引言
随着生态环境大数据建设不断推进,数据在生态环境治理中的作用愈发关键,数据处理场景日益复杂,跨部门数据共享、生态环境数据创新应用等场景增多,对数据安全风险防控提出了更高要求。
为贯彻落实网络数据安全相关法律法规要求,进一步规范网络数据安全风险评估与检查工作,统一评估标准、细化操作指引,上海市生态环境局依据相关规定编制发布《上海市生态环境局行业领域网络数据安全风险评估手册(试行)》(以下简称《工作手册》),助力提升全局网络数据安全管理与合规能力。
一、编制背景
为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《上海市数据条例》等法律法规和政策文件要求,响应上海市委网信办关于网络数据安全风险评估的工作部署,上海市生态环境局积极探索开展行业领域网络数据安全风险评估手册编制工作,结合生态环境数据处理特点和业务实际,编制形成本《工作手册》。
二、适用范围
本《工作手册》适用于上海市生态环境局开展网络数据安全风险评估工作,覆盖全局各类信息系统涉及的数据和数据处理活动,包括政务应用数据、监测数据、个人信息等全类型数据资产。
三、手册主要内容
《工作手册》系统构建了生态环境行业领域网络数据安全风险评估的全流程工作体系,核心包含四大部分:一是关于手册的总体概述;二是详细说明生态环境网络数据安全风险评估工作要求和工作依据;三是确定了“评估准备—风险识别—综合分析—评估总结”四阶段闭环工作流程,明确各阶段核心任务与操作规范;四是提供评估总结模板以及模板需要用到的表单和分析方法。
四、手册特色亮点
(一)聚焦行业实际,贴合生态环境工作特点
《工作手册》立足本市生态环境治理工作实际,充分结合生态环境大数据建设需求和数据处理场景特点,针对性覆盖跨部门数据共享、生态环境数据创新应用等重点场景的风险评估要求,明确政务数据、生态环境监测数据、个人信息等各类数据资产的评估要点,重点加强重要数据、核心数据评估,确保评估工作与生态环境业务领域高度适配。
(二)流程清晰规范,提升评估工作可操作性
《工作手册》将评估工作拆解为四大阶段,每个阶段均明确核心任务、操作步骤和产出物要求,形成“步骤化、标准化”的操作流程。形成的各类结构化表单和模板,将抽象的法规标准转化为可操作的表格、可编制的报告框架,大幅降低评估工作的实施门槛,保障评估工作规范有序开展。
(三)风险覆盖全面,强化全链条安全管控
构建覆盖“管理—技术—业务—个人信息” 的全维度风险评估体系,既包含数据安全管理制度、组织架构、人员管理、合作外包等管理层面风险,也涵盖网络安全防护、身份鉴别、数据加密、备份恢复等技术层面风险,同时全面覆盖数据收集、存储、传输、使用、加工、提供、公开、删除全生命周期处理活动的安全风险,以及个人信息保护全流程合规风险,实现风险管控无死角。
(四)严守合规底线,衔接最新法规标准
严格对标国家及地方最新法律法规和国家标准,将《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求,以及GB/T45577-2025《数据安全技术 数据安全风险评估方法》等标准规范,全面融入评估流程、风险识别和分析评价各环节,确保评估工作合法合规,与最新监管要求保持一致。
