数据安全管理办法.pdf

该【数据安全管理办法 】是由【青山代下】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【数据安全管理办法 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..:..修改时间修改人修改内容摘要版本号审批人生效日期II:..录第一章总则..............................................................................................................................1第二章职责分工.......................................................................................................................2第三章数据安全体系建设.....................................................................................................4第四章数据安全日常管控.....................................................................................................6第五章数据安全应急管理.....................................................................................................7第六章人员管理及培训..........................................................................................................7第七章受托方数据安全管理.................................................................................................8第八章数据安全监督检查.....................................................................................................8第九章附则................................................................................................................................9III:..总则第一条为加强大数据平台(以下简称“本单位”)的数据安全管理,按照“运营合规、分级管控、高效预警、风险可控”的总体方针,建立健全数据安全治理体系,预防数据安全事件发生,根据《中华人民共和国数据安全法》等法律法规,结合实际情况,制定本办法。第二条本办法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。第三条本办法适用于本单位内非涉密数据的安全管理工作。第四条本单位数据安全保护工作遵循以下原则:(一)三同步原则:数据安全和信息化工作应当同步规划、同步建设、同步实施。(二)合法合规原则:在法律法规规定的范围内,依照法律法规规定的条件和程序,开展收集、存储、使用、加工、传输、提供、公开等数据处理活动。:..三)保密原则:在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供。(四)分级保护原则:根据数据的属性和使用场景等信息,对数据进行分级,并为不同级别配置不同的安全保护策略。(五)最小化原则:数据处理时仅使用满足目的所需的最少数据,仅授予数据处理人员所需的的最小权限。(六)安全可用原则:运用适当的管理和技术措施,确保以适当安全的方式处理数据,保护数据的完整性、机密性、可用性,保障数据全流程的安全保护,免遭诸如未授权访问、破坏、篡改、泄露或丢失等破坏。第二章职责分工第五条本单位数据安全管理活动由数据安全领导小组统筹决策。领导小组下分设独立的管理部门和监督部门,对数据安全执行活动进行管理和监督。数据安全管理部门下设执行部门,推进落实具体工作。第六条数据安全领导小组是数据安全工作的决策部门,负责健全本单位数据安全治理体系规划,以及重大事项的研究与审议工作,履行下列职责:(一)依照国家数据安全法律、法规、标准等,落实数据安全:..(二)确定数据安全总体方针、战略规划、目标愿景等;(三)组建数据安全管理和监督部门,为数据安全建设提供必要的支持;(四)对数据安全事件应急处置进行协调和决策;(五)法律、法规、规章规定的其他职责。第七条数据安全管理部门是数据安全工作的管理部门,负责本单位数据安全管理工作的组织、管理、协调,履行下列职责:(一)组织编制数据安全总体规划,建立并完善数据安全管理体系,明确数据安全管控要求并指导各部门开展数据安全工作;(二)组织建设数据安全保障基础设施,并明确运维管理要求;(三)制定数据安全相关的人员管理规范,计划并组织数据安全培训,提升人员数据安全意识和能力;(四)制定考核标准,定期对本单位相关人员和数据处理、运维等活动进行考核评价;(五)作为重要数据责任部门,负责重要数据的安全管控。第八条数据安全执行部门是本单位数据安全工作的执行和落实部门,履行下列职责:(一)组织数据安全执行人员,落实数据安全法律、法规以及:..(二)落实数据资产管理、分类分级管控、信息资源目录管理,数据安全访问控制以及数据全流程的安全管控策略;(三)执行日常运维管理,风险监测、风险评估、追溯审计、应急处置等工作。(四)落实数据安全日常加固和整改措施;(五)参加数据安全教育培训,提升数据安全意识和能力。第九条数据安全监督部门是本单位数据安全管理和落实工作的监督部门,主要负责定期监督审核数据安全政策和管理要求的执行情况,并向数据安全领导小组汇报,主要职责如下:(一)建立数据安全工作监督机制,保证安全监督工作有效开展;(二)监督数据安全职责落实情况和日常管控情况,并对发现的问题督促改进。第三章数据安全体系建设第十条数据安全管理部门应建立并完善数据安全管理体系,制定对应的规范和细则,明确在数据资产管理、分类分级管控、信息资源目录管理、访问控制管理,数据全流程的安全管控、日常监测评估、追溯、日志审计、应急管理等相关活动中的数据安全要求。:..数据安全管理部门应制定数据资产管理规范,实行资产备案,明确资产管理责任部门与人员。数据安全执行部门应编制数据资产清单,定期按照资产清单对数据资产进行一致性检查并保留检查记录。第十二条数据安全管理部门应制定数据分类分级规范,明确数据分类分级原则、方法、流程以及分级管控要求,为数据安全管理和安全开放共享提供指导。数据安全执行部门应梳理形成数据分类分级清单和重要数据,落实数据分级管控要求。第十三条数据安全管理部门应明确信息资源目录管理要求,搭建安全可控的共享、开放平台,遵循公正、公平、便民的原则,及时、准确地公开政务数据。数据安全执行部门应梳理和审核信息资源目录,落实共享开放安全管控要求。第十四条数据安全管理部门应明确数据安全访问控制要求。制定针对数据收集、传输、存储、使用、共享、删除各环节的安全管控规范,对数据全流程的活动进行安全保护。制定各个环节的日志管理规范。第十五条数据安全管理部门应建设数据安全保障基础设施,组织规划数据安全防护能力建设。部署必要的技术工具,支持对数据和数:..溯源,支持对数据执行加密、脱敏及安全传输等方面的保护。第四章数据安全日常管控第十六条数据安全管理部门应明确数据安全运维范围、能力要求和技术要求,制定标准,定期考核。第十七条数据安全执行部门应按照数据全流程的管控要求,落实管控策略。对数据、数据库操作、数据及接口的访问、使用等各类行为进行实时监控并记录监控日志。第十八条数据安全执行部门应明确风险定义,建立数据安全基线,对风险进行实时监测并预警。识别并分析监测结果,及时发现数据安全缺陷、漏洞等,并及时采取补救措施。第十九条数据安全执行部门应定期开展数据安全风险评估工作,包括数据库、应用系统、运维策略等的日常评估和数据安全风险的整体评估。重要数据的处理活动应定期开展风险评估,并向有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。第二十条各数据处理活动应对所涉及的数据进行数据溯源记录。数据库、应用系统、工具等应对全流程的数据授权、访问、处理等活:..第二十一条数据安全执行部门应定期对数据、数据库的操作和授权等活动的日志进行审计,及时报告异常情况,定期形成日志审计报告。第五章数据安全应急管理第二十二条数据安全管理部门应强化本单位数据泄露(丢失)、滥用、被篡改、被损毁、违规使用等安全事件的应急响应能力。制定数据安全应急预案,明确应急管理组织、数据安全事件等级划分、监测与预警方式、应急处置流程及报告等事项,并完善保障措施。第二十三条数据安全执行部门应结合数据安全事件场景和等级制定应急演练方案并开展演练。落实日常监控预警,并在发生数据安全事件时及时启动应急预案,采取补救措施,防止危害扩大,并向有关部门报告。第六章人员管理及培训第二十四条各部门应加强人员安全管理,将数据安全工作内容和要求纳入日常人员管理环节。第二十五条数据安全管理部门应明确各岗位数据安全职责。在各岗位员工入职上岗、在岗、转岗、离岗、离职等环节明确相应的数:..第二十六条数据安全管理部门应制定数据安全相关岗位人员的培训计划并按需更新,培训内容包括但不限于安全意识、技术工具、日常操作、应急响应、制度要求、法律法规、政策标准等。第七章受托方数据安全管理第二十七条委托他人建设、维护信息系统,存储、加工数据,应当经过严格的批准程序。第二十八条委托部门应与受托方签订书面委托协议和保密协议。明确数据安全的相关责任和义务,确立合作过程中的数据保护要求、安全措施及保密要求。建立并维护受托方清单,加强人员管理,监督受托方履行相应的数据安全保护义务。第二十九条数据安全执行部门应加强对受托方人员的操作监控和访问控制,加强审计。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供本单位数据。第八章数据安全监督检查第三十条数据安全监督部门应建立数据安全监督检查机制,明确本单位内部对数据安全的检查周期、检查形式、检查人员、检查内容,:..各部门应当配合检查,对检查中发现的问题及时整改。第三十一条数据安全监督部门应对本单位数据安全体系建设情况、数据全流程防护体系建设情况、数据资产管理情况、数据分类和级别划分情况、安全策略规则落实情况、日常风险监测评估与应急处置情况进行定期的监督检查。第三十二条针对重要数据的处理情况和安全事件的报告、处置、整改情况,进行重点监督。第三十三条对监督检查过程中发现的问题,应及时通报数据安全管理部门,并督促改进。第九章附则第三十四条任何部门或个人在数据处理过程中,不履行数据安全保护义务和个人信息保护义务的,由本单位数据安全管理部门责令改正。情节严重使其他组织或个人的合法权益受到侵害的,依法承担民事责任。构成犯罪的,由公安机关依法追究刑事责任。第三十五条在本单位组织架构发生重大调整或服务业务发生重大变化时,需及时对本办法进行修订。第三十六条本办法由数据安全领导小组负责解释。第三十七条本办法自印发之日起施行。