù)、位置數(shù)據(jù)、終端數(shù)據(jù)、上網(wǎng)行為數(shù)據(jù)、消費數(shù)據(jù)等。由此可見，電信企業(yè)掌握的數(shù)據(jù)呈現(xiàn)出規(guī)模大、類型多的特點，面對海量的數(shù)據(jù)如何保障數(shù)據(jù)安全、促進數(shù)據(jù)利用，如何提升數(shù)據(jù)安全治理水平，是電信企業(yè)亟待解決的問題。

2.1.2 敏感數(shù)據(jù)多，分布范圍廣

電信企業(yè)收集的業(yè)務(wù)數(shù)據(jù)一般是圍繞用戶展開，大部分數(shù)據(jù)能夠單獨或與其他數(shù)據(jù)相結(jié)合識別到用戶的個人身份，屬于個人信息保護的范疇，因此敏感數(shù)據(jù)所占的比例較高。同時，在進行用戶數(shù)據(jù)收集的過程中一般涉及多個業(yè)務(wù)系統(tǒng)，如業(yè)務(wù)支撐系統(tǒng)負責(zé)收集維護用戶個人信息、消費信息、業(yè)務(wù)辦理信息等，核心網(wǎng)負責(zé)為用戶提供通信服務(wù)，并在此過程中積累用戶通信、上網(wǎng)數(shù)據(jù)。不同的系統(tǒng)由不同的部門負責(zé)管理運營，這就導(dǎo)致敏感數(shù)據(jù)信息在電信企業(yè)內(nèi)部分布在不同部門的信息系統(tǒng)中［2］。

2.1.3 數(shù)據(jù)流轉(zhuǎn)路徑多

電信企業(yè)本身業(yè)務(wù)系統(tǒng)復(fù)雜，業(yè)務(wù)內(nèi)容繁多，數(shù)據(jù)在內(nèi)部處理過程中會歷經(jīng)數(shù)據(jù)解析、清洗、轉(zhuǎn)換等流程，數(shù)據(jù)存儲也會以結(jié)構(gòu)化數(shù)據(jù)、文本數(shù)據(jù)等多種形式進行存儲，數(shù)據(jù)流轉(zhuǎn)路徑較多。在邁入5G 時代后，原本的網(wǎng)絡(luò)架構(gòu)發(fā)生了改變，數(shù)據(jù)流也隨之變化，同時5G 還為物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等垂直行業(yè)提供了服務(wù)。電信數(shù)據(jù)除了企業(yè)內(nèi)部共享外，其外部訪問也逐步增加，網(wǎng)絡(luò)環(huán)境愈加開放，數(shù)據(jù)流轉(zhuǎn)的路徑不斷增多。

2.2 電信行業(yè)數(shù)據(jù)安全現(xiàn)狀

2.2.1 數(shù)據(jù)泄露事件頻發(fā)

近年來，數(shù)據(jù)泄露事件頻繁發(fā)生。而電信企業(yè)作為大量用戶數(shù)據(jù)的持有方，其受到數(shù)據(jù)安全的外部威脅更為嚴峻。2021 年8 月，美國電信巨頭T-Mobile 發(fā)生了用戶數(shù)據(jù)泄露事件，黑客攻擊并下載用戶數(shù)據(jù)在論壇上公開售賣該企業(yè)的用戶數(shù)據(jù)［3］。2020年年初，網(wǎng)曝某電信企業(yè)超2 億條用戶信息被公開售賣，根據(jù)相關(guān)裁判文書，被告人從該電信企業(yè)的全資子公司獲取用戶個人信息售賣牟利［4］。電信企業(yè)成為數(shù)據(jù)泄露事件頻發(fā)的重災(zāi)區(qū)，提高數(shù)據(jù)安全治理水平迫在眉睫。

2.2.2 企業(yè)安全需求增加

隨著電信企業(yè)業(yè)務(wù)不斷豐富，提供包括基礎(chǔ)套餐、增值服務(wù)、數(shù)據(jù)上網(wǎng)類、家庭、集團等業(yè)務(wù)內(nèi)容，數(shù)據(jù)收集分析的需求也越來越大。在數(shù)字經(jīng)濟時代，電信企業(yè)利用自身掌握海量用戶數(shù)據(jù)的優(yōu)勢，加強了數(shù)據(jù)的開發(fā)利用，多與地方交管局、旅游局等展開合作，使用統(tǒng)計數(shù)據(jù)提供人流量分析服務(wù)。新業(yè)務(wù)的開展促進了企業(yè)內(nèi)多部門、多線條數(shù)據(jù)流的融合，原有的安全機制存在管理不全面、技術(shù)體系分散等缺陷，不能滿足新業(yè)務(wù)下數(shù)據(jù)流動、數(shù)據(jù)融合計算的安全防護需求，亟需更全面的安全防護手段和隱私保護技術(shù)來保證企業(yè)合作過程中的數(shù)據(jù)安全，防止挖掘分析過程中發(fā)生數(shù)據(jù)泄露。

2.2.3 數(shù)據(jù)安全合規(guī)需求增加

隨著數(shù)據(jù)逐步成為新型生產(chǎn)要素，數(shù)據(jù)安全愈發(fā)受到重視。我國已經(jīng)頒布并積極推進一系列數(shù)據(jù)安全相關(guān)法律法規(guī)，數(shù)據(jù)安全邁入“有法可依、有法必依”的新時期。與此同時，電信行業(yè)作為涉及海量數(shù)據(jù)包括敏感數(shù)據(jù)的特殊領(lǐng)域，行業(yè)監(jiān)管機構(gòu)也頒布了數(shù)據(jù)安全監(jiān)管規(guī)則，電信企業(yè)除遵循相關(guān)法律法規(guī)的約束之外，也要服從行業(yè)監(jiān)管機構(gòu)的合規(guī)管理，例如遵守《電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺安全防護要求》等文件要求。

3 電信行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則

當(dāng)下，數(shù)據(jù)安全合規(guī)是電信企業(yè)數(shù)據(jù)安全治理的最低要求，也是電信企業(yè)保障數(shù)據(jù)安全的底線，目前電信領(lǐng)域數(shù)據(jù)安全需滿足的監(jiān)管規(guī)則，主要涵蓋法律法規(guī)和行業(yè)標準兩個維度。

3.1 法律法規(guī)

在法律法規(guī)層面，電信領(lǐng)域的數(shù)據(jù)安全主要遵循已發(fā)布實施的《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等。

《中華人民共和國網(wǎng)絡(luò)安全法》指出國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護。電信企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)履行相應(yīng)的安全保護義務(wù)，包括：一是設(shè)置專門安全管理機構(gòu)和安全管理負責(zé)人；二是定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；三是對重要系統(tǒng)和數(shù)據(jù)庫進行備份；四是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練。

《中華人民共和國數(shù)據(jù)安全法》對電信企業(yè)開展數(shù)據(jù)活動過程中的安全職責(zé)和安全能力提出了明確的要求，內(nèi)容主要包括：一是企業(yè)必須對數(shù)據(jù)進行分類分級，確定重要數(shù)據(jù)保護目錄，并對列入目錄的數(shù)據(jù)進行重點保護；二是重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定定期開展風(fēng)險評估；三是加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施，發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)及時告知用戶并向有關(guān)主管部門報告；四是企業(yè)應(yīng)建立健全全生命周期數(shù)據(jù)安全管理制度，保障數(shù)據(jù)安全。

《中華人民共和國個人信息保護法》明確了個人信息處理的基本原則：合法正當(dāng)必要誠信原則、目的明確和最小必要原則、公開透明原則、質(zhì)量及安全保障原則。同時，該法律還明確了個人信息處理的法律依據(jù)，如對敏感個人信息的處理，需要取得個人的單獨同意并告知處理的必要性及對個人權(quán)益的影響。

而電信行業(yè)的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》不僅是在《中華人民共和國個人信息保護法》頒布之前電信行業(yè)保護個人信息的政策依據(jù)，也是對電信領(lǐng)域個人信息保護的細化。該規(guī)定對電信經(jīng)營者收集信息及使用信息提出了具體的規(guī)范要求，還對電信經(jīng)營者需采取的安全保障措施進行了列舉，同時也明確了電信管理機構(gòu)的監(jiān)督檢查職責(zé)。

3.2 行業(yè)標準

除法律法規(guī)以外，電信行業(yè)針對數(shù)據(jù)安全保護出臺了細化的行業(yè)標準，電信企業(yè)可以以此類標準為依據(jù)構(gòu)建自身的數(shù)據(jù)安全治理體系，提升數(shù)據(jù)保護水平。

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》標準根據(jù)基礎(chǔ)電信企業(yè)業(yè)務(wù)運營特點和企業(yè)內(nèi)部管理方法，收集企業(yè)內(nèi)所有部門的數(shù)據(jù)資源進行梳理，按照線分類法，根據(jù)業(yè)務(wù)屬性或特征，將基礎(chǔ)電信企業(yè)數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個大類的數(shù)據(jù)分為若干層級，每個層級分為若干子類，所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹。該標準為電信企業(yè)數(shù)據(jù)安全管理提供了分類分級原則與方法，對企業(yè)數(shù)據(jù)分類分級安全管理工作進行了基礎(chǔ)指導(dǎo)。

《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》明確了基礎(chǔ)電信企業(yè)重要數(shù)據(jù)的定義，它是指企業(yè)在運營中收集、產(chǎn)生、控制的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定，以及公共利益密切相關(guān)的數(shù)據(jù)，特別是與國家基礎(chǔ)通信網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)。該標準確定了重要數(shù)據(jù)識別的規(guī)則及工作流程，電信企業(yè)通過全面梳理數(shù)據(jù)資源，完成數(shù)據(jù)分類分級識別與標識工作，隨后根據(jù)分類分級結(jié)果重點針對安全級別較高的數(shù)據(jù)對象，逐條判定是否符合重要數(shù)據(jù)識別規(guī)則。該標準為電信企業(yè)識別重要數(shù)據(jù)從而采取更加嚴格的數(shù)據(jù)安全保障措施、提供更高水平的保護提供了依據(jù)。

4 電信企業(yè)數(shù)據(jù)安全治理體系構(gòu)建

電信行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則為電信企業(yè)構(gòu)建數(shù)據(jù)安全治理體系提供參考指引，電信企業(yè)應(yīng)圍繞數(shù)據(jù)安全管理體系、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系三方面內(nèi)容，切實做好數(shù)據(jù)安全治理體系建設(shè)工作。

4.1 數(shù)據(jù)安全管理體系構(gòu)建

電信企業(yè)數(shù)據(jù)安全管理體系的組織建設(shè)包括組織架構(gòu)、崗位設(shè)置、團隊建設(shè)、數(shù)據(jù)安全責(zé)任等內(nèi)容，是各項數(shù)據(jù)安全職能工作的基礎(chǔ)。

4.1.1 組織架構(gòu)

電信企業(yè)可以通過建立數(shù)據(jù)體系配套的權(quán)責(zé)明確且內(nèi)部溝通順暢的組織，確保數(shù)據(jù)安全戰(zhàn)略的實施。對照電信企業(yè)的組織架構(gòu)，組織架構(gòu)采用“一級管理、二級維護、三級應(yīng)用”的模式，數(shù)據(jù)管理組織覆蓋集團總部和省分公司，包括數(shù)據(jù)管理域和生產(chǎn)業(yè)務(wù)域，分別設(shè)置數(shù)據(jù)管理所需的各種不同崗位，如：數(shù)據(jù)管理域可設(shè)置數(shù)據(jù)生命周期管理員、數(shù)據(jù)安全管理員、元數(shù)據(jù)管理員、數(shù)據(jù)標準管理員和數(shù)據(jù)質(zhì)量管理員；生產(chǎn)業(yè)務(wù)域可設(shè)置業(yè)務(wù)主管、業(yè)務(wù)人員、系統(tǒng)建設(shè)主管和系統(tǒng)建設(shè)人員［5］。

4.1.2 崗位職責(zé)

在設(shè)置了數(shù)據(jù)管理所需崗位后，需要明確各個崗位的職責(zé)和任職要求：數(shù)據(jù)管理域中，數(shù)據(jù)生命周期管理員負責(zé)統(tǒng)一管理數(shù)據(jù)生命周期，包括負責(zé)數(shù)據(jù)生命周期管理日常工作，提交數(shù)據(jù)生命周期管理報告，督導(dǎo)數(shù)據(jù)生命周期的查詢、監(jiān)控、告警等日常工作；數(shù)據(jù)安全管理員負責(zé)統(tǒng)一管理數(shù)據(jù)安全，包括負責(zé)數(shù)據(jù)安全管理日常工作，提交數(shù)據(jù)安全管理報告，督導(dǎo)數(shù)據(jù)安全監(jiān)控、分析、問題處理等日常工作；元數(shù)據(jù)管理員負責(zé)統(tǒng)一管理元數(shù)據(jù)，包括負責(zé)元數(shù)據(jù)管理日常工作，提交元數(shù)據(jù)管理報告；數(shù)據(jù)標準管理員則統(tǒng)一管理數(shù)據(jù)標準，包括負責(zé)數(shù)據(jù)標準管理日常工作，提交數(shù)據(jù)標準管理報告；而數(shù)據(jù)質(zhì)量管理員負責(zé)統(tǒng)一管理數(shù)據(jù)質(zhì)量管控，包括負責(zé)數(shù)據(jù)質(zhì)量管理日常工作，審批數(shù)據(jù)質(zhì)量管理規(guī)則，提交數(shù)據(jù)質(zhì)量管理報告，督導(dǎo)數(shù)據(jù)質(zhì)量監(jiān)控、分析、問題處理等日常工作。

4.1.3 評價體系

根據(jù)團隊人員職責(zé)、管理數(shù)據(jù)范圍的劃分，制定相關(guān)人員的績效考核體系?？己丝梢苑譃樵露瓤己恕⒓径瓤己?、年度考核。在考核初期，考核人為被考核人制訂考核計劃，明確考核內(nèi)容和考核規(guī)則，考核計劃需經(jīng)過被考核人確認和上級領(lǐng)導(dǎo)批準；在考核期末，可以先由被考核人自評，然后考核人根據(jù)被考核人的表現(xiàn)和指標，為考核人打分，考核結(jié)果經(jīng)過被考核人確認和上級領(lǐng)導(dǎo)批準后生效，考核結(jié)果作為員工定崗、升職和獎金發(fā)放的依據(jù)?？己朔绞娇梢圆捎弥饔^考核和客觀考核兩種方式，數(shù)據(jù)管控平臺能夠提供數(shù)據(jù)的內(nèi)容的，采用客觀量化考核，并由平臺周期性自動執(zhí)行，若系統(tǒng)不能夠提供數(shù)據(jù)的內(nèi)容，由相關(guān)管理人員人工打分。

4.2 數(shù)據(jù)安全制度體系構(gòu)建

數(shù)據(jù)制度體系通常分層次設(shè)計，遵循嚴格的發(fā)布流程并定期檢查更新。制度建設(shè)是各項數(shù)據(jù)安全治理開展的基礎(chǔ)。根據(jù)數(shù)據(jù)安全職能的層次和授權(quán)決策次序，制度框架分為政策、辦法、細則三個層次。政策說明數(shù)據(jù)安全管理和應(yīng)用的目的，明確其組織與范圍；辦法規(guī)定數(shù)據(jù)安全中各項活動開展的規(guī)則和流程；細則是為確保各數(shù)據(jù)安全方法執(zhí)行落實而制定的具體操作層面的文件。組織內(nèi)部通過文件、郵件等形式發(fā)布審批通過的數(shù)據(jù)制度，定期開展制度相關(guān)的培訓(xùn)、宣傳工作宣貫數(shù)據(jù)制度并結(jié)合數(shù)據(jù)管控組織的設(shè)置推動制度落地實施。

4.2.1 數(shù)據(jù)分類分級

數(shù)據(jù)分類分級是數(shù)據(jù)治理的核心任務(wù)，它是數(shù)據(jù)安全管理生命周期的重要組成部分，能夠確保組織可以快速安全地訪問和共享數(shù)據(jù)資產(chǎn)。數(shù)據(jù)分類分級標準能夠為數(shù)據(jù)分類分級工作提供規(guī)范化流程和標準化技術(shù)規(guī)范支撐。

數(shù)據(jù)分類可以有多種維度，除了可以依據(jù)《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》標準中提到的基于電信企業(yè)業(yè)務(wù)屬性分類，還可以基于數(shù)據(jù)產(chǎn)生方式、數(shù)據(jù)使用頻率或者數(shù)據(jù)應(yīng)用場景等進行分類。例如，某移動通信運營公司根據(jù)公司內(nèi)部管理和對外開放場景的特點，將數(shù)據(jù)分為以下四個類別：用戶身份相關(guān)數(shù)據(jù)（A類）、用戶服務(wù)內(nèi)容數(shù)據(jù)（B類）、用戶服務(wù)衍生數(shù)據(jù)（C 類）、企業(yè)運營管理數(shù)據(jù)（D 類）。而各大類數(shù)據(jù)類別下又根據(jù)需要分為各個子類，如企業(yè)運營管理數(shù)據(jù)（D類）又可分為企業(yè)管理數(shù)據(jù)（D1）、業(yè)務(wù)運營數(shù)據(jù)（D2）、網(wǎng)絡(luò)運維數(shù)據(jù)（D3）、合作伙伴數(shù)據(jù)（D4）。

數(shù)據(jù)分級指的是根據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時，對個人、企業(yè)乃至國家造成的危害程度，將數(shù)據(jù)分為不同的安全保護級別。合理的數(shù)據(jù)分級通常在3至5級之間。根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源的分級按照以下步驟和方法進行：首先，確定分級對象；其次，分別判斷數(shù)據(jù)破壞對國家安全、社會秩序、公共利益造成的影響，數(shù)據(jù)破壞對企業(yè)利益造成的影響，以及數(shù)據(jù)破壞對用戶利益造成的影響；再次，綜合評定對客體的侵害程度；最終，確定數(shù)據(jù)對象的安全等級。

4.2.2 數(shù)據(jù)安全評估

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》等要求，電信企業(yè)數(shù)據(jù)確需跨境提供時應(yīng)當(dāng)經(jīng)過國家網(wǎng)信部門組織的安全評估。同時，電信企業(yè)應(yīng)當(dāng)定期及在數(shù)據(jù)安全管理環(huán)境發(fā)生重大變更時，對數(shù)據(jù)安全管理情況開展合規(guī)性評估。開展數(shù)據(jù)安全評估的條件包括：（1）數(shù)據(jù)安全相關(guān)法律法規(guī)發(fā)生變化時；（2）涉及客戶信息等關(guān)鍵數(shù)據(jù)的新業(yè)務(wù)上線前；（3）向第三方提供客戶信息等關(guān)鍵數(shù)據(jù)前；（4）因業(yè)務(wù)終止等涉及數(shù)據(jù)的承接、轉(zhuǎn)移及銷毀時；（5）其他數(shù)據(jù)安全管理環(huán)境重大變更的情況。評估需按照相關(guān)規(guī)范標準要求，參照新技術(shù)新業(yè)務(wù)安全評估方法進行。根據(jù)上級要求編制細化數(shù)據(jù)安全評估要點，從機構(gòu)人員、基本制度、技術(shù)能力、重點環(huán)節(jié)等方面進行評估，評估內(nèi)容覆蓋數(shù)據(jù)安全風(fēng)險情況、數(shù)據(jù)收集使用合規(guī)情況、數(shù)據(jù)安全保障措施完善程度、合作方數(shù)據(jù)安全保護水平等。對評估結(jié)果進行分析總結(jié)，生成評估報告并向相關(guān)管理部門報備，同時及時響應(yīng)整改，防止數(shù)據(jù)泄露發(fā)生。

因此，電信企業(yè)需組建數(shù)據(jù)安全評估體系，包括自評估機制、聯(lián)審聯(lián)評機制、安全檢查機制、違規(guī)舉報機制等。自評估機制是由單位自行按照規(guī)范要求進行比對和評判，得到初步結(jié)論。聯(lián)審聯(lián)評機制是委托第三方測評機構(gòu)對數(shù)據(jù)跨境流動的風(fēng)險進行公正、客觀的評價，包括制度風(fēng)險、業(yè)務(wù)風(fēng)險、安全風(fēng)險等。違規(guī)舉報機制則是對存在違規(guī)行為的部門和業(yè)務(wù)，經(jīng)舉報后進行核查，根據(jù)事實做出處理并通報。

4.2.3 個人信息保護

個人信息在電信企業(yè)掌握的數(shù)據(jù)中所占比例較高，因此個人信息保護應(yīng)當(dāng)貫穿于企業(yè)的數(shù)據(jù)制度體系構(gòu)建中，做好以下幾個方面的管理制度建設(shè)。

（1）用戶授權(quán)管理。向合作方提供用戶個人信息、境外存儲用戶個人信息等場景下，確保用戶知情同意并獲得用戶授權(quán)。同時，建立公開受理渠道，對用戶發(fā)現(xiàn)的錯誤個人信息予以更正。

（2）服務(wù)最小化管理。在內(nèi)部共享個人信息時，經(jīng)用戶授權(quán)后向合作方開放，按權(quán)限最小化原則僅提供業(yè)務(wù)開展明確需要的數(shù)據(jù)屬性、標簽屬性及規(guī)模，降低多余數(shù)據(jù)外泄風(fēng)險。

（3）對外業(yè)務(wù)合作管理。對外業(yè)務(wù)合作范圍涉及大數(shù)據(jù)交易、大數(shù)據(jù)代分析、代理市場銷售和技術(shù)服務(wù)等，一旦涉及收集、使用用戶個人信息的，確保合作方具備用戶個人信息保護相關(guān)安全資質(zhì)，并對合作方業(yè)務(wù)開展過程的合規(guī)性進行不定期監(jiān)督檢查。

（4）個人信息模糊化處理。對用戶敏感信息進行對外查詢、展現(xiàn)、統(tǒng)計等操作時，需經(jīng)過模糊化處理；對用戶敏感信息進行開放前，需通過數(shù)據(jù)脫敏、數(shù)據(jù)模糊標簽化、群體統(tǒng)計等方式進行處理，保證處理后的數(shù)據(jù)不能定位到個人。

4.3 數(shù)據(jù)安全技術(shù)體系構(gòu)建

隨著新一代信息技術(shù)的發(fā)展，傳統(tǒng)的安全防護手段已經(jīng)不適應(yīng)跨部門、跨區(qū)域、跨應(yīng)用流動的數(shù)據(jù)安全保護。因此，需要采取技術(shù)手段保障數(shù)據(jù)安全，數(shù)據(jù)安全技術(shù)體系構(gòu)建是電信企業(yè)數(shù)據(jù)安全治理的重要內(nèi)容。

（1）在安全通信網(wǎng)絡(luò)方面，通過接入控制、加密傳輸、完整性校驗等技術(shù)手段，保證數(shù)據(jù)跨境流動的通信安全。

（2）在安全區(qū)域邊界方面，利用身份鑒別、接入控制、外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范、網(wǎng)絡(luò)安全審計、可信基等技術(shù)手段，提供邊界防護。

（3）在安全計算環(huán)境方面，利用身份鑒別、接入控制、外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范、網(wǎng)絡(luò)安全審計、數(shù)據(jù)備份與恢復(fù)、可信基等技術(shù)手段，保障數(shù)據(jù)安全。

（4）在安全管理中心方面，利用網(wǎng)絡(luò)安全監(jiān)控設(shè)備對網(wǎng)絡(luò)鏈路、安全設(shè)備、服務(wù)器等運行狀況進行集中檢測，對各類安全事件進行識別報警，對各類行為進行安全審計。

5 結(jié)論

電信行業(yè)的重要性質(zhì)以及其掌握的數(shù)據(jù)的特殊性、復(fù)雜性使電信企業(yè)在運營過程中面臨著各種形式的數(shù)據(jù)安全威脅。電信數(shù)據(jù)泄露事件頻繁發(fā)生，企業(yè)的安全需求增加，數(shù)據(jù)安全合規(guī)需求相應(yīng)增加。當(dāng)前，電信領(lǐng)域數(shù)據(jù)安全工作受到法律法規(guī)和行業(yè)標準的嚴格規(guī)制，電信企業(yè)應(yīng)當(dāng)遵守法律法規(guī)，依據(jù)行業(yè)標準構(gòu)建自身數(shù)據(jù)安全管理體系、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系。