潘 妍，肖 菲

（國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040）

1 引言

近年來(lái)，我國(guó)電信業(yè)深化數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)融合，5G、千兆光網(wǎng)等新型信息基礎(chǔ)設(shè)施建設(shè)取得新進(jìn)展，各項(xiàng)應(yīng)用普及全面加速，為打造數(shù)字經(jīng)濟(jì)新優(yōu)勢(shì)、增強(qiáng)經(jīng)濟(jì)發(fā)展新動(dòng)能提供有力支撐。2022年，電信業(yè)務(wù)收入累計(jì)1.58萬(wàn)億元，比上年增長(zhǎng)8%。電信行業(yè)積累著大量的業(yè)務(wù)數(shù)據(jù)，類型多、數(shù)據(jù)規(guī)模大。這些數(shù)據(jù)蘊(yùn)含著巨大的商業(yè)價(jià)值，如果能在監(jiān)管之下被合理利用，則會(huì)對(duì)跨境服務(wù)及電信行業(yè)的發(fā)展產(chǎn)生推動(dòng)作用。與此同時(shí)，電信業(yè)屬于通信領(lǐng)域，是國(guó)家的重要行業(yè)，其所掌握的重要數(shù)據(jù)一旦被泄露則有嚴(yán)重危害涉及國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)的可能。因此，完善電信行業(yè)的數(shù)據(jù)安全治理體系至關(guān)重要。

2 電信行業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)

2.1 電信行業(yè)數(shù)據(jù)特點(diǎn)

2.1.1 數(shù)據(jù)規(guī)模大，類型多

2022年，全國(guó)電話用戶總數(shù)達(dá)到18.63億戶，移動(dòng)電話用戶總數(shù)為16.83 億戶，全年凈增4 062 萬(wàn)戶，其中，5G 移動(dòng)電話用戶達(dá)到5.61 億戶，占移動(dòng)電話用戶的33.3%［1］。電信業(yè)積累的業(yè)務(wù)數(shù)據(jù)類型主要包括用戶屬性數(shù)據(jù)、通話數(shù)據(jù)、位置數(shù)據(jù)、終端數(shù)據(jù)、上網(wǎng)行為數(shù)據(jù)、消費(fèi)數(shù)據(jù)等。由此可見，電信企業(yè)掌握的數(shù)據(jù)呈現(xiàn)出規(guī)模大、類型多的特點(diǎn)，面對(duì)海量的數(shù)據(jù)如何保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)利用，如何提升數(shù)據(jù)安全治理水平，是電信企業(yè)亟待解決的問(wèn)題。

2.1.2 敏感數(shù)據(jù)多，分布范圍廣

電信企業(yè)收集的業(yè)務(wù)數(shù)據(jù)一般是圍繞用戶展開，大部分?jǐn)?shù)據(jù)能夠單獨(dú)或與其他數(shù)據(jù)相結(jié)合識(shí)別到用戶的個(gè)人身份，屬于個(gè)人信息保護(hù)的范疇，因此敏感數(shù)據(jù)所占的比例較高。同時(shí)，在進(jìn)行用戶數(shù)據(jù)收集的過(guò)程中一般涉及多個(gè)業(yè)務(wù)系統(tǒng)，如業(yè)務(wù)支撐系統(tǒng)負(fù)責(zé)收集維護(hù)用戶個(gè)人信息、消費(fèi)信息、業(yè)務(wù)辦理信息等，核心網(wǎng)負(fù)責(zé)為用戶提供通信服務(wù)，并在此過(guò)程中積累用戶通信、上網(wǎng)數(shù)據(jù)。不同的系統(tǒng)由不同的部門負(fù)責(zé)管理運(yùn)營(yíng)，這就導(dǎo)致敏感數(shù)據(jù)信息在電信企業(yè)內(nèi)部分布在不同部門的信息系統(tǒng)中［2］。

2.1.3 數(shù)據(jù)流轉(zhuǎn)路徑多

電信企業(yè)本身業(yè)務(wù)系統(tǒng)復(fù)雜，業(yè)務(wù)內(nèi)容繁多，數(shù)據(jù)在內(nèi)部處理過(guò)程中會(huì)歷經(jīng)數(shù)據(jù)解析、清洗、轉(zhuǎn)換等流程，數(shù)據(jù)存儲(chǔ)也會(huì)以結(jié)構(gòu)化數(shù)據(jù)、文本數(shù)據(jù)等多種形式進(jìn)行存儲(chǔ)，數(shù)據(jù)流轉(zhuǎn)路徑較多。在邁入5G 時(shí)代后，原本的網(wǎng)絡(luò)架構(gòu)發(fā)生了改變，數(shù)據(jù)流也隨之變化，同時(shí)5G 還為物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等垂直行業(yè)提供了服務(wù)。電信數(shù)據(jù)除了企業(yè)內(nèi)部共享外，其外部訪問(wèn)也逐步增加，網(wǎng)絡(luò)環(huán)境愈加開放，數(shù)據(jù)流轉(zhuǎn)的路徑不斷增多。

2.2 電信行業(yè)數(shù)據(jù)安全現(xiàn)狀

2.2.1 數(shù)據(jù)泄露事件頻發(fā)

近年來(lái)，數(shù)據(jù)泄露事件頻繁發(fā)生。而電信企業(yè)作為大量用戶數(shù)據(jù)的持有方，其受到數(shù)據(jù)安全的外部威脅更為嚴(yán)峻。2021 年8 月，美國(guó)電信巨頭T-Mobile 發(fā)生了用戶數(shù)據(jù)泄露事件，黑客攻擊并下載用戶數(shù)據(jù)在論壇上公開售賣該企業(yè)的用戶數(shù)據(jù)［3］。2020年年初，網(wǎng)曝某電信企業(yè)超2 億條用戶信息被公開售賣，根據(jù)相關(guān)裁判文書，被告人從該電信企業(yè)的全資子公司獲取用戶個(gè)人信息售賣牟利［4］。電信企業(yè)成為數(shù)據(jù)泄露事件頻發(fā)的重災(zāi)區(qū)，提高數(shù)據(jù)安全治理水平迫在眉睫。

2.2.2 企業(yè)安全需求增加

隨著電信企業(yè)業(yè)務(wù)不斷豐富，提供包括基礎(chǔ)套餐、增值服務(wù)、數(shù)據(jù)上網(wǎng)類、家庭、集團(tuán)等業(yè)務(wù)內(nèi)容，數(shù)據(jù)收集分析的需求也越來(lái)越大。在數(shù)字經(jīng)濟(jì)時(shí)代，電信企業(yè)利用自身掌握海量用戶數(shù)據(jù)的優(yōu)勢(shì)，加強(qiáng)了數(shù)據(jù)的開發(fā)利用，多與地方交管局、旅游局等展開合作，使用統(tǒng)計(jì)數(shù)據(jù)提供人流量分析服務(wù)。新業(yè)務(wù)的開展促進(jìn)了企業(yè)內(nèi)多部門、多線條數(shù)據(jù)流的融合，原有的安全機(jī)制存在管理不全面、技術(shù)體系分散等缺陷，不能滿足新業(yè)務(wù)下數(shù)據(jù)流動(dòng)、數(shù)據(jù)融合計(jì)算的安全防護(hù)需求，亟需更全面的安全防護(hù)手段和隱私保護(hù)技術(shù)來(lái)保證企業(yè)合作過(guò)程中的數(shù)據(jù)安全，防止挖掘分析過(guò)程中發(fā)生數(shù)據(jù)泄露。

2.2.3 數(shù)據(jù)安全合規(guī)需求增加

隨著數(shù)據(jù)逐步成為新型生產(chǎn)要素，數(shù)據(jù)安全愈發(fā)受到重視。我國(guó)已經(jīng)頒布并積極推進(jìn)一系列數(shù)據(jù)安全相關(guān)法律法規(guī)，數(shù)據(jù)安全邁入“有法可依、有法必依”的新時(shí)期。與此同時(shí)，電信行業(yè)作為涉及海量數(shù)據(jù)包括敏感數(shù)據(jù)的特殊領(lǐng)域，行業(yè)監(jiān)管機(jī)構(gòu)也頒布了數(shù)據(jù)安全監(jiān)管規(guī)則，電信企業(yè)除遵循相關(guān)法律法規(guī)的約束之外，也要服從行業(yè)監(jiān)管機(jī)構(gòu)的合規(guī)管理，例如遵守《電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)安全防護(hù)要求》等文件要求。

3 電信行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則

當(dāng)下，數(shù)據(jù)安全合規(guī)是電信企業(yè)數(shù)據(jù)安全治理的最低要求，也是電信企業(yè)保障數(shù)據(jù)安全的底線，目前電信領(lǐng)域數(shù)據(jù)安全需滿足的監(jiān)管規(guī)則，主要涵蓋法律法規(guī)和行業(yè)標(biāo)準(zhǔn)兩個(gè)維度。

3.1 法律法規(guī)

在法律法規(guī)層面，電信領(lǐng)域的數(shù)據(jù)安全主要遵循已發(fā)布實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》指出國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。電信企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)履行相應(yīng)的安全保護(hù)義務(wù)，包括：一是設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人；二是定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；三是對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行備份；四是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。

《中華人民共和國(guó)數(shù)據(jù)安全法》對(duì)電信企業(yè)開展數(shù)據(jù)活動(dòng)過(guò)程中的安全職責(zé)和安全能力提出了明確的要求，內(nèi)容主要包括：一是企業(yè)必須對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，確定重要數(shù)據(jù)保護(hù)目錄，并對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)；二是重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定定期開展風(fēng)險(xiǎn)評(píng)估；三是加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)及時(shí)告知用戶并向有關(guān)主管部門報(bào)告；四是企業(yè)應(yīng)建立健全全生命周期數(shù)據(jù)安全管理制度，保障數(shù)據(jù)安全。

《中華人民共和國(guó)個(gè)人信息保護(hù)法》明確了個(gè)人信息處理的基本原則：合法正當(dāng)必要誠(chéng)信原則、目的明確和最小必要原則、公開透明原則、質(zhì)量及安全保障原則。同時(shí)，該法律還明確了個(gè)人信息處理的法律依據(jù)，如對(duì)敏感個(gè)人信息的處理，需要取得個(gè)人的單獨(dú)同意并告知處理的必要性及對(duì)個(gè)人權(quán)益的影響。

而電信行業(yè)的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》不僅是在《中華人民共和國(guó)個(gè)人信息保護(hù)法》頒布之前電信行業(yè)保護(hù)個(gè)人信息的政策依據(jù)，也是對(duì)電信領(lǐng)域個(gè)人信息保護(hù)的細(xì)化。該規(guī)定對(duì)電信經(jīng)營(yíng)者收集信息及使用信息提出了具體的規(guī)范要求，還對(duì)電信經(jīng)營(yíng)者需采取的安全保障措施進(jìn)行了列舉，同時(shí)也明確了電信管理機(jī)構(gòu)的監(jiān)督檢查職責(zé)。

3.2 行業(yè)標(biāo)準(zhǔn)

除法律法規(guī)以外，電信行業(yè)針對(duì)數(shù)據(jù)安全保護(hù)出臺(tái)了細(xì)化的行業(yè)標(biāo)準(zhǔn)，電信企業(yè)可以以此類標(biāo)準(zhǔn)為依據(jù)構(gòu)建自身的數(shù)據(jù)安全治理體系，提升數(shù)據(jù)保護(hù)水平。

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》標(biāo)準(zhǔn)根據(jù)基礎(chǔ)電信企業(yè)業(yè)務(wù)運(yùn)營(yíng)特點(diǎn)和企業(yè)內(nèi)部管理方法，收集企業(yè)內(nèi)所有部門的數(shù)據(jù)資源進(jìn)行梳理，按照線分類法，根據(jù)業(yè)務(wù)屬性或特征，將基礎(chǔ)電信企業(yè)數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個(gè)大類的數(shù)據(jù)分為若干層級(jí)，每個(gè)層級(jí)分為若干子類，所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹。該標(biāo)準(zhǔn)為電信企業(yè)數(shù)據(jù)安全管理提供了分類分級(jí)原則與方法，對(duì)企業(yè)數(shù)據(jù)分類分級(jí)安全管理工作進(jìn)行了基礎(chǔ)指導(dǎo)。

《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》明確了基礎(chǔ)電信企業(yè)重要數(shù)據(jù)的定義，它是指企業(yè)在運(yùn)營(yíng)中收集、產(chǎn)生、控制的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定，以及公共利益密切相關(guān)的數(shù)據(jù)，特別是與國(guó)家基礎(chǔ)通信網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)。該標(biāo)準(zhǔn)確定了重要數(shù)據(jù)識(shí)別的規(guī)則及工作流程，電信企業(yè)通過(guò)全面梳理數(shù)據(jù)資源，完成數(shù)據(jù)分類分級(jí)識(shí)別與標(biāo)識(shí)工作，隨后根據(jù)分類分級(jí)結(jié)果重點(diǎn)針對(duì)安全級(jí)別較高的數(shù)據(jù)對(duì)象，逐條判定是否符合重要數(shù)據(jù)識(shí)別規(guī)則。該標(biāo)準(zhǔn)為電信企業(yè)識(shí)別重要數(shù)據(jù)從而采取更加嚴(yán)格的數(shù)據(jù)安全保障措施、提供更高水平的保護(hù)提供了依據(jù)。

4 電信企業(yè)數(shù)據(jù)安全治理體系構(gòu)建

電信行業(yè)數(shù)據(jù)安全監(jiān)管規(guī)則為電信企業(yè)構(gòu)建數(shù)據(jù)安全治理體系提供參考指引，電信企業(yè)應(yīng)圍繞數(shù)據(jù)安全管理體系、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系三方面內(nèi)容，切實(shí)做好數(shù)據(jù)安全治理體系建設(shè)工作。

4.1 數(shù)據(jù)安全管理體系構(gòu)建

電信企業(yè)數(shù)據(jù)安全管理體系的組織建設(shè)包括組織架構(gòu)、崗位設(shè)置、團(tuán)隊(duì)建設(shè)、數(shù)據(jù)安全責(zé)任等內(nèi)容，是各項(xiàng)數(shù)據(jù)安全職能工作的基礎(chǔ)。

4.1.1 組織架構(gòu)

電信企業(yè)可以通過(guò)建立數(shù)據(jù)體系配套的權(quán)責(zé)明確且內(nèi)部溝通順暢的組織，確保數(shù)據(jù)安全戰(zhàn)略的實(shí)施。對(duì)照電信企業(yè)的組織架構(gòu)，組織架構(gòu)采用“一級(jí)管理、二級(jí)維護(hù)、三級(jí)應(yīng)用”的模式，數(shù)據(jù)管理組織覆蓋集團(tuán)總部和省分公司，包括數(shù)據(jù)管理域和生產(chǎn)業(yè)務(wù)域，分別設(shè)置數(shù)據(jù)管理所需的各種不同崗位，如：數(shù)據(jù)管理域可設(shè)置數(shù)據(jù)生命周期管理員、數(shù)據(jù)安全管理員、元數(shù)據(jù)管理員、數(shù)據(jù)標(biāo)準(zhǔn)管理員和數(shù)據(jù)質(zhì)量管理員；生產(chǎn)業(yè)務(wù)域可設(shè)置業(yè)務(wù)主管、業(yè)務(wù)人員、系統(tǒng)建設(shè)主管和系統(tǒng)建設(shè)人員［5］。

4.1.2 崗位職責(zé)

在設(shè)置了數(shù)據(jù)管理所需崗位后，需要明確各個(gè)崗位的職責(zé)和任職要求：數(shù)據(jù)管理域中，數(shù)據(jù)生命周期管理員負(fù)責(zé)統(tǒng)一管理數(shù)據(jù)生命周期，包括負(fù)責(zé)數(shù)據(jù)生命周期管理日常工作，提交數(shù)據(jù)生命周期管理報(bào)告，督導(dǎo)數(shù)據(jù)生命周期的查詢、監(jiān)控、告警等日常工作；數(shù)據(jù)安全管理員負(fù)責(zé)統(tǒng)一管理數(shù)據(jù)安全，包括負(fù)責(zé)數(shù)據(jù)安全管理日常工作，提交數(shù)據(jù)安全管理報(bào)告，督導(dǎo)數(shù)據(jù)安全監(jiān)控、分析、問(wèn)題處理等日常工作；元數(shù)據(jù)管理員負(fù)責(zé)統(tǒng)一管理元數(shù)據(jù)，包括負(fù)責(zé)元數(shù)據(jù)管理日常工作，提交元數(shù)據(jù)管理報(bào)告；數(shù)據(jù)標(biāo)準(zhǔn)管理員則統(tǒng)一管理數(shù)據(jù)標(biāo)準(zhǔn)，包括負(fù)責(zé)數(shù)據(jù)標(biāo)準(zhǔn)管理日常工作，提交數(shù)據(jù)標(biāo)準(zhǔn)管理報(bào)告；而數(shù)據(jù)質(zhì)量管理員負(fù)責(zé)統(tǒng)一管理數(shù)據(jù)質(zhì)量管控，包括負(fù)責(zé)數(shù)據(jù)質(zhì)量管理日常工作，審批數(shù)據(jù)質(zhì)量管理規(guī)則，提交數(shù)據(jù)質(zhì)量管理報(bào)告，督導(dǎo)數(shù)據(jù)質(zhì)量監(jiān)控、分析、問(wèn)題處理等日常工作。

4.1.3 評(píng)價(jià)體系

根據(jù)團(tuán)隊(duì)人員職責(zé)、管理數(shù)據(jù)范圍的劃分，制定相關(guān)人員的績(jī)效考核體系?？己丝梢苑譃樵露瓤己恕⒓径瓤己?、年度考核。在考核初期，考核人為被考核人制訂考核計(jì)劃，明確考核內(nèi)容和考核規(guī)則，考核計(jì)劃需經(jīng)過(guò)被考核人確認(rèn)和上級(jí)領(lǐng)導(dǎo)批準(zhǔn)；在考核期末，可以先由被考核人自評(píng)，然后考核人根據(jù)被考核人的表現(xiàn)和指標(biāo)，為考核人打分，考核結(jié)果經(jīng)過(guò)被考核人確認(rèn)和上級(jí)領(lǐng)導(dǎo)批準(zhǔn)后生效，考核結(jié)果作為員工定崗、升職和獎(jiǎng)金發(fā)放的依據(jù)?？己朔绞娇梢圆捎弥饔^考核和客觀考核兩種方式，數(shù)據(jù)管控平臺(tái)能夠提供數(shù)據(jù)的內(nèi)容的，采用客觀量化考核，并由平臺(tái)周期性自動(dòng)執(zhí)行，若系統(tǒng)不能夠提供數(shù)據(jù)的內(nèi)容，由相關(guān)管理人員人工打分。

4.2 數(shù)據(jù)安全制度體系構(gòu)建

數(shù)據(jù)制度體系通常分層次設(shè)計(jì)，遵循嚴(yán)格的發(fā)布流程并定期檢查更新。制度建設(shè)是各項(xiàng)數(shù)據(jù)安全治理開展的基礎(chǔ)。根據(jù)數(shù)據(jù)安全職能的層次和授權(quán)決策次序，制度框架分為政策、辦法、細(xì)則三個(gè)層次。政策說(shuō)明數(shù)據(jù)安全管理和應(yīng)用的目的，明確其組織與范圍；辦法規(guī)定數(shù)據(jù)安全中各項(xiàng)活動(dòng)開展的規(guī)則和流程；細(xì)則是為確保各數(shù)據(jù)安全方法執(zhí)行落實(shí)而制定的具體操作層面的文件。組織內(nèi)部通過(guò)文件、郵件等形式發(fā)布審批通過(guò)的數(shù)據(jù)制度，定期開展制度相關(guān)的培訓(xùn)、宣傳工作宣貫數(shù)據(jù)制度并結(jié)合數(shù)據(jù)管控組織的設(shè)置推動(dòng)制度落地實(shí)施。

4.2.1 數(shù)據(jù)分類分級(jí)

數(shù)據(jù)分類分級(jí)是數(shù)據(jù)治理的核心任務(wù)，它是數(shù)據(jù)安全管理生命周期的重要組成部分，能夠確保組織可以快速安全地訪問(wèn)和共享數(shù)據(jù)資產(chǎn)。數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)能夠?yàn)閿?shù)據(jù)分類分級(jí)工作提供規(guī)范化流程和標(biāo)準(zhǔn)化技術(shù)規(guī)范支撐。

數(shù)據(jù)分類可以有多種維度，除了可以依據(jù)《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》標(biāo)準(zhǔn)中提到的基于電信企業(yè)業(yè)務(wù)屬性分類，還可以基于數(shù)據(jù)產(chǎn)生方式、數(shù)據(jù)使用頻率或者數(shù)據(jù)應(yīng)用場(chǎng)景等進(jìn)行分類。例如，某移動(dòng)通信運(yùn)營(yíng)公司根據(jù)公司內(nèi)部管理和對(duì)外開放場(chǎng)景的特點(diǎn)，將數(shù)據(jù)分為以下四個(gè)類別：用戶身份相關(guān)數(shù)據(jù)（A類）、用戶服務(wù)內(nèi)容數(shù)據(jù)（B類）、用戶服務(wù)衍生數(shù)據(jù)（C 類）、企業(yè)運(yùn)營(yíng)管理數(shù)據(jù)（D 類）。而各大類數(shù)據(jù)類別下又根據(jù)需要分為各個(gè)子類，如企業(yè)運(yùn)營(yíng)管理數(shù)據(jù)（D類）又可分為企業(yè)管理數(shù)據(jù)（D1）、業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)（D2）、網(wǎng)絡(luò)運(yùn)維數(shù)據(jù)（D3）、合作伙伴數(shù)據(jù)（D4）。

數(shù)據(jù)分級(jí)指的是根據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時(shí)，對(duì)個(gè)人、企業(yè)乃至國(guó)家造成的危害程度，將數(shù)據(jù)分為不同的安全保護(hù)級(jí)別。合理的數(shù)據(jù)分級(jí)通常在3至5級(jí)之間。根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對(duì)國(guó)家安全、社會(huì)秩序、企業(yè)經(jīng)營(yíng)管理和公眾利益造成的影響和危害程度，基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源的分級(jí)按照以下步驟和方法進(jìn)行：首先，確定分級(jí)對(duì)象；其次，分別判斷數(shù)據(jù)破壞對(duì)國(guó)家安全、社會(huì)秩序、公共利益造成的影響，數(shù)據(jù)破壞對(duì)企業(yè)利益造成的影響，以及數(shù)據(jù)破壞對(duì)用戶利益造成的影響；再次，綜合評(píng)定對(duì)客體的侵害程度；最終，確定數(shù)據(jù)對(duì)象的安全等級(jí)。

4.2.2 數(shù)據(jù)安全評(píng)估

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等要求，電信企業(yè)數(shù)據(jù)確需跨境提供時(shí)應(yīng)當(dāng)經(jīng)過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估。同時(shí)，電信企業(yè)應(yīng)當(dāng)定期及在數(shù)據(jù)安全管理環(huán)境發(fā)生重大變更時(shí)，對(duì)數(shù)據(jù)安全管理情況開展合規(guī)性評(píng)估。開展數(shù)據(jù)安全評(píng)估的條件包括：（1）數(shù)據(jù)安全相關(guān)法律法規(guī)發(fā)生變化時(shí)；（2）涉及客戶信息等關(guān)鍵數(shù)據(jù)的新業(yè)務(wù)上線前；（3）向第三方提供客戶信息等關(guān)鍵數(shù)據(jù)前；（4）因業(yè)務(wù)終止等涉及數(shù)據(jù)的承接、轉(zhuǎn)移及銷毀時(shí)；（5）其他數(shù)據(jù)安全管理環(huán)境重大變更的情況。評(píng)估需按照相關(guān)規(guī)范標(biāo)準(zhǔn)要求，參照新技術(shù)新業(yè)務(wù)安全評(píng)估方法進(jìn)行。根據(jù)上級(jí)要求編制細(xì)化數(shù)據(jù)安全評(píng)估要點(diǎn)，從機(jī)構(gòu)人員、基本制度、技術(shù)能力、重點(diǎn)環(huán)節(jié)等方面進(jìn)行評(píng)估，評(píng)估內(nèi)容覆蓋數(shù)據(jù)安全風(fēng)險(xiǎn)情況、數(shù)據(jù)收集使用合規(guī)情況、數(shù)據(jù)安全保障措施完善程度、合作方數(shù)據(jù)安全保護(hù)水平等。對(duì)評(píng)估結(jié)果進(jìn)行分析總結(jié)，生成評(píng)估報(bào)告并向相關(guān)管理部門報(bào)備，同時(shí)及時(shí)響應(yīng)整改，防止數(shù)據(jù)泄露發(fā)生。

因此，電信企業(yè)需組建數(shù)據(jù)安全評(píng)估體系，包括自評(píng)估機(jī)制、聯(lián)審聯(lián)評(píng)機(jī)制、安全檢查機(jī)制、違規(guī)舉報(bào)機(jī)制等。自評(píng)估機(jī)制是由單位自行按照規(guī)范要求進(jìn)行比對(duì)和評(píng)判，得到初步結(jié)論。聯(lián)審聯(lián)評(píng)機(jī)制是委托第三方測(cè)評(píng)機(jī)構(gòu)對(duì)數(shù)據(jù)跨境流動(dòng)的風(fēng)險(xiǎn)進(jìn)行公正、客觀的評(píng)價(jià)，包括制度風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)等。違規(guī)舉報(bào)機(jī)制則是對(duì)存在違規(guī)行為的部門和業(yè)務(wù)，經(jīng)舉報(bào)后進(jìn)行核查，根據(jù)事實(shí)做出處理并通報(bào)。

4.2.3 個(gè)人信息保護(hù)

個(gè)人信息在電信企業(yè)掌握的數(shù)據(jù)中所占比例較高，因此個(gè)人信息保護(hù)應(yīng)當(dāng)貫穿于企業(yè)的數(shù)據(jù)制度體系構(gòu)建中，做好以下幾個(gè)方面的管理制度建設(shè)。

（1）用戶授權(quán)管理。向合作方提供用戶個(gè)人信息、境外存儲(chǔ)用戶個(gè)人信息等場(chǎng)景下，確保用戶知情同意并獲得用戶授權(quán)。同時(shí)，建立公開受理渠道，對(duì)用戶發(fā)現(xiàn)的錯(cuò)誤個(gè)人信息予以更正。

（2）服務(wù)最小化管理。在內(nèi)部共享個(gè)人信息時(shí)，經(jīng)用戶授權(quán)后向合作方開放，按權(quán)限最小化原則僅提供業(yè)務(wù)開展明確需要的數(shù)據(jù)屬性、標(biāo)簽屬性及規(guī)模，降低多余數(shù)據(jù)外泄風(fēng)險(xiǎn)。

（3）對(duì)外業(yè)務(wù)合作管理。對(duì)外業(yè)務(wù)合作范圍涉及大數(shù)據(jù)交易、大數(shù)據(jù)代分析、代理市場(chǎng)銷售和技術(shù)服務(wù)等，一旦涉及收集、使用用戶個(gè)人信息的，確保合作方具備用戶個(gè)人信息保護(hù)相關(guān)安全資質(zhì)，并對(duì)合作方業(yè)務(wù)開展過(guò)程的合規(guī)性進(jìn)行不定期監(jiān)督檢查。

（4）個(gè)人信息模糊化處理。對(duì)用戶敏感信息進(jìn)行對(duì)外查詢、展現(xiàn)、統(tǒng)計(jì)等操作時(shí)，需經(jīng)過(guò)模糊化處理；對(duì)用戶敏感信息進(jìn)行開放前，需通過(guò)數(shù)據(jù)脫敏、數(shù)據(jù)模糊標(biāo)簽化、群體統(tǒng)計(jì)等方式進(jìn)行處理，保證處理后的數(shù)據(jù)不能定位到個(gè)人。

4.3 數(shù)據(jù)安全技術(shù)體系構(gòu)建

隨著新一代信息技術(shù)的發(fā)展，傳統(tǒng)的安全防護(hù)手段已經(jīng)不適應(yīng)跨部門、跨區(qū)域、跨應(yīng)用流動(dòng)的數(shù)據(jù)安全保護(hù)。因此，需要采取技術(shù)手段保障數(shù)據(jù)安全，數(shù)據(jù)安全技術(shù)體系構(gòu)建是電信企業(yè)數(shù)據(jù)安全治理的重要內(nèi)容。

（1）在安全通信網(wǎng)絡(luò)方面，通過(guò)接入控制、加密傳輸、完整性校驗(yàn)等技術(shù)手段，保證數(shù)據(jù)跨境流動(dòng)的通信安全。

（2）在安全區(qū)域邊界方面，利用身份鑒別、接入控制、外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范、網(wǎng)絡(luò)安全審計(jì)、可信基等技術(shù)手段，提供邊界防護(hù)。

（3）在安全計(jì)算環(huán)境方面，利用身份鑒別、接入控制、外部網(wǎng)絡(luò)攻擊防御、惡意代碼防范、網(wǎng)絡(luò)安全審計(jì)、數(shù)據(jù)備份與恢復(fù)、可信基等技術(shù)手段，保障數(shù)據(jù)安全。

（4）在安全管理中心方面，利用網(wǎng)絡(luò)安全監(jiān)控設(shè)備對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、服務(wù)器等運(yùn)行狀況進(jìn)行集中檢測(cè)，對(duì)各類安全事件進(jìn)行識(shí)別報(bào)警，對(duì)各類行為進(jìn)行安全審計(jì)。

5 結(jié)論

電信行業(yè)的重要性質(zhì)以及其掌握的數(shù)據(jù)的特殊性、復(fù)雜性使電信企業(yè)在運(yùn)營(yíng)過(guò)程中面臨著各種形式的數(shù)據(jù)安全威脅。電信數(shù)據(jù)泄露事件頻繁發(fā)生，企業(yè)的安全需求增加，數(shù)據(jù)安全合規(guī)需求相應(yīng)增加。當(dāng)前，電信領(lǐng)域數(shù)據(jù)安全工作受到法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的嚴(yán)格規(guī)制，電信企業(yè)應(yīng)當(dāng)遵守法律法規(guī)，依據(jù)行業(yè)標(biāo)準(zhǔn)構(gòu)建自身數(shù)據(jù)安全管理體系、數(shù)據(jù)安全制度體系和數(shù)據(jù)安全技術(shù)體系。