曲靖市统计局关于印发
《曲靖市统计局数据安全管理办法》的通知
各县(市、区)统计局、经开区经发局,局机关各科(室)、事业单位:
《曲靖市统计局数据安全管理办法》已经局党组会审议通过,现印发给你们,请遵照执行。
曲靖市统计局
2023 年 4 月 11 日
曲靖市统计局数据安全管理办法
第一章 总则
第一条 为加强曲靖市各级统计机构数据安全管理,规范数据处理活动,保障统计数据保密性、完整性、可用性,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国统计法》等法律法规,以及国家统计局、云南省统计局《统计数据安全管理办法》,制定本办法。
第二条 本办法所称统计数据,是指统计机构在开展统计工作过程中,采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式对信息的记录(包括数字、图表、音频、视频等)。
统计信息系统是指用于开展统计业务的信息系统。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第三条 统计信息系统数据安全应按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,根据具体业务情况,落实统计数据安全责任。
第四条 本办法适用于统计系统内依托信息系统进行统计数据采集、传输、处理、发布、归档、销毁等生产过程的安全管理。
第五条 本办法所涉及的统计数据仅指非涉密统计数据。涉密统计数据的安全管理参考涉密数据相关规定。
第二章 职责分工
第六条 市统计局设立数据安全工作领导小组。组长由局党组书记担任,副组长由党组成员、副局长、督察专员担任,成员由各科(室)、事业单位主要负责人组成。
第七条 市统计局数据安全工作领导小组在局党组领导下,在省统计局数据安全工作领导小组的指导下,负责指导、监督统计机构数据安全管理工作。其主要职责是:
(一)贯彻落实党和国家数据安全工作方针政策和法律法规,组织制定曲靖市统计数据安全规章制度;
(二)将数据安全工作纳入重要议事日程,加强对统计数据安全工作的组织领导、协调保障和督查指导,推动各项任务落实;
(三)组织开展数据安全宣传教育培训,采取多种方式培养数据安全人才,提高全员数据安全责任意识;
(四)建立健全数据安全风险预警机制,执行数据安全工作报告制度,依法依规查处数据安全事件。
市统计局数据安全工作领导小组办公室设在局办公室,承担领导小组日常工作。其主要职责是:
(一)牵头起草数据安全工作规章制度、数据安全分类分级目录,制定、落实工作计划,报告工作情况;
(二)牵头开展数据安全宣传教育培训,协调管理、检查、指导、监督全省各级统计机构贯彻落实数据安全工作各项规章制度;
(三)协助调查数据安全事件。
市统计局各科(室)、事业单位指定 1 名数据安全工作联系人,负责本单位数据安全具体工作。
各县(市、区)统计局设立数据安全工作领导小组,组长由党组书记担任,副组长由党组(领导班子)成员担任,成员可由各科(室)主要负责人担任,并指定科(室)人员负责数据安全工作。
各县(市、区)统计局数据安全工作领导小组负责指导、监督本地区数据安全工作。
第八条 各县(市、区)统计局、统计数据处理信息系统建设运维单位、接触和处理统计数据的人员,严格按照《云南省统计数据安全管理办法》明确的职责履职。
第三章 统计数据分类分级管理
第九条 全市各级统计机构依据统计数据分类分级标准规范开展统计数据分类分级工作,并按要求组织开展本地区的统计数据分类分级管理及重要统计数据和核心统计数据识别工作。
第十条 重要统计数据和核心统计数据目录内容发生变化的,应当在发生变化的一个月内报送上级审核。全市各级统计机构将重要统计数据和核心统计数据目录逐级审核、汇总,报送市统计局数据安全工作领导小组办公室,市统计局数据安全工作领导小组办公室汇总后报省统计局数据安全工作领导小组办公室。
第十一条 统计数据安全实行分类分级防护,不同安全级别数据同时被处理且难以分别采取保护措施的,应当按照其中安全级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
第十二条 重要统计数据控制出国(境),未经评估或批准禁止出国(境)。核心统计数据禁止出境,使用和共享从严管控,除统计机构依法履职外,未经国家数据安全协调机制办公室批准,核心统计数据不得跨主体流动。
第四章 数据安全管理
第十三条 为保障统计数据安全,应根据数据安全级别分别采用冗余技术、传输保护、访问控制、账户管理、数据备份、数据加密、终端防护、监测审计、系统运维、应急响应、人员管理、云租户安全等技术和管理措施。
第十四条 数据采集安全保护,应根据采集统计数据的方式以及所采集统计数据的安全级别,采取相应的安全保护措施,确保统计数据在采集过程中不被窃取、篡改、破坏,保证统计数据采集的保密性、完整性、真实性。
第十五条 数据传输安全保护,应采取校验技术、密码技术、安全传输通道等措施,保障数据传输过程可信、可控。互联网到统计专网数据传输过程建立虚拟专用网,保护传输数据的保密性、完整性。
第十六条 数据存储应当根据需要采取脱敏、加密、校验等措施,保障数据的存储安全,建立数据容灾备份及恢复机制。
第十七条 数据使用应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用数据,应当采取管控措施确保数据使用合规,过程安全可控、可溯源。
第十八条 数据销毁应当建立针对数据内容的清除机制,对数据及数据存储媒体通过相应的操作手段,使数据彻底或有效删除且无法通过任何手段恢复。
第十九条 应当按照国家网络安全等级保护制度、商用密码应用要求,从技术和管理的各个层面执行数据安全管理制度,提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。
第二十条 建立健全数据脱敏脱密处理机制,对确需在非密环境下使用的涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
第二十一条 建立数据访问权限运行管理机制,做好数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批、执行和记录工作,严格落实数据访问权限的时效性管理,加强高风险数据操作权限管理,实现数据访问权限的统一管理,建立和维护数据访问权限分配清单,实现数据访问权限及时更新和定期核查。
第二十二条 建立数据共享开放接口运行管理机制,接口上线前,须进行安全检查,对发现的问题进行整改,安全检查通过后,接口方可上线。接口上线后,定期对接口进行安全检查,及时发现处置安全风险,关闭长期未用接口。
第二十三条 建立实时数据安全日志审计机制,运用高危操作监测与预警技术,及时对发现的违规行为进行核实处置。
第二十四条 建立《曲靖市统计局网络与数据安全应急预案》和应急演练机制,定期开展应急演练,总结并形成应急演练报告,持续优化应急预案。
第二十五条 数据安全人员应定期参加数据安全培训,加强数据安全工作经验交流,提升专业能力。
第二十六条 建立信息技术服务外包安全管理机制,对服务外包承包机构的数据安全保护能力、资质进行核实,确保符合国家、行业主管部门的相关要求。与承包机构签订安全保密协议,监督并定期检查承包机构履行数据安全保护义务的情况。严禁承包机构擅自留存、使用、泄露、销毁或者向他人提供数据。
第五章 奖惩与责任
第二十七条 有下列情形,应当逐级倒查,追究相关责任科室或个人责任。
(一)利用统计信息系统,发生泄露普查和常规统计调查等调查对象个体数据的;
(二)统计信息系统遭受网络攻击,没有及时处置导致大面积影响统计工作,或者造成重大经济损失,或者造成严重不良社会影响的;
(三)封锁、瞒报数据安全事件,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
(四)发生其他严重危害统计信息系统数据安全行为的。
第二十八条 责任科室或个人违反本办法有关规定,导致数据安全受到威胁或遭到破坏,造成损失或不良影响的,可根据损失或影响的程度给予通报处理;情节严重的,根据相关法律、法规和规定进行处理。
第六章 附则
第二十九条 本办法由数据安全工作领导小组负责解释。
