|
各科室、局属事业单位: 《鄞州区统计局数据安全管理办法》已经局党组会议审定,现予印发,请按要求做好贯彻落实。 宁波市鄞州区统计局 2022年11月17日 鄞州区统计局数据安全管理办法 第一章总则 第一条为规范鄞州区统计局各类统计数据安全管理,保障统计数据的保密性、完整性、可用性,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国统计法》、《浙江省统计局系统信息系统数据安全管理规范》和《宁波市统计局数据安全管理办法》等法律、规范要求,并结合本局实际,制定本办法。 第二条本办法中的统计数据是指统计信息系统内的统计业务数据及相关管理数据,不包含办公数据。统计信息系统是指用于开展统计业务的信息系统。 第三条统计信息系统数据安全应按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,根据具体业务情况,落实统计数据安全责任。 第四条本办法适用于统计系统内依托信息系统进行统计数据采集、传输、处理、发布、归档、销毁等生产过程的安全管理。 第五条本办法所涉及的统计数据仅指非涉密统计数据。涉密统计数据的安全管理参考涉密数据相关规定。 第二章职责分工 第六条鄞州区统计局网络安全和信息化领导小组负责数据安全工作的总体监管、协调及重大事项决策。局主要负责人是第一责任人,分管局领导是直接责任人。 第七条统计数据管理中心(以下简称“数管中心”)是数据安全责任科室,根据相关法律法规和制度规范要求,建立健全数据安全体系。组织开展信息系统的风险评估、安全检查、等级测评等工作,分析结果,提出统计数据安全整改意见,监督整改工作的执行。处理统计数据相关的安全事件,并向上级报告。 第八条统计业务科室根据相关法律法规和制度规范要求,负责落实应用系统数据安全管理要求,配合数管中心完成安全检查、风险评估、等级测评及整改等工作;负责信息系统中业务相关的统计数据输入、输出和访问的授权审批。 第三章统计数据分类分级管理 第九条统计业务科室遵照统计系统现有的数据分类标准,按照国家统计局规定的46个统计专业、专项普查(人口、经济、农业)以及上级政府部门委托的一次性调查项目,对所负责的统计数据进行归纳和分类,做好后续的统计数据安全管理工作。 第十条统计业务科室在对每个类别的统计数据进行处理和应用的过程中,按照数据流的不同阶段应划分为基础数据、过程数据、综合汇总数据: (一)基础数据:包括初始采集的统计对象的数据、名录、个人信息、企业工厂信息等; (二)过程数据:包括对基础数据进行编辑审核、初步汇总、分析、统计、净化后所产生的数据; (三)综合汇总数据:包括对过程数据进行处理后获得的成品数据、非发布数据,以及在数据处理过程中所使用的参数类数据等。 第十一条统计业务科室应根据统计数据各个类别的重要性不同、统计数据所处不同阶段,对统计数据进行安全等级划分,可分为一般数据、重要数据、特别重要数据三个安全级别。 第十二条一般数据:对具有一般的使用价值、敏感性、可用性、完整性要求的统计数据,数据汇集程度低,或数据获取难度低,或数据损坏后恢复难度低,或数据泄漏、破坏、丢失对国家统计系统和国家利益不会造成损害,或已定为信息安全等级保护一级的统计信息系统涉及的统计数据。 第十三条重要数据:对与国计民生密切相关的统计数据,涉及个人信息、商业秘密但不涉及国家秘密的统计数据,具有较高的使用价值、敏感性、可用性、完整性要求的统计数据,数据汇集程度较高,或数据获取难度较高,或数据损坏后恢复难度较高,或数据泄漏、破坏、丢失对国家统计系统和国家利益造成较大损害,或已定为信息安全等级保护二级的统计信息系统涉及的统计数据。 第十四条特别重要数据:对涉及国家安全、国家关键基础设施等国家重要战略资源、涉及个人信息、商业秘密但不涉及国家秘密的统计数据,具有很高的使用价值、敏感性、可用性、完整性要求的统计数据,数据汇集程度很高,或数据获取难度很高,或数据损坏后恢复难度很高,或数据泄漏、破坏、丢失对国家统计系统和国家利益造成很大损害,或已定为信息安全等级保护三级及其以上的统计信息系统涉及的统计数据。 第十五条统计数据随着汇集程度的提高,其安全级别可能也相应提高。统计业务科室应根据统计数据的汇集程度注意其安全级别的变化,及时调整并通知数管中心,由数管中心按照相应安全级别对汇集后的统计数据采取对应的安全保护措施。 第四章数据安全管理 第十六条为保障统计数据安全,应根据数据安全级别分别采用冗余技术、传输保护、访问控制、账户管理、数据备份、数据加密、终端防护、监测审计、系统运维、应急响应、人员管理、云租户安全等技术和管理措施。 第十七条数据采集安全保护,应根据采集统计数据的方式以及所采集统计数据的安全级别,采取相应的安全保护措施,确保统计数据在采集过程中不被窃取、篡改、破坏,保证统计数据采集的保密性、完整性、真实性、抗抵赖性。 第十八条数据传输安全保护,应采取校验技术、密码技术、安全传输通道等措施,保障数据传输过程可信、可控。互联网到统计专网数据传输过程建立虚拟专用网,保护传输数据的保密性、完整性、抗抵赖性。 第十九条数据存储应当根据需要采取脱敏、加密、校验等措施,保障数据的存储安全,建立数据容灾备份及恢复机制。 第二十条数据使用应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用数据,应当采取管控措施确保数据使用合规,过程安全可控、可溯源。 第二十一条数据销毁应当建立针对数据内容的清除机制,对数据及数据存储媒体通过相应的操作手段,使数据彻底或有效删除且无法通过任何手段恢复。 第二十二条应当按照国家网络安全等级保护制度、商用密码应用要求,从技术和管理的各个层面执行数据安全管理制度,提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。 第二十三条建立健全数据脱敏脱密处理机制,对确需在非密环境下使用的涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。 第二十四条建立数据访问权限运行管理机制,做好数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批、执行和记录工作,严格落实数据访问权限的时效性管理,加强高风险数据操作权限管理,实现数据访问权限的统一管理,建立和维护数据访问权限分配清单,实现数据访问权限及时更新和定期核查。 严格执行数据访问使用的审批制度,区局统计人员访问非本专业数据、镇(街道、园区)统计人员访问非本地域数据,应向区局业务科室提交《统计信息系统数据访问使用审批表》,经审批后由数管中心依据审批情况开通访问使用权限,统计系统人员应在自己的权限范围内进行数据访问和使用,不得越权访问和使用数据。 第二十五条建立数据共享开放接口运行管理机制,接口上线前,须进行安全检查,对发现的问题进行整改,安全检查通过后,接口方可上线。接口上线后,定期对接口进行安全检查,及时发现处置安全风险,关闭长期未用接口。 第二十六条建立实时数据安全日志审计机制,运用高危操作监测与预警技术,及时对发现的违规行为进行核实处置。 第二十七条建立《鄞州区统计局网络与数据安全应急预案》和应急演练机制,定期开展应急演练,总结并形成应急演练报告,持续优化应急预案。 第二十八条数据安全人员应定期参加数据安全培训,加强数据安全工作经验交流,提升专业能力。 第二十九条建立信息技术服务外包安全管理机制,对服务外包承包机构的数据安全保护能力、资质进行核实,确保符合国家、行业主管部门的相关要求。与承包机构签订安全保密协议,监督并定期检查承包机构履行数据安全保护义务的情况。严禁承包机构擅自留存、使用、泄露、销毁或者向他人提供数据。 第五章奖惩与责任 第三十条有下列情形,应当逐级倒查,追究相关责任科室或个人责任。 (一)利用统计信息系统,发生泄露普查和常规统计调查等调查对象个体数据的; (二)统计信息系统遭受网络攻击,没有及时处置导致大面积影响统计工作,或者造成重大经济损失,或者造成严重不良社会影响的; (三)封锁、瞒报数据安全事件,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的; (四)发生其他严重危害统计信息系统数据安全行为的。 第三十一条责任科室或个人违反本办法有关规定,导致数据安全受到威胁或遭到破坏,造成损失或不良影响的,可根据损失或影响的程度给予通报处理;情节严重的,根据相关法律、法规和规定进行处理。 第六章附则 第三十二条本办法由统计数据管理中心负责解释。 第三十三条本办法自印发之日起施行。
|