ICS03.100.01CCSA20T/ZJSZJJT/ZJSZJJ0002-2025前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4基本原則 25組織環(huán)境 26組織管理 37運(yùn)營(yíng)管理 58風(fēng)險(xiǎn)管理 99檢查與改進(jìn) T/ZJSZJJ0002-2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由浙江省數(shù)字經(jīng)濟(jì)聯(lián)合會(huì)提出并歸口。本文件起草單位：溫州市甌海區(qū)人民政府、溫州市市場(chǎng)監(jiān)督管理局、溫州市甌海區(qū)市場(chǎng)監(jiān)督管理局、溫州市甌海區(qū)數(shù)安港管理服務(wù)中心、浙江省質(zhì)量科學(xué)研究院、北京盈科（杭州）律師事務(wù)所、企知道科技（溫州）有限公司、中電(浙江)數(shù)據(jù)產(chǎn)業(yè)有限公司、浙江金匯數(shù)字技術(shù)有限公本文件主要起草人：吳雪梅、徐勁、張鋒、凌曉敏、任建武、吳黎靖、陳瑞國(guó)、徐文佳、戴笑飛、謝尚誓、葉凱、劉曉明、魏春梅、蘇文。1T/ZJSZJJ0002-2025網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)信用管理體系建設(shè)指南本文件規(guī)定了網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)信用管理體系建設(shè)的基本原則、組織環(huán)境、組織管理、運(yùn)營(yíng)管理、風(fēng)險(xiǎn)管理、檢查與改進(jìn)等內(nèi)容。本文件適用于網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)信用管理體系的構(gòu)建。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22117—2018信用基本術(shù)語(yǔ)GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T31950—2023企業(yè)誠(chéng)信管理體系要求GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35770—2022合規(guī)管理體系要求及使用指南GB/T36344—2018信息技術(shù)數(shù)據(jù)質(zhì)量評(píng)價(jià)指標(biāo)GB/T42460—2023信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化效果評(píng)估指南3術(shù)語(yǔ)和定義GB/T22117—2018界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1網(wǎng)絡(luò)與信息安全服務(wù)NetworkandInformationSecurityServices為保障網(wǎng)絡(luò)與信息系統(tǒng)安全而提供的各類服務(wù)。3.2信用管理體系creditmanagementsystem企業(yè)確定其信用方針和信用目標(biāo)以及為獲得期望的結(jié)果確定其過(guò)程和所需資源的活動(dòng)。[來(lái)源：GB/T31950-2023，3.4，有修改]3.3個(gè)人信息personaldata以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。[來(lái)源：GB/T35273-2020，3.1]3.42T/ZJSZJJ0002-2025公共數(shù)據(jù)PublicData國(guó)家機(jī)關(guān)、法律法規(guī)規(guī)章授權(quán)的具有管理公共事務(wù)職能的組織以及供水、供電、供氣、公共交通等公共服務(wù)運(yùn)營(yíng)單位，在依法履行職責(zé)或者提供公共服務(wù)過(guò)程中收集、產(chǎn)生的數(shù)據(jù)。[來(lái)源：《浙江省公共數(shù)據(jù)條例》，第三條]3.5場(chǎng)內(nèi)交易transactiononexchange通過(guò)合規(guī)的數(shù)據(jù)交易平臺(tái)或交易場(chǎng)所（如數(shù)據(jù)交易所、數(shù)據(jù)交易中心）進(jìn)行的數(shù)據(jù)交易活動(dòng)。3.6場(chǎng)外交易curbexchange不通過(guò)數(shù)據(jù)交易平臺(tái)或交易場(chǎng)所，由交易雙方直接協(xié)商并完成的數(shù)據(jù)交易活動(dòng)。4基本原則4.1依法合規(guī)網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)企業(yè)及其員工有責(zé)任確保其生產(chǎn)經(jīng)營(yíng)活動(dòng)中的管理行為，符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和企業(yè)規(guī)章制度以及國(guó)際條約、規(guī)則等要求。4.2風(fēng)險(xiǎn)控制網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)企業(yè)應(yīng)有效識(shí)別、評(píng)估和應(yīng)對(duì)信用管理風(fēng)險(xiǎn)，減少違規(guī)事件的發(fā)生。4.3持續(xù)改進(jìn)網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)企業(yè)應(yīng)根據(jù)政策、技術(shù)、市場(chǎng)等內(nèi)外部環(huán)境變化，持續(xù)對(duì)信用管理體系進(jìn)行評(píng)估和優(yōu)化。4.4數(shù)據(jù)安全網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)企業(yè)在信用管理過(guò)程中涉及的數(shù)據(jù)應(yīng)嚴(yán)格遵循信息安全要求，確保數(shù)據(jù)采集、存儲(chǔ)、傳輸和使用的安全性。5組織環(huán)境5.1內(nèi)部環(huán)境網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)應(yīng)分析內(nèi)部環(huán)境及其變化對(duì)實(shí)現(xiàn)企業(yè)信用管理目標(biāo)的影響，內(nèi)部環(huán)境包括：a)企業(yè)的信用管理方針、目標(biāo)以及實(shí)現(xiàn)信用管理目標(biāo)的策略；b)企業(yè)的信用認(rèn)知情況，包括愿景、價(jià)值觀和目標(biāo)以及建立企業(yè)獨(dú)有的信用管理知識(shí)體系c)企業(yè)的內(nèi)部信用管理現(xiàn)狀，包括信用教育培訓(xùn)、員工誠(chéng)信行為和信用管理考核評(píng)價(jià)、投資人及管理團(tuán)隊(duì)的信用管理行為等；d)企業(yè)的運(yùn)行現(xiàn)狀，包括治理結(jié)構(gòu)、財(cái)務(wù)狀況和履約能力等；e)企業(yè)涉及網(wǎng)絡(luò)與信息安全服務(wù)管理的內(nèi)部規(guī)章制度；T/ZJSZJJ0002-2025f)企業(yè)網(wǎng)絡(luò)與信息安全服務(wù)管理風(fēng)險(xiǎn)的內(nèi)部相關(guān)方及其價(jià)值觀以及信用管理現(xiàn)狀；g)其他影響網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)生產(chǎn)經(jīng)營(yíng)信用管理的內(nèi)部環(huán)境因素。5.2外部環(huán)境網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)應(yīng)分析外部環(huán)境及其變化對(duì)實(shí)現(xiàn)企業(yè)信用管理目標(biāo)的影響，外部環(huán)境包括：a)與網(wǎng)絡(luò)與信息安全服務(wù)相關(guān)的法律法規(guī)、國(guó)家標(biāo)準(zhǔn)和技術(shù)規(guī)范的適用性；b)行業(yè)主管部門信用監(jiān)管措施的適用性，社會(huì)信用體系推進(jìn)對(duì)主體的影響；c)數(shù)據(jù)管理部門的合理需求和期望；d)行業(yè)業(yè)務(wù)模式及特點(diǎn)；e)客戶的合理需求和期望；f)其他影響網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)生產(chǎn)經(jīng)營(yíng)信用管理目標(biāo)的關(guān)鍵因素、趨勢(shì)以及外部環(huán)境。6組織管理6.1最高管理者在網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)誠(chéng)信管理體系的建立和實(shí)施中,最高管理者通過(guò)以下方面證實(shí)其對(duì)誠(chéng)信管理體系的領(lǐng)導(dǎo)作用和承諾:a)確保制定信用管理方針、信用管理目標(biāo)和承諾,并與企業(yè)環(huán)境相適應(yīng),與相關(guān)方的需求和期望相符,與企業(yè)自身發(fā)展的愿景和目標(biāo)相匹配；b)確保公司章程、議事規(guī)則中體現(xiàn)誠(chéng)信經(jīng)營(yíng)的要求,并將履行承諾的要求融入企業(yè)的各項(xiàng)業(yè)務(wù)過(guò)程；c)確保履行承諾所需的資源是可獲得的；d)促使全員積極參與,指導(dǎo)和支持他們?yōu)樾庞霉芾眢w系的有效性作出貢獻(xiàn)；e)確立企業(yè)內(nèi)部信用管理部門及其人員的崗位職責(zé),并協(xié)調(diào)與其他相關(guān)部門間在信用管理方面的分工和協(xié)作；f)支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用。6.2管理機(jī)構(gòu)6.2.1網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)內(nèi)部應(yīng)設(shè)立信用管理機(jī)構(gòu)，并予以相應(yīng)的授權(quán)。6.2.2信用管理機(jī)構(gòu)可依據(jù)信用管理制度，成立或指定相關(guān)部門負(fù)責(zé)信用審核、審批工作。6.2.3應(yīng)明確界定信用管理機(jī)構(gòu)與其他部門之間的職責(zé)邊界與工作分工，并根據(jù)工作需要配置具備一定的信用管理專業(yè)知識(shí)和業(yè)務(wù)能力的專（兼）職人員，負(fù)責(zé)公司的信用管理工作。6.3管理職能6.3.1組織宣傳、貫徹相關(guān)法律法規(guī)和信用管理制度，培訓(xùn)信用管理人員和業(yè)務(wù)人員。6.3.2制定、發(fā)布、修訂、廢除本組織信用政策、信用管理制度，組織實(shí)施信用管理工作的考6.3.3建立和完善組織信用風(fēng)險(xiǎn)管理體系,可包括但不限于部門構(gòu)成、目標(biāo)管理、制度管理、過(guò)程管理和管理流程、信用評(píng)估、管理的差別化政策、管理的專業(yè)化隊(duì)伍等內(nèi)容的框架結(jié)構(gòu)。6.3.4開展客戶和供應(yīng)商管理,包括信用審核、審批等,并定期對(duì)信用評(píng)級(jí)標(biāo)準(zhǔn)和體系以及執(zhí)行情況進(jìn)行分析。4T/ZJSZJJ0002-20256.3.5開展應(yīng)收賬款與商賬追收管理,包括日常監(jiān)督應(yīng)收賬款的賬齡和是否超過(guò)預(yù)警量,對(duì)潛在的不良狀況進(jìn)行分析,并組織、督促和引導(dǎo)業(yè)務(wù)部門和業(yè)務(wù)人員做好應(yīng)收賬款與商賬追收。6.3.6定期召集相關(guān)部門就信用管理過(guò)程中存在的問(wèn)題、發(fā)生的沖突和與重大事項(xiàng)決策相關(guān)的事項(xiàng)進(jìn)行調(diào)查和協(xié)調(diào)。6.4管理制度應(yīng)建立健全信用管理制度，并根據(jù)法律法規(guī)變化和監(jiān)管動(dòng)態(tài)，及時(shí)將外部有關(guān)信用管理要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)信用管理制度一般包括但不限于以下內(nèi)容：a)信用管理基本制度；b)信用管理崗位責(zé)任制度；c)信用檔案管理制度；d)信用調(diào)查管理制度；e)誠(chéng)信教育和培訓(xùn)管理制度；f)信用評(píng)級(jí)管理制度；g)供應(yīng)商管理制度；h)授信管理制度；i)合同管理制度；j)內(nèi)外部失信行為責(zé)任追究制度；k)守信激勵(lì)制度；l)風(fēng)險(xiǎn)管控制度；m)數(shù)據(jù)安全管理制度；n)商業(yè)秘密保護(hù)制度。6.5信用管理培訓(xùn)應(yīng)形成制度化、常態(tài)化的培訓(xùn)機(jī)制，一般包括但不限于以下培訓(xùn)形式及內(nèi)容：a)講座分享；b)外部調(diào)查的模擬演練；c)信用管理案例分享；d)信用管理測(cè)試認(rèn)證。6.6信用管理文化應(yīng)樹立信用管理理念和宣傳信用管理文化，一般包括但不限于以下形式：a)最高層和管理層以身作則積極推行；b)制定發(fā)放信用管理手冊(cè)；c)簽訂信用管理承諾書；d)召開日常信用管理會(huì)議；e)對(duì)信用管理中失信行為進(jìn)行一致性處理。6.7應(yīng)急準(zhǔn)備與響應(yīng)企業(yè)應(yīng)制定信用安全應(yīng)急預(yù)案，當(dāng)企業(yè)已經(jīng)發(fā)生失信行為或失信行為對(duì)單位信用產(chǎn)生重大影響時(shí)，應(yīng)采取以下措施：a)確定信用管理應(yīng)急響應(yīng)小組及相關(guān)負(fù)責(zé)人負(fù)責(zé)響應(yīng)與處置；b)保持與相關(guān)方的充分溝通與協(xié)商；T/ZJSZJJ0002-2025c)挽回或盡量減少對(duì)相關(guān)方造成的影響或損失；d)及時(shí)上報(bào)數(shù)據(jù)主管部門文件并按照網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)規(guī)范的要求予以信息披露，并明示實(shí)施的糾正措施以及與相關(guān)方達(dá)成的協(xié)商結(jié)果；e)在事件處置完畢后向有關(guān)主管部門、監(jiān)管部門提交事件調(diào)查評(píng)估報(bào)告，配合開展偵查、調(diào)查和處置工作。6.8文件化信息6.8.1應(yīng)保留信用管理活動(dòng)準(zhǔn)確且實(shí)時(shí)的記錄，以幫助評(píng)價(jià)信用管理目標(biāo)的實(shí)現(xiàn)情況并評(píng)估信用管理績(jī)效。6.8.2在信用管理體系建設(shè)過(guò)程中，應(yīng)包括以下文件化信息：a)GB/T31950-2023、GB/T35770-2022要求的文件化信息；b)根據(jù)自身規(guī)模及活動(dòng)、過(guò)程、產(chǎn)品、服務(wù)的類型等因素確定的，對(duì)于信用管理體系有效性所必需的文件化信息。6.8.3在創(chuàng)建和更新文件化信息時(shí)，應(yīng)確保適當(dāng)?shù)臉?biāo)記和說(shuō)明，明確標(biāo)題、日期、文件編號(hào)等內(nèi)容和格式，并確定各類文件化信息的保存形式和載體。6.8.4應(yīng)對(duì)文件化信息適當(dāng)控制，確定分發(fā)、訪問(wèn)、檢索和使用的不同權(quán)限，防止泄密、不當(dāng)使用或完整性受損。7運(yùn)營(yíng)管理7.1交易主體管理7.1.1.1交易主體為網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)，包括數(shù)據(jù)交易活動(dòng)中的數(shù)據(jù)賣方、數(shù)據(jù)買方和數(shù)據(jù)商，應(yīng)滿足以下要求：a)依法取得的營(yíng)業(yè)執(zhí)照或相關(guān)登記證書，非中國(guó)大陸企業(yè)應(yīng)提供同等類型證照；b)經(jīng)營(yíng)業(yè)務(wù)若屬于法律、行政法規(guī)規(guī)定須經(jīng)批準(zhǔn)或獲取行政許可的項(xiàng)目，應(yīng)依法經(jīng)過(guò)批準(zhǔn)或獲取行政許可；c)若在數(shù)據(jù)交易場(chǎng)所開展交易，數(shù)據(jù)賣方應(yīng)通過(guò)數(shù)據(jù)交易場(chǎng)所認(rèn)證為數(shù)據(jù)商，或通過(guò)已認(rèn)證數(shù)據(jù)商保薦，方可在數(shù)據(jù)交易場(chǎng)所開展數(shù)據(jù)交易；d)開展主體資格管理，確保主體資格在有效期內(nèi)，避免被監(jiān)管部門列入失信名單。7.1.1.2交易主體應(yīng)按GB/T31950-2023第9章的要求開展主體信用管理。7.2數(shù)據(jù)管理7.2.1數(shù)據(jù)采集7.2.1.1基本要求7.2.1.1.1從公開渠道采集和獲取的數(shù)據(jù)，企業(yè)應(yīng)遵循相關(guān)規(guī)制和流程要求，并獲得相關(guān)方授權(quán)或有合法依據(jù)來(lái)源，不存在以不正當(dāng)方式獲取、侵犯第三方合法權(quán)益的情形。7.2.1.1.2企業(yè)采用網(wǎng)絡(luò)爬蟲等自動(dòng)化工具收集數(shù)據(jù)的，應(yīng)當(dāng)遵守行業(yè)自律公約，尊重爬取對(duì)象網(wǎng)站的爬蟲協(xié)議及規(guī)則，不得以破壞技術(shù)管理措施、欺詐、脅迫、電子侵入等不正當(dāng)方式獲取數(shù)據(jù)。7.2.1.1.3企業(yè)收集涉及他人知識(shí)產(chǎn)權(quán)、商業(yè)秘密或非公開的個(gè)人信息的數(shù)據(jù)，應(yīng)事前征得所涉主體同意或授權(quán)。6T/ZJSZJJ0002-20257.2.1.1.4企業(yè)通過(guò)向第三方購(gòu)買、交換、共享等方式收集數(shù)據(jù)的，應(yīng)對(duì)第三方的資質(zhì)以及獲取和持有的數(shù)據(jù)來(lái)源和授權(quán)情況進(jìn)行必要審查，要求其作出合法性承諾并提供必要證明，必要時(shí)應(yīng)與數(shù)據(jù)提供方或授權(quán)方簽署相關(guān)協(xié)議、承諾書。7.2.1.1.5數(shù)據(jù)為數(shù)據(jù)賣方自行生產(chǎn)的數(shù)據(jù)的，應(yīng)在經(jīng)營(yíng)活動(dòng)中產(chǎn)生，且能夠證明數(shù)據(jù)具有獨(dú)立來(lái)源，不存在侵犯第三方合法權(quán)益的情形，若無(wú)法證明的，應(yīng)能夠提交數(shù)據(jù)具有獨(dú)立來(lái)源的書面承諾。7.2.1.2公共數(shù)據(jù)7.2.1.2.1如公共數(shù)據(jù)為企業(yè)履行職責(zé)過(guò)程中自行制作、獲取的，企業(yè)應(yīng)取得內(nèi)部的審批同意。7.2.1.2.2如公共數(shù)據(jù)為企業(yè)經(jīng)過(guò)授權(quán)運(yùn)營(yíng)、共享等方式獲得的，應(yīng)通過(guò)公共數(shù)據(jù)授權(quán)協(xié)議、其他形式取得有關(guān)主管部門的有效授權(quán)，或滿足法律法規(guī)的相關(guān)要求。7.2.1.2.3如公共數(shù)據(jù)為交易主體經(jīng)過(guò)開放渠道獲得的，企業(yè)應(yīng)采用合法、正當(dāng)?shù)姆绞绞占?.2.1.3個(gè)人信息7.2.1.3.1企業(yè)采集個(gè)人信息行為應(yīng)堅(jiān)持合法正當(dāng)、最小必要、誠(chéng)實(shí)信用等原則，并符合GB/T35273-2020的要求。7.2.1.3.2企業(yè)采集個(gè)人信息應(yīng)征得個(gè)人同意或有法定依據(jù)，不應(yīng)超出必要范圍。7.2.1.3.3企業(yè)應(yīng)建立個(gè)人信息分類管理制度，結(jié)合個(gè)人信息的主體屬性、具體種類、敏感程度、處理方式、應(yīng)用場(chǎng)景、對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等因素明確個(gè)人信息分類標(biāo)準(zhǔn)。7.2.2數(shù)據(jù)存儲(chǔ)7.2.2.1企業(yè)應(yīng)根據(jù)數(shù)據(jù)的類型、風(fēng)險(xiǎn)程度、重要敏感程度等對(duì)不同數(shù)據(jù)進(jìn)行物理隔離或強(qiáng)邏輯隔離，并采取相適應(yīng)的安全保護(hù)措施和訪問(wèn)控制機(jī)制，并選擇安全性能、防護(hù)級(jí)別與安全等級(jí)相適應(yīng)的存儲(chǔ)設(shè)備和介質(zhì)。7.2.2.2企業(yè)使用第三方云平臺(tái)進(jìn)行數(shù)據(jù)存儲(chǔ)的，應(yīng)當(dāng)要求云服務(wù)提供商定期報(bào)告云平臺(tái)運(yùn)行狀態(tài)、安全狀況等信息，并定期對(duì)第三方云平臺(tái)的穩(wěn)定性和采取的安全保護(hù)措施等進(jìn)行審計(jì)。7.2.2.3企業(yè)在存儲(chǔ)數(shù)據(jù)時(shí)應(yīng)當(dāng)采取加密、去標(biāo)識(shí)化、匿名化處理等安全技術(shù)措施。7.2.2.4應(yīng)把個(gè)人生物識(shí)別信息與個(gè)人身份識(shí)別信息分開存儲(chǔ)，并有單獨(dú)的訪問(wèn)控制措施。7.2.2.5企業(yè)應(yīng)當(dāng)建立重要數(shù)據(jù)和個(gè)人信息的備份與恢復(fù)機(jī)制，確定數(shù)據(jù)備份的范圍、頻率、方法和流程。7.2.3數(shù)據(jù)傳輸和提供7.2.3.1企業(yè)應(yīng)采取加密、簽名、防重放等安全保護(hù)措施確保數(shù)據(jù)傳輸介質(zhì)和環(huán)境安全。7.2.3.2企業(yè)因業(yè)務(wù)需要等正當(dāng)理由向第三方提供或共享、委托處理數(shù)據(jù)的，應(yīng)當(dāng)對(duì)數(shù)據(jù)接收方進(jìn)行事前資格審查并評(píng)估其數(shù)據(jù)安全保護(hù)能力。7.2.3.3企業(yè)應(yīng)通過(guò)合同等形式與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍、方式、限制與應(yīng)采取的安全保護(hù)措施等事項(xiàng)。7.2.3.4發(fā)現(xiàn)數(shù)據(jù)接收方違反法律法規(guī)規(guī)定或雙方約定處理數(shù)據(jù)的，企業(yè)應(yīng)當(dāng)立即要求其停止相關(guān)行為并采取必要的補(bǔ)救措施；必要時(shí)應(yīng)當(dāng)暫停或終止向其提供數(shù)據(jù)，并監(jiān)督數(shù)據(jù)接收方及時(shí)返還、刪除、銷毀已獲得的數(shù)據(jù)。T/ZJSZJJ0002-20257.2.3.5企業(yè)向第三方提供或共享、委托處理個(gè)人信息的，應(yīng)征得個(gè)人同意，并告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類。7.2.3.6企業(yè)因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)制定數(shù)據(jù)轉(zhuǎn)移方案，明確數(shù)據(jù)承接方及其應(yīng)當(dāng)履行的數(shù)據(jù)安全保護(hù)責(zé)任等事項(xiàng)，并通知受影響的主體。7.3交易管理7.3.1交易方式管理7.3.1.1場(chǎng)內(nèi)交易入駐數(shù)據(jù)交易場(chǎng)所的，應(yīng)完成用戶注冊(cè)、實(shí)名認(rèn)證、資質(zhì)審核、信息完善等工作，并滿足以下要求：a)應(yīng)遵守?cái)?shù)據(jù)交易場(chǎng)所的各項(xiàng)規(guī)章制度、交易管理制度、安全管理制度等要求；b)應(yīng)向數(shù)據(jù)交易場(chǎng)所提供數(shù)據(jù)監(jiān)督承諾；c)掛牌交易的數(shù)據(jù)應(yīng)在自身承諾的業(yè)務(wù)范圍內(nèi)，或與自身業(yè)務(wù)相關(guān)；d)應(yīng)按約定及時(shí)向數(shù)據(jù)交易場(chǎng)所支付服務(wù)費(fèi)用；e)應(yīng)在數(shù)據(jù)交付完成后關(guān)閉數(shù)據(jù)訪問(wèn)通道，清除相關(guān)數(shù)據(jù)緩存；f)交易場(chǎng)所其他數(shù)據(jù)交易要求。7.3.1.2場(chǎng)外交易未入駐數(shù)據(jù)交易場(chǎng)所的，應(yīng)滿足以下要求：a)明確交易數(shù)據(jù)的權(quán)利來(lái)源、權(quán)利類型、權(quán)利邊界，并能提供相關(guān)證明；b)數(shù)據(jù)質(zhì)量符合GB/T36344-2018的要求；c)建立監(jiān)督審核機(jī)制，有專門的交易監(jiān)督部門或人員；d)建立第三方糾紛解決機(jī)制，提升交易公平性、降低法律風(fēng)險(xiǎn)。7.3.2交易對(duì)象管理7.3.2.1企業(yè)應(yīng)在流通前取得相關(guān)主體對(duì)數(shù)據(jù)流通及數(shù)據(jù)使用的授權(quán)。7.3.2.2企業(yè)應(yīng)在流通前對(duì)數(shù)據(jù)買方的采購(gòu)需求、數(shù)據(jù)使用、企業(yè)信用情況進(jìn)行評(píng)估。7.3.2.3數(shù)據(jù)買方應(yīng)提供所屬行業(yè)、數(shù)據(jù)需求內(nèi)容、數(shù)據(jù)用途等信息，以確保采購(gòu)需求真實(shí)、合法、合理，與其所在行業(yè)、業(yè)務(wù)需求相符。7.3.2.4數(shù)據(jù)買方應(yīng)按照交易申報(bào)的使用目的、場(chǎng)景和方式，并按照買賣雙方約定和數(shù)據(jù)授權(quán)使用的目的、范圍以及限制，合法合規(guī)地使用數(shù)據(jù)。7.3.3交易內(nèi)容管理7.3.3.1交易內(nèi)容應(yīng)具有可交易性，應(yīng)承諾不存在以下情形：a)流通可能危害國(guó)家安全、公共利益；b)流通可能侵犯第三方的合法權(quán)益；c)數(shù)據(jù)流通時(shí)含有未依法獲得授權(quán)的個(gè)人信息或有不借助其他數(shù)據(jù)的情況下可以識(shí)別特定自然人的數(shù)據(jù)；d)數(shù)據(jù)流通時(shí)含有未依法公開、開放的公共數(shù)據(jù)；e)法律法規(guī)等規(guī)定禁止交易的其他情形。8T/ZJSZJJ0002-20257.3.3.2交易內(nèi)容涉及法律法規(guī)等規(guī)定限制采集、附條件處理的數(shù)據(jù)類型，應(yīng)符合相應(yīng)條件。7.3.3.3應(yīng)建立必要的數(shù)據(jù)質(zhì)量校驗(yàn)機(jī)制，提升交易數(shù)據(jù)的準(zhǔn)確性、完整性和及時(shí)性，并通過(guò)數(shù)據(jù)復(fù)核、交叉驗(yàn)證等方式強(qiáng)化重要數(shù)據(jù)、敏感數(shù)據(jù)的質(zhì)量審查。7.3.4交易程序管理7.3.4.1數(shù)據(jù)交易涉及許可、備案等行政手續(xù)的，企業(yè)應(yīng)向有關(guān)部門申請(qǐng)?jiān)S可、履行備案或辦理其他行政手續(xù)。7.3.4.2數(shù)據(jù)交易涉及數(shù)據(jù)出境的，企業(yè)應(yīng)根據(jù)適用的法律法規(guī)等規(guī)定履行數(shù)據(jù)出境相關(guān)義務(wù)，并滿足以下要求：a)企業(yè)在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估；b)企業(yè)應(yīng)當(dāng)在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。7.3.4.3企業(yè)應(yīng)建立數(shù)據(jù)刪除和銷毀的操作規(guī)程和管理制度，明確刪除和銷毀的對(duì)象、權(quán)限、流程和技術(shù)等要求。7.4安全管理7.4.1數(shù)據(jù)安全管理7.4.1.1企業(yè)應(yīng)根據(jù)數(shù)據(jù)類型和重要程度采取不同級(jí)別的安全管理和技術(shù)措施，保障數(shù)據(jù)安全。7.4.1.2應(yīng)對(duì)訪問(wèn)數(shù)據(jù)的主體進(jìn)行身份標(biāo)識(shí)和鑒別，身份鑒別信息具有復(fù)雜度要求并定期更換。7.4.1.3通過(guò)數(shù)據(jù)處理平臺(tái)處理數(shù)據(jù)的，數(shù)據(jù)處理平臺(tái)應(yīng)按照等級(jí)保護(hù)的相關(guān)要求符合GB/T22239—2019對(duì)應(yīng)的系統(tǒng)級(jí)別。7.4.1.4應(yīng)定期對(duì)訪問(wèn)數(shù)據(jù)的賬號(hào)進(jìn)行識(shí)別、梳理及分類，防止非法賬號(hào)、閑置賬號(hào)、過(guò)期賬號(hào)的存在。7.4.1.5涉及公共數(shù)據(jù)交易的，應(yīng)滿足GB/T22239—2019中第二級(jí)要求關(guān)于數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)的內(nèi)容。7.4.1.6應(yīng)對(duì)數(shù)據(jù)的訪問(wèn)主體和交易相對(duì)方進(jìn)行身份驗(yàn)證，保證身份真實(shí)性，驗(yàn)證方式應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)雙方進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。7.4.1.7應(yīng)采用去標(biāo)識(shí)化等技術(shù)手段，對(duì)涉及的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理后再進(jìn)行交易，去標(biāo)識(shí)化的效果宜滿足GB/T42460—2023中第2級(jí)的要求，取得個(gè)人信息主體同意的除外。7.4.2交易安全管理7.4.2.1企業(yè)應(yīng)開展數(shù)據(jù)交易安全風(fēng)險(xiǎn)評(píng)估，評(píng)估內(nèi)容包括交易對(duì)象的信用情況，在數(shù)據(jù)交易過(guò)程中數(shù)據(jù)被篡改、破壞、泄露、丟失或者被非法獲取、非法利用的風(fēng)險(xiǎn)情況，以及對(duì)國(guó)家安全、公共利益帶來(lái)的風(fēng)險(xiǎn)情況，評(píng)估結(jié)果應(yīng)為無(wú)高危風(fēng)險(xiǎn)。7.4.2.2交易流通中可能影響國(guó)家安全的，應(yīng)按照有關(guān)規(guī)定進(jìn)行國(guó)家安全審查。7.4.2.3在數(shù)據(jù)交易結(jié)束后，企業(yè)應(yīng)保存交易商品和服務(wù)信息、交易信息等，包括但不限于交易唯一標(biāo)識(shí)、交易數(shù)據(jù)信息、交易時(shí)間、數(shù)據(jù)賣方、數(shù)據(jù)買方、交易結(jié)果等相關(guān)信息不少于三年。7.4.2.4企業(yè)應(yīng)配合監(jiān)管部門調(diào)查訪問(wèn)交易日志、重要數(shù)據(jù)交易服務(wù)合約等相關(guān)過(guò)程文檔資料，支持監(jiān)管部門開展數(shù)據(jù)交易服務(wù)的安全審計(jì)工作。7.4.2.5企業(yè)應(yīng)對(duì)交付數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)測(cè)和核驗(yàn)，如發(fā)現(xiàn)異常情況，及時(shí)中斷數(shù)據(jù)交易行為，并按照相關(guān)應(yīng)急預(yù)案及時(shí)處理。發(fā)現(xiàn)違法違規(guī)事件，應(yīng)及時(shí)上報(bào)相關(guān)主管部門、監(jiān)督管理部門，并保留好相關(guān)日志證據(jù)。9T/ZJSZJJ0002-20257.4.2.6涉及個(gè)人信息流通的，應(yīng)在數(shù)據(jù)交易前，對(duì)涉及個(gè)人信息的交易活動(dòng)開展個(gè)人信息保護(hù)影響評(píng)估，形成和保存?zhèn)€人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄，并且評(píng)估結(jié)果為無(wú)高危風(fēng)險(xiǎn)；應(yīng)采取相應(yīng)措施控制個(gè)人信息泄漏風(fēng)險(xiǎn)；應(yīng)保存?zhèn)€人信息交易活動(dòng)情況記錄至少三年。8風(fēng)險(xiǎn)管理8.1風(fēng)險(xiǎn)識(shí)別8.1.1企業(yè)通過(guò)分析組織架構(gòu)、管理機(jī)制、業(yè)務(wù)過(guò)程、確定信用管理風(fēng)險(xiǎn)產(chǎn)生的場(chǎng)景和源頭。識(shí)別信用風(fēng)險(xiǎn)的方法和步驟包括但不限于：a)深入分析組織架構(gòu)、管理機(jī)制、業(yè)務(wù)過(guò)程，識(shí)別可能引發(fā)的信用風(fēng)險(xiǎn)點(diǎn)；b)明確風(fēng)險(xiǎn)可能發(fā)生的具體場(chǎng)景，記錄風(fēng)險(xiǎn)產(chǎn)生的源頭，包括內(nèi)部流程缺陷、外部環(huán)境變化或其他可能的風(fēng)險(xiǎn)源；c)建立一個(gè)全面、動(dòng)態(tài)的風(fēng)險(xiǎn)清單，確保所有潛在風(fēng)險(xiǎn)都被記錄和考慮；d)建立持續(xù)的風(fēng)險(xiǎn)監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)或現(xiàn)有風(fēng)險(xiǎn)的變化；e)定期更新風(fēng)險(xiǎn)識(shí)別的方法和工具，確保風(fēng)險(xiǎn)識(shí)別過(guò)程與經(jīng)營(yíng)者內(nèi)外部環(huán)境的變化保持同8.1.2網(wǎng)絡(luò)與信息安全服務(wù)企業(yè)單位可根據(jù)自身實(shí)際情況，結(jié)合風(fēng)險(xiǎn)發(fā)生可能性（見表1）、風(fēng)險(xiǎn)影響程度（見表2進(jìn)行信用管理風(fēng)險(xiǎn)等級(jí)計(jì)算，企業(yè)信用管理風(fēng)險(xiǎn)等級(jí)=風(fēng)險(xiǎn)發(fā)生可能性得分*風(fēng)險(xiǎn)影響程度得分，總分2～50，2～6為低風(fēng)險(xiǎn)，8～10為中風(fēng)險(xiǎn)，12～50為高風(fēng)險(xiǎn)。風(fēng)險(xiǎn)等級(jí)劃分可參考《網(wǎng)絡(luò)與信息安全服務(wù)行業(yè)信用管理中高風(fēng)險(xiǎn)識(shí)別清單》（見附錄A）。表1風(fēng)險(xiǎn)發(fā)生概率表55443322111.1～2分，發(fā)生可能性為較不可能；2.1～3分，發(fā)生可能表2風(fēng)險(xiǎn)影響程度量化表小萬(wàn)萬(wàn)萬(wàn)上24682468T/ZJSZJJ0002-20258內(nèi)246注：風(fēng)險(xiǎn)影響程度計(jì)分算法：得分=（財(cái)產(chǎn)損失得分+非財(cái)產(chǎn)損失得分+處罰形式+影響范圍得分）/選項(xiàng)數(shù)；總分2分，風(fēng)險(xiǎn)影響程度為很小；2～4分，風(fēng)險(xiǎn)影響程8.2風(fēng)險(xiǎn)評(píng)估8.2.1經(jīng)營(yíng)者宜對(duì)風(fēng)險(xiǎn)識(shí)別階段建立的風(fēng)險(xiǎn)清單予以完善，有針對(duì)性地開展信用管理風(fēng)險(xiǎn)提醒、控制和應(yīng)對(duì)。風(fēng)險(xiǎn)評(píng)價(jià)包括但不限于以下因素：a)明確風(fēng)險(xiǎn)的性質(zhì)、發(fā)生概率和潛在影響等風(fēng)險(xiǎn)評(píng)價(jià)要素；b)基于歷史數(shù)據(jù)、行業(yè)趨勢(shì)和專業(yè)判斷估計(jì)風(fēng)險(xiǎn)發(fā)生的可能性；c)采用合適的風(fēng)險(xiǎn)評(píng)估工具和方法，如風(fēng)險(xiǎn)矩陣、敏感性分析等；d)評(píng)估風(fēng)險(xiǎn)對(duì)企業(yè)運(yùn)營(yíng)、聲譽(yù)、財(cái)務(wù)狀況的潛在影響；e)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性和影響程度，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分級(jí)；f)在風(fēng)險(xiǎn)清單中詳細(xì)記錄風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，為風(fēng)險(xiǎn)處置和決策提供依據(jù)；g)確保風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果能夠及時(shí)傳達(dá)至相關(guān)責(zé)任人進(jìn)行有效溝通；h)定期復(fù)審風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和結(jié)果，確保評(píng)價(jià)的準(zhǔn)確性和時(shí)效性。8.2.2當(dāng)發(fā)生經(jīng)營(yíng)戰(zhàn)略調(diào)整、開展并購(gòu)?fù)顿Y業(yè)務(wù)、開發(fā)新產(chǎn)品、新服務(wù)、產(chǎn)品或者服務(wù)市場(chǎng)地位發(fā)生重大變化、調(diào)整業(yè)務(wù)模式等重大變化時(shí)，企業(yè)應(yīng)及時(shí)進(jìn)行信用管理風(fēng)險(xiǎn)再識(shí)別和評(píng)價(jià)。8.3風(fēng)險(xiǎn)應(yīng)對(duì)企業(yè)宜針對(duì)已識(shí)別存在信用管理風(fēng)險(xiǎn)的事項(xiàng)，按照風(fēng)險(xiǎn)類別和等級(jí)，及時(shí)采取有效的提醒、控制和應(yīng)對(duì)措施，并將控制措施整合到信用管理體系中執(zhí)行，降低或者消除信用風(fēng)險(xiǎn)。9檢查與改進(jìn)9.1失信評(píng)估與處置9.1.1應(yīng)根據(jù)國(guó)家法律法規(guī)、行業(yè)規(guī)范和單位內(nèi)部規(guī)章制度，制定適用于內(nèi)部失信評(píng)估的規(guī)則。9.1.2應(yīng)建立健全失信舉報(bào)制度，為員工提供便捷、保密的舉報(bào)渠道。對(duì)舉報(bào)事項(xiàng)進(jìn)行調(diào)查核實(shí)，確保失信行為得到及時(shí)發(fā)現(xiàn)和處理。9.1.3應(yīng)定期對(duì)各部門、崗位和業(yè)務(wù)領(lǐng)域的失信風(fēng)險(xiǎn)進(jìn)行排查，分析潛在風(fēng)險(xiǎn)點(diǎn)，加強(qiáng)監(jiān)控和9.1.4應(yīng)根據(jù)失信評(píng)估結(jié)果，對(duì)存在失信風(fēng)險(xiǎn)的部門、崗位和業(yè)務(wù)領(lǐng)域設(shè)立失信預(yù)警，提前采取措施，防范潛在風(fēng)險(xiǎn)。9.1.5應(yīng)定期對(duì)失信評(píng)估與處置工作進(jìn)行總