关于征求《淮北市统计局数据安全管理办法》（征求意见稿）意见的通知

 

各县（区）统计局、市高新区统计局，局机关各科室、各事业单位：

为落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》和《安徽省统计系统统计数据安全管理规定》，切实加强统计数据安全管理，保障数据安全，我局起草了《淮北市统计局数据安全管理办法》（征求意见稿）现将征求意见稿印发给你们，请研究提出书面意见，并于2023年8月1日前反馈数管中心。

 

                                                                                   淮北市统计局          

                                                   2023年7月20日

《淮北市统计局数据安全管理办法》

 

第一章  总  则

　第一条  为落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国统计法》《国家统计局统计数据安全管理办法》和《安徽省统计系统统计数据安全管理规定》，切实加强统计数据安全管理，保障数据安全，结合淮北统计工作实际，制定本办法。

　　 第二条  本办法适用淮北市统计局机关各科室、各事业单位，各县（区）统计局、市高新区统计局，组织实施的统计数据处理活动。 

　　第三条  本办法所称统计数据，是指统计部门在开展统计工作过程中，采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式对信息的记录（包括数字、图表、音频、视频等）。 

　　属于国家秘密的统计数据按照《中华人民共和国保守国家秘密法》等法律、行政法规和国家统计局相关规定执行。 

　　本办法所称统计数据处理信息系统，是指用于统计数据采集、存储、使用、加工、传输、提供、公开、归档、销毁等数据处理相关工作的信息系统。 

　　数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 

　　第四条  统计数据安全工作坚持总体国家安全观，坚持“谁管业务，谁管业务数据，谁管数据安全”原则。

第二章  职责分工

第五条  淮北市统计局设立数据安全工作领导小组，由淮北市统计局主要领导任组长，各分管领导任副组长，各科室、各事业单位主要负责人为成员。领导小组负责组织领导和统筹协调开展统计数据安全管理相关工作，明确责任分工，监督检查市局数据安全管理情况。领导小组办公室设在局数据管理中心（以下简称“数管中心”）。

　第六条 数管中心根据相关法律法规和制度规范要求，组织开展信息系统的风险评估、安全检查、等级测评等工作，分析结果，提出统计数据安全整改意见，监督整改工作的执行。

　　第七条 局办公室配合数管中心负责协调管理、检查、指导、监督各科室贯彻落实数据安全工作各项规章制度； 协助调查数据安全事件。

第八条 各业务科室根据相关法律法规和制度规范要求,负责落实应用系统数据安全管理要求，配合数管中心完成安全检查、风险评估、等级测评及整改等工作；负责信息系统中业务相关的统计数据输入、输出和访问的授权审批。

第九条  局综合科统一组织协调对外统计资料发布和提供，是淮北市统计局数据发布、提供数据的唯一对外窗口；负责受理接待协调各新闻媒体与统计数据相关的采访工作。任何科室和个人未经批准不得自行回应或接受新闻媒体采访。

第十条  各县（区）统计局、市高新区统计局，在淮北市统计局和属地数据安全工作协调机制指导下，负责指导、监督本地区数据安全管理工作。

第三章  统计数据分类分级管理

　　第十一条  局机关各科室、各事业单位依据统计数据分类分级标准，参考省统计局重要统计数据目录模板开展统计数据分类分级管理及重要统计数据和核心数据识别工作。 

　　各县（区）统计局、市高新区统计局组织开展本地区、本系统的统计数据分类分级管理及重要统计数据和核心统计数据识别工作。 

　　第十二条  各县（区）统计局、市高新区统计局，局机关各科室、各事业单位将重要统计数据和核心统计数据逐级审核、汇总，报送淮北市统计局数据安全工作领导小组办公室。重要统计数据和核心统计数据目录内容发生变化的，应当在发生变化的一个月内报送审核。 

　　第十三条  统计数据安全实行分类分级防护，不同安全级别数据同时被处理且难以分别采取保护措施的，应当按照其中安全级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。 

　　重要统计数据控制出境，未经评估或批准禁止出境。核心统计数据禁止出境，使用和共享从严管控，除统计部门依法履职外，未经报批，核心统计数据不得跨主体流动。 

第四章  统计数据处理信息系统安全管理

　　第十四条  统计数据处理信息系统主体应对数据采集、传输、存储、加工等环节采取有效的数据安全防护措施。采用数据防泄露技术对终端、网络等关键数据出口进行监控和防护；记录数据处理、权限管理、人员操作等日志，部署监控工具对数据异常访问和操作进行告警和审计。日志保存时长不少于6个月。 

　　第十五条  与互联网连接的统计数据处理信息系统，数管中心要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等要求，存储处理重要统计数据的要落实二级等保要求，存储处理核心统计数据的要落实关键信息基础设施保护要求。 

第十六条 处理重要统计数据和核心统计数据的信息系统应当定期对数据进行容灾备份，定期开展数据备份恢复演练，保证信息系统正常运行。

　　第十七条  统计数据处理信息系统应采用身份鉴别与访问控制策略，严格权限管理。建立数据权限申请和变更审批流程，按照最少够用、职权分离原则为不同账户分配所需权限，严格控制接触数据的范围。及时删除或停用多余的、过期的账户和权限。 

　　统计数据处理信息系统运维人员的权限分配应仅满足运维管理需要，确有其他需要的，须进行严格的权限审批。系统最高权限应由信息系统建设运行单位审批和管理。 

　　第十八条  统计数据处理信息系统账号应采用实名制注册，设置强口令并定期修改，不得使用默认口令或弱口令，相关人员仅能使用本人实名注册的账号登录系统进行操作，不得使用明文传输或存储账号信息和口令。 

　　账号拥有者应妥善保管账号及口令等鉴别信息，禁止共享、出借、售卖账号。一旦发现账号鉴别信息泄露，应及时采取更改密码、停用账号、上报账号管理员等方式保障账号安全。账号拥有者对本人账号的操作承担直接责任。 

　　第十九条  用于统计数据处理活动的终端设备应部署防病毒、终端入侵检测、数据防泄露等安全管理措施，及时阻断危险操作和威胁行为，防范数据泄露风险。 

　　第二十条  委托企业、专业机构等参与统计数据处理信息系统建设、数据处理活动，委托单位对外包服务的数据安全负主体责任。委托单位应当通过签订合同、安全保密协议、旁站等方式，明确并督促、检查、监督被委托单位履行相关数据安全义务和责任。外包服务管理按照国家统计局数字化建设中外包网络和数据安全管理的相关规定和省统计局有关要求执行。

第五章  统计数据处理全流程安全管理　

　  第二十一条  统计数据的采集、存储、使用、加工、传输、提供、公开、归档、销毁等各阶段，应当根据数据的安全级别，采取相应的安全防护措施，保障统计数据的保密性、完整性和真实性，确保统计数据不被泄露、篡改或破坏。 

　　第二十二条   采集统计数据，应当在统计调查制度和相关管理规范中明确数据采集的目的、用途、方式、范围、来源、渠道等。加强重要统计数据和核心统计数据收集人员、设备的管理。 

　　通过互联网应用平台开展问卷调查获取统计数据，应根据相关法律法规开展相关工作。 

　　通过外单位获取重要统计数据和核心统计数据，应当遵守数据提供方相关数据安全要求。 

第二十三条   存储统计数据，应当依据法律法规规定的方式和期限存储。重要统计数据和核心统计数据应当存储在市局内，采用符合国家相关标准规定的校验技术、密码技术等措施进行安全存储。 

　　存储重要统计数据和核心统计数据的介质（硬盘、光盘、优盘、纸介质等）应当安全存放保管，并记录存储内容、交接和使用过程，防止被不相干人员读取，防范数据损坏、丢失和泄露。 

　　第二十四条  对统计数据进行汇总加工、开展分析决策，应确保数据处理环境按数据安全级别有相应的安全措施，明确数据的使用规范，加强访问控制。 

　　重要统计数据和核心统计数据应当严格限制批量修改、拷贝、下载、删除等操作的权限，仅允许访问使用所需最小范围内的业务数据。 

　　统计数据处理信息系统的重要数据和核心数据导入导出应进行严格审批。 

　　第二十五条  传输统计数据，应当根据数据类型、级别和应用场景，采取相应的安全策略和保护措施。在线传输重要统计数据和核心统计数据，应当采取符合国家相关标准规定的校验技术、密码技术、脱敏去标识化技术、安全传输通道或者安全传输协议等措施，并对接入的传输终端采取认证措施。 

　　使用移动存储介质离线传输重要统计数据和核心统计数据时，应采取必要的保护措施，不应使介质离开相关责任人，不应在无人监管情况下通过第三方进行传递，确保介质安全和数据传输安全。 

   第二十六条   对外提供统计数据，应当明确提供的范围、类别、条件、程序等，对过程进行严格审批并存档。 

　　对外提供重要统计数据和核心统计数据，必要时可通过签署相关协议或承诺书的方式，要求数据获取方对所提供数据采取安全保护措施，且数据使用范围符合相关法律法规。 

　 第二十七条  统计数据公开应当遵循公正、公平、便民的原则，按照相关规定及时、准确公开。涉及公开重要、敏感统计数据的，应开展数据安全风险评估。 

　　在统计数据发布后，应对发布数据的网站等信息系统加以保护，进行实时安全监测，保护信息系统不被非法越权访问，保护信息系统内的发布数据和信息系统自身配置信息、运行管理日志等信息不被篡改。 

　　第二十八条  统计调查任务结束后，调查任务承担单位应按照统计调查制度实际要求及时进行统计数据归档保存。数据归档系统应满足数据安全分级保护要求，以保证基础数据的安全可用。 

　　第二十九条  按规定需要销毁的数据，应根据数据的安全级别以及存储设备的类别，确定销毁办法、销毁方式和销毁要求，按规范流程进行销毁，对审批和销毁过程进行记录和留存。 重要统计数据和核心统计数据存储介质的销毁，应严格执行审批流程。存储介质的登记、审批、交接等过程应以文字、影像、照片等形式完整、准确地记录，并长期保存，用于审计备查。 

第三十条  定期开展全员数据安全教育和培训，同时加强法律、行政法规等常规培训和学习。

 

第六章  统计数据安全监测预警与应急管理

第三十一条  建立统计数据安全监测预警机制，组织开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。

第三十二条  涉及重要数据和核心数据的安全事件，第一时间上报淮北市统计局数据安全领导小组，并及时报告事件发展和处置情况。　　         

第三十三条  在出现相关统计数据安全事件后，淮北市统计局综合科要第一时间与宣传部门沟通协调，并按照局党组的要求认真研判形势，与宣传部门通力合作，积极应对，及时启动相关预案；必要时，局机关各科室、各事业单位要按照局领导和综合科的统一安排布署，通力协作，迅速组织相关人员发布有关正面信息或公告，努力消除和化解负面影响，牢牢把握意识形态主动权，正确引导與论。  

第三十四条  各县（区）统计局、市高新区统计局，局机关各科室、各事业单位如在日常工作中发现或监控到任何与淮北市统计局或与统计数据有关的舆情事件，也要第一时间报告数据安全领导小组和市局综合科。 

第七章  责任追究

 第三十五条 全市统计部门各单位应当接受对数据安全工作的投诉、举报并及时依法处理，对投诉、举报人的相关信息予以保密。 

第三十六条  淮北市统计局数据安全领导小组在履行统计数据安全监督管理职责中，发现数据处理活动存在安全风险或隐患的，可以按照规定权限和程序对相关单位进行约谈，并要求采取措施进行整改，消除隐患。

第三十七条   局机关各科室、各事业单位有违反本办法规定行为造成危害或不良后果的，依规依纪依法对具体责任人和分管统计数据安全工作的直接责任人追究责任；构成犯罪的，依法追究刑事责任。

第八章  附  则

第三十八条  本办法由淮北市统计局数据安全领导小组负责解释。

第三十九条  本办法自印发之日起施行。

 

附件：淮北市统计局数据安全工作领导小组

 

附件：

淮北市统计局数据安全工作领导小组

 

组  长：赵华

副组长：王  建  许群杰  许  静

成  员：胡  泽  李同成  汪建国  禹延福  任克杰  

吴志勤  尚  莉  颛孙婷婷  徐梦茹  张迟秋  谢丁丁

领导小组下设办公室，王建同志兼办公室主任，胡泽、汪建国、徐梦茹同志任办公室副主任，徐柱、孙安琪、王安伟、陈宗月文、王治辉、王雅雯同志为办公室成员。