信安标委就多个信息安全技术国家标准公开征求意见

　　【合规资讯】

　　8月25日，全国信息安全标准化技术委员会就《信息安全技术重要数据处理安全要求》《信息安全技术大型互联网企业内设个人信息保护监督机构要求》《信息安全技术数据交易服务安全要求》等7个国家标准公开征求意见。

　　《信息安全技术重要数据处理安全要求》（征求意见稿）规定了设施安全、数据处理活动的安全以及运行与管理安全等相关内容，并规定数据处理者应当根据国家和行业主管监管部门有关重要数据识别的规定建立数据分类制度、分级制度并识别重要数据。

　　《信息安全技术大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督机构的设置、职责、工作规则，以及个人信息保护监督机构的成员等要求；同时规定了大型互联网企业应在六个月内成立个人信息保护监督机构，对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。

　　《信息安全技术数据交易服务安全要求》（征求意见稿）规定了数据交易服务安全原则，以及数据交易参与方、数据交易平台、数据交易标的、数据交易过程的安全要求，并在附录中列明了禁止交易数据的示例。（资讯分类：境内，数据和隐私保护，信息传输、软件和信息技术服务业；资讯来源：全国信息安全标准化技术委员会）

　　【合规提示】

　　建议信息技术企业及时跟进相关国家标准的动态，了解行业最新标准要求，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规参照信息技术标准征求意见稿的相关内容，进行风险评估和整改，建立健全内部监管制度和合规体系，防范法律风险。一是建议企业对数据处理的系统安全和云计算服务平台安全进行风险评估和测评，使之符合相应的安全标准，提高识别重要数据的能力，根据要求尽早建立数据分类制度、分级制度，采用数据工具和措施对重要数据进行编目并定期评审和更新，明确对重要数据进行收集、存储、使用、加工、传输、提供、公开、删除等活动时应当遵守的义务，并设立安全负责人和安全管理机构、建立数据处理者管理制度，确保数据处理操作符合适用的法律法规和合规要求；二是建议大型互联网企业聘请外部成员和选拔内部成员设立个人信息监管机构，对企业个人信息保护合法合规情况、履行个人信息保护社会责任等情况进行独立监管，设置科学合理的监管机构成员人事制度，列明个人信息保护监督机构的职责、明确监督机构的工作机制，对企业内履行个人信息保护情况进行影响评估、合规审计、形成社会责任报告、制定应急预案等，不断提升企业个人信息安全保护的能力和水平；三是建议进行数据交易的企业设立覆盖全流程的数据交易监督管理制度，规定各流程的操作方式和安全要求，对数据产品进行交易之前，明确数据交易标的是否为可交易的标的，梳理交易过程，对数据交易参与方进行全面的尽职调查，确保其数据处理行为符合安全要求，遵守合法合规、过程可控、分级分类、确保安全和权责一致等原则，选择合适的数据交易场合和交易方式，确保数据交易过程合规可控。

[ 期号：20250828-20250903]