索引号: | 011460272/2022-35115 | 主题分类: | 统计;其他 |
---|---|---|---|
发文单位: | 恩施州统计局 | 发文字号: | 无 |
文号类型: | 管理办法 | 文件类型: | 规章 |
发文日期: | 2022年11月04日 | 效力状态: | 有效 |
恩施州统计系统
数据安全管理实施细则
目 录
为规范恩施州统计系统各类数据的安全管理,保障统计工作数据的保密性、完整性、可用性,根据《国家统计信息系统数据安全管理办法(试行)》等要求,特制定本细则。
本细则中的数据是恩施州统计系统内的业务数据、办公数据及相关管理数据。
各级统计局应按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,根据各自单位的业务情况,落实数据安全责任。
本细则适用于恩施州统计系统内依托信息系统进行业务数据采集、传输、处理、发布、销毁等生产过程的安全管理。
本细则所涉及的数据仅指非涉密数据。
恩施州统计系统数据安全管理工作的责任部门包括各级统计局信息安全工作领导小组及办公室、信息化管理部门以及业务应用部门(含业务管理员、业务操作人员),必要时成立数据安全领导小组。
信息安全工作领导小组关于数据安全管理的职责如下:
(一)遵照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国统计法》《关键信息基础设施安全保护条例》,以及中央有关主管部门和国家统计局网络安全相关管理要求、技术标准,统一领导恩施州统计局的数据安全管理工作;
(二)负责审批恩施州统计系统信息系统关于数据安全的管理方案;
(三)落实数据安全管理职责,确认数据安全管理相关领导岗位责任人。
信息安全工作领导小组办公室关于数据安全管理的职责如下:
(一)负责按照“三个同步”(同步规划、同步建设、同步使用)的原则,提出所辖信息系统中数据安全管理的具体要求;
(二)负责组织评审和发布本系统数据安全管理标准制度,并对标准制度在本单位各部门和下级统计局的使用进行指导和监督检查;
(三)负责组织对重要信息系统数据安全保护方案的评审;
(四)负责完成湖北省统计局交办的其他数据安全方面的工作任务。
信息化管理部门关于数据安全管理的职责如下:
(一)对信息系统中信息技术相关的数据安全负责;
(二)负责组织编制重要数据安全保护方案、安全管理标准制度;
(三)在信息系统建设过程中,负责组织信息系统和数据安全保护方案的工程实施、测试验收、等级测评、风险评估及上线审批等工作;
(四)处理数据相关的重大安全事件,并向上级报告;
(五)负责完成上级交办的其他数据安全管理方面的工作任务。
业务应用部门是指使用恩施州统计系统内所辖信息系统进行数据生产的部门。业务应用部门关于数据安全管理的职责如下:
(一)负责对所属数据进行分类、分级,提出数据安全管理的业务需求及安全需求,提交信息安全工作领导小组办公室审定;
(二)负责提出业务相关的数据信息系统账号及权限分配的申请,并提交信息安全工作领导小组办公室审定;
(三)负责配合信息化管理部门完成安全检查、风险评估、等级测评及整改等工作;
(四)负责信息系统中业务相关的数据安全审计工作,信息化管理部门提供安全审计的技术支持;
(五)负责信息系统中业务相关的数据输入、输出和访问的授权审批;
(六)对信息系统中业务相关的应用数据安全负责;
(七)负责完成上级交办的其他数据安全方面的工作任务。
数据安全管理的责任岗位包括直接负责的主管人员和其他直接责任人员。直接负责的主管人员对所管辖信息系统数据的总体安全承担责任,由各相关部门负责人担任;其他直接责任人员对所管辖信息系统数据的具体安全承担责任。直接责任人员包括:信息化管理部门的系统管理员、审计管理员、安全管理员;信息系统的数据业务责任人:业务应用部门的业务管理员、业务操作人员。
系统管理员负责信息系统的安全运维管理工作,包括主机系统管理、应用系统管理、数据库管理等,在信息系统管理工作中,应落实数据安全管理措施,保护数据安全。其中:
(一)系统管理员要及时报告并协同处理可能引起数据泄露、损坏、丢失或被篡改等安全隐患。严格遵守安全管理制度,不允许以任何方式对数据内容进行非授权访问、查看、修改、拷贝等违规操作。
(二)系统管理员应确保数据库中保存的数据安全、可靠,实现严格访问控制和权限管理,做好数据的备份工作,对重要数据应采取加密措施,为使用者提供安全可靠的使用环境。
(三)根据数据安全管理相关规定要求,实现信息系统数据安全策略,执行数据备份和恢复工作,完成安全功能开发、安全配置,报告实施过程的安全管理等;负责日常监测数据的安全状况,形成监测记录并妥善保存6个月以上。
(四)配合安全管理员完成信息系统安全检查、应急演练、等级测评、风险评估和整改工作。
(五)负责与外包公司签订与安全相关的协议,与外聘技术人员签订安全保密协议,并对外包公司及外聘技术人员进行安全管理。
(六)负责完成上级交办的其他数据安全方面的工作任务。
审计管理员负责数据安全审计工作,如发现可能导致数据泄露、损坏、丢失或被篡改等重大安全隐患,应告知信息安全领导小组办公室及时采取措施进行处理。
安全管理员负责对信息系统的建设和运维进行安全管理、安全检查和技术指导;如发现可能引起数据泄露、损坏、丢失或被篡改等重大安全隐患,应及时向上级报告,并按照相关管理规定或应急预案开展应急处置。
(一)组织开展重要信息系统的安全性测试,并备案安全测试报告;
(二)定期检查数据安全管理相关规定及安全保护方案的落实情况,定期会同相关人员对数据监测记录进行分析和研判,发现安全隐患,形成分析报告和改进意见;
(三)开展信息系统的风险评估、安全检查、等级测评等工作,分析结果,提出数据安全整改意见,监督整改工作的执行;
(四)处理重大数据安全事件,并向上级报告;
(五)负责完成上级交办的其他数据安全方面的工作任务。
单位自建信息系统为等保测评二级以上的,必须设置系统管理员、安全管理员、审计管理员,三者不能互相兼任。无自建信息系统或自建信息系统为等保测评一级的单位只需设置安全管理员。
数据业务责任人要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”,“上网信息不涉密、涉密信息不上网”的原则处理业务数据。
(一)接受安全管理、安全检查和技术指导,及时报告并协助处理可能引起数据泄露、损坏、丢失或被篡改等安全隐患;
(二)提出数据在采集、传输、处理、发布、存储归档、销毁等过程中的安全需求;
(三)未经审批许可,不得越权复制系统数据用于其他用途,不得将数据带离本单位,不得为没有权限查看系统数据的人员提供数据内容;
(四)要保证和维护系统数据的严肃性、准确性、完整性。不得随意更改数据和业务规程。
业务应用部门与信息化管理部门按照国家统计局规定的统计调查专业、专项普查(人口、经济、农业)、党中央和国务院委托的一次性调查项目以及行政职能部门进行类别划分,各自对所负责的数据进行归纳和分类,由信息化管理部门的信息系统管理员对每一个类别形成分类编码、元数据等规范文档,为后续的数据安全管理工作奠定基础。
业务应用部门在对每个类别的数据进行处理和应用的过程中,分为四个类别:
(一)基础数据:包括初始采集的统计对象的数据、名录、个人信息、企业工厂信息等;
(二)过程数据:包括对基础数据进行编辑审核、初步汇总、分析、统计、净化后所产生的数据;
(三)综合汇总数据:包括对过程数据进行处理后获得的成品数据、非发布数据,以及在数据处理过程中所使用的参数类数据等。
(四)行政文书、统计分析报告的定稿。
业务应用部门应根据数据各个类别的重要性不同、数据所处不同阶段对数据进行安全等级划分,可分为一般数据、重要数据、特别重要数据三个安全级别。
一般数据:对具有一般的使用价值、敏感性、可用性、完整性要求的数据,数据汇集程度低,或数据获取难度低,或数据损坏后恢复难度低,或数据泄露、破坏、丢失对统计系统和国家利益没有造成损害,或已定为信息安全等级保护一级的信息系统涉及的数据,应被划分为一般数据。
重要数据:对与国计民生密切相关的数据,涉及个人信息、商业秘密但不涉及国家秘密的数据,具有较高的使用价值、敏感性、可用性、完整性要求的数据,数据汇集程度较高,或数据获取难度较高,或数据损坏后恢复难度较高,或数据泄露、破坏、丢失对统计系统和国家利益造成较大损害,或已定为信息安全等级保护二级的统计信息系统涉及的数据,应被划分为重要数据。
特别重要数据:对涉及国家安全、国家关键基础设施等国家重要战略资源、涉及个人信息、商业秘密但不涉及国家秘密的数据,具有很高的使用价值、敏感性、可用性、完整性要求的数据,数据汇集程度很高,或数据获取难度很高,或数据损坏后恢复难度很高,或数据泄露、破坏、丢失对统计系统和国家利益造成很大损害,或已定为信息安全等级保护三级及其以上的统计信息系统涉及的数据,应被划分为特别重要数据。
数据随着汇集程度的提高,其安全级别可能也相应提高。业务应用部门应根据数据的汇集程度注意其安全级别的变化,及时调整并通知信息化管理部门,由信息化管理部门按照高安全级别对汇集后的数据采取对应的安全保护措施。
业务应用部门根据所负责的业务数据的安全等级和业务特点,提出业务安全需求。信息化管理部门根据业务安全需求,结合相关主管部门及湖北省统计局的网络安全管理要求,确定数据安全需求。
恩施州统计系统内所辖信息系统的数据安全保护应编制独立的安全保护方案(含技术措施与管理措施),保证数据安全保护措施与信息系统功能同步规划、同步建设、同步使用。
业务应用部门在业务出现变化或发生安全事件后,应检查原有业务安全需求,必要时提出变更需求。信息化管理部门应根据变更需求更新数据安全保护方案。
涉及业务数据安全管理的人员包括内部人员和外部人员。统计局系统内部人员应在自己的权限范围内进行数据访问和使用,不得越权访问和使用数据。各部门要严格执行信息系统数据访问使用审批制度,对业务数据的访问使用管理应填写《信息系统数据访问使用审批表》(见附表1)。
统计局系统内部人员未经审批许可,不得越权将业务数据拷贝复制,不得转移到恩施州统计局所辖信息系统以外的信息系统,不得将数据带离本单位,不得为没有权限查看业务数据的人员查看和透露数据的内容。
统计局系统内部人员在通过应用系统查看、处理和使用业务数据时,如需要离开操作终端,应按序退出应用系统,防止被非授权人员非法使用而导致业务数据被复制、修改、删除以及误操作等危害业务数据的情况发生。
严格规范统计局系统内部人员离岗、离职过程,应及时取消其拥有的账号或权限。
对于因业务协作、交流、参观、学习等有可能接触到恩施州统计系统内所辖信息系统的外部人员,应为其提供一个安全可靠的环境及采取必要的安全措施,以防止其行为对信息系统造成不利影响,防止非授权访问,限制其所能查看、接触的信息内容,防止内部信息泄露。
对于可能会对业务数据安全带来影响的外包服务机构及提供技术支持服务的外部人员,应采取完善的数据安全保护措施,签署保密协议。保密协议中应规定接触业务数据的外部人员,应履行保密义务。
外部人员需要获得业务数据进行测试、调试等工作时,相关责任人应只提供不含有敏感信息的模拟数据。
外部人员的工作范围和工作内容应接受全程监督和控制,防止其操作行为对业务数据造成损害。
接触重要业务数据的外部人员离开恩施州统计局服务岗位后,应遵守签订的保密协议。对于泄露恩施州统计局重要信息的行为,恩施州统计局有权追究其法律责任。
系统管理员要做好统计信息系统内主机系统、数据库、存储等方面的安全运行维护工作,保证重要信息系统的安全稳定运行。
系统管理员对重要数据提供本地数据备份与恢复功能,每天定时备份,并按需求定期对数据进行增量备份和全备份;备份介质在备份场所外存放;提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
安全管理员应通过检测技术手段,排查信息系统中业务数据在传输和存储过程出现被破坏的风险点。一旦检测出错误时,采取必要的措施恢复受到破坏的数据,将数据损失降到最低;应通过加密或其他技术措施实现数据传输和存储的保密性。
安全管理员采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
安全管理员应加强终端的安全控制。
(一)根据湖北省统计局和网络安全主管部门规定的安全策略对全州统计系统数据终端进行安全配置,如安装网络版杀毒软件和安全管理客户端等,除安全管理员外,任何人不能改变其安全配置。
(二)禁止用于运维、采集、处理业务数据等终端计算机通过互联网连接云盘、网盘等互联网存储应用,防止数据泄露。
数据业务责任人应加强信息系统数据业务的安全控制。
(一)加强对业务管理员和操作人员的账号密码的安全管控,知悉账号密码的人员应控制在最小范围内。对于密码泄露造成损失和不良后果的,要追究相关人员的责任。要求密码至少8位,需数字、字母(区分大小写)、特殊符号两者以上的组合。每隔3个月自行修改密码;
(二)严格账号角色权限分配,新增账号按其工作职责和范围分配必要的权限。用户离开原工作岗位,应及时注销账号或对账号权限进行调整;
(三)访问、下载和上传数据使用的PC、PAD等终端设备,应具备访问控制措施,防止未授权人员登录和操作;
(四)做好数据业务办公电脑的恶意代码防治工作,不得私自安装与工作无关的软件及设备,上传文档前要先做好恶意代码查杀工作,不得进行授权以外的非法操作;
(五)定期分类备份业务数据。
终端上所有业务操作均应被限定在业务规定的相关应用程序下进行,且退出该应用程序将无法对业务数据进行操作。
建立终端数据操作安全审计机制,对采集终端、数据处理终端等开启所有数据操作行为的安全审计功能,对违规行为应报警通知。
安全管理员应通过监测系统对信息系统进行监测,并对安全监测日志妥善保存,保存期不少于6个月。保存期内任何人不得对安全监测日志进行修改和删除。
审计管理员定期审计信息系统数据安全情况。定期对数据安全监测日志进行审计检查分析,审计内容包括对数据的授权及非授权访问、是否有破坏、篡改、非法复制业务数据等行为,生成审计记录;每月根据审计记录形成审计报告。如审计过程中发现数据出现安全问题,应立即针对该问题编写审计报告上报恩施州统计局信息安全领导小组办公室。
重大国事活动和政治敏感时期实行日审计制度,审计管理员如发现网络安全事件,应立即上报恩施州统计局信息安全领导小组办公室,并协同相关人员紧急处理。
及时审阅审计报告,确认审计结果。如审计结果显示数据安全出现问题或存在隐患,应立即采取措施进行处理,找出问题原因并及时解决,消除安全威胁和隐患,防止同类安全事件再次出现。
审计管理员应对数据安全审计的记录和数据进行备份存储和安全保护,避免审计记录数据损坏、丢失或遭非法访问与删除、篡改。审计记录数据应保留一年以上。
各县(市)统计局信息系统的数据安全事件及应急处理,应参照《恩施州统计局网络安全应急预案》规定的组织职责和处置程序开展工作。
应针对数据丢失、泄漏、被篡改等安全事件类型制定并完善统计局系统数据安全事件应急响应预案。
当发现数据出现丢失、泄漏、被篡改等安全事件后,应立即报告恩施州统计局信息安全领导小组。数据安全领导小组办公室应按相关的应急响应预案进行处置。
信息化管理部门负责组织开展数据安全测评工作,委托具有专业资质的第三方安全机构开展测评工作,业务应用部门提供支持配合。
针对数据安全测评过程中发现的问题,信息化管理部门应组织制定整改方案,实施整改。整改完成后应重新进行测评,确认问题已得到解决。
为防止数据因各种灾难导致完整性、可用性受到严重破坏,应做好数据防灾备份及恢复工作,建立并维护灾备系统,制定数据恢复计划,定期组织恢复演练,确保在意外事故、灾难发生后,能够在最短时间内完成数据恢复。
按照业务需求、安全级别和数据的重要程度,制定相应的备份方式、备份频度、存储介质、保存期限等备份策略。对于自建信息系统的重要数据,结合本地实际,在完成本地灾备的数据备份基础上,逐步推进同城、异地的灾备数据备份工作。按需求定期进行增量备份和全备份,备份介质场外存放。
业务应用部门提出数据灾备及恢复方面的需求;信息化管理部门制定数据防灾备及恢复策略并执行数据灾备及日常备份工作。
信息系统管理员对所负责的信息系统开展数据灾备工作,并遵守如下规定:
(一)保证灾备环境的正常运作,并且尽量选择在业务空闲时段执行备份工作,避免对联机业务运行造成影响;
(二)按需求定期对业务数据进行增量备份和全备份;
(三)各类数据发生重大变更时,需进行数据全备份;
(四)信息系统需要升级改造时,应先对数据进行全备份。
本细则中数据生产过程是指使用恩施州统计局所辖信息系统进行数据(含各专业业务数据、办公数据及相关管理数据)采集、传输、处理、发布、销毁等过程。
数据采集阶段,各级统计局信息化管理部门应根据采集数据的方式和所采集数据的安全级别,采取相应的安全保护措施。对于各种采集方式涉及的数据输入终端、数据录入人员、数据提供介质等,都应纳入安全管理范围,确保数据在采集过程中不被窃取、篡改、破坏,保证本阶段数据的保密性、完整性、真实性、抗抵赖性。
(一)采集数据使用的PC、PDA等终端设备,应具备访问控制措施,防止未授权人员登录和操作。必要时,应对输入终端内的采集数据进行即时加密。
(二)采集数据通过物理介质获取时,应对承载重要数据的介质(如光盘、U盘、移动硬盘、纸介质等)进行安全保管。使用前应填写《重要数据介质使用审批表》(附表2)并提交进行审批,介质管理应有完善的存储记录、交接手续和使用过程记录,防止损坏和丢失。
(三)对于负责采集数据的人员(包括统计局系统内部工作人员、外部配合数据采集的责任人等),应进行相应的安全培训,使相关人员明确自身所担负的安全职责,强化其数据安全保护意识。
(四)建立严格的操作规程,按照操作规程进行数据录入,保证录入数据的及时性、准确性、保密性、完整性。
各级统计局信息化管理部门在数据传输阶段确定各个传输环节的安全措施并落实相关人员的安全责任,严禁使用非政府部门的电子邮件系统、微信、QQ等社交通讯软件传输处理敏感工作信息,防止数据被窃取、篡改、阻断,在传输过程中保护好数据的保密性、完整性、可用性、抗抵赖性。
各级统计局信息化管理部门要对传输网络中接入的传输终端采取认证措施,经过认证的传输终端方可用于数据传输工作。
各级统计局信息化管理部门对数据传输应进行有效的安全保护,应通过加密传输通道、建立网络准入机制等措施,防止非法用户接入统计专用网络。通过建立备用传输通道、建立负载均衡系统等措施,保障物理信道的安全可靠。
统计专用网络在建设完善过程中,尽可能与其他网络进行物理隔离。进入统计专用网络的数据,应采用安全交换措施(如数据交换中心、网闸、刻录光盘或数据交换专用U盘等)进行数据传输。
数据处理阶段应落实安全责任制,采取相应的安全措施,保护数据不被非法访问、窃取、篡改或破坏。
各级统计局信息化管理部门应根据数据重要程度,采取相应的控制措施进行安全存储保护。对于重要数据,应采取访问授权、加密存储、操作审计和其他有效安全控制措施,严格控制数据的人员范围和权限,妥善做好本地备份、异地备份和灾备工作,对数据访问与使用、备份与恢复等工作进行登记,严禁数据遭到泄漏和破坏。
各级统计局信息化管理部门对需要处理的基础数据要进行有效的访问控制,只允许负责数据处理工作的具有特定权限的人员读取和复制使用,基础数据本身不允许被更改。
各级统计局信息化管理部门应采取安全措施对恩施州统计局所辖信息系统和统计局部署下发的数据处理软件进行安全管理和保护,防止因软件的外泄给数据带来安全风险。
各级统计局信息化管理部门应对数据处理结果按照重要程度进行有效的安全保护。如采取冗余存储、防灾难备份、严格访问控制、数据加密、内容监测及脱敏等措施,防止重要数据被窃取、被破坏、被泄漏。
各级统计局的业务应用部门和信息化管理部门应根据处理工作对象,对数据处理流程中导入、处理、导出、删除等各个环节采取责任人制度进行管理,对每一个处理环节执行操作登记、操作审批、操作核查、记录工作日志等工作流程,有效保护数据。
各级统计局信息化管理部门在统计调查数据发布过程中,应根据湖北省统计局发布数据的相关规定,采取相应的安全保护措施,防止数据被窃取,保证数据在整个发布过程中不被破坏和篡改,维护好数据的可用性、完整性。
在数据发布后,信息化管理部门应对发布数据的网站等信息系统加以监控和保护,进行严格的访问控制和实时安全监测,保护信息系统不被非法越权访问,保护信息系统内的发布数据和信息系统自身配置信息、运行管理日志等信息不被篡改。数据公开和共享依据相关规定执行。
存储数据的存储介质需要进行销毁时,执行严格的申报、审批、执行流程。销毁的整个过程应以文字、影像、照片等形式完整、准确地记录,并将记录长期保存,用于审计备查。
对按规定需要销毁的数据,各级统计局信息化管理部门应事先根据数据的安全级别以及存储介质的类别,确定销毁办法、销毁方式和销毁要求,建立数据销毁策略和安全管理责任制,按照销毁规定执行销毁。
对于各级统计局的责任部门或人员未按本细则的规定操作,导致数据安全受到威胁或遭到破坏,造成损失或不良影响的,可根据损失或影响的程度给予通报处理;情节严重的,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国统计法》《关键信息基础设施安全保护条例》等相关法律、法规和规定进行处理。
本细则由恩施州统计局信息安全工作领导小组办公室负责解释。
本细则自发布之日起施行。
信息系统数据访问使用审批表
申请单位/部门 | 申请日期 | ||
申请人 | 联系电话 | ||
申请目的 | |||
申请使用期限 | 年 月 日至 年 月 日 | ||
申请使用 数据名称 | 数据业务 类别 | ||
申请数据 时间范围 | 年 月 日至 年 月 日 | ||
申请数据 区域范围 | □全州 县市:_______________ 乡镇:_______________ | 使用数据相关应用系统 | |
申请使用范围 | □统计局内部使用 □统计局外部使用 | ||
申请数据 内容范围 | |||
申请使用方式 | 1.查询(不含已公开数据): □本地□远程 2.数据导出:□纸质介质□移动介质□计算机 3.数据调用服务:□数据库调用接口□应用程序调用接口 4.其他: | ||
业务应用部门 负责人审批 | 年月日 | ||
信息化管理部门 负责人审批 | 年月日 | ||
数据安全领导小组(办公室)审批 | 年月日 | ||
备注 |
填表说明:内部人员申请使用期限最长12个月,外部人员申请使用期限最长6个月。
重要数据介质使用审批表
申请单位/部门 | 申请日期 | ||
申请人 | 联系电话 | ||
申请用途 | |||
申请使用期限 | 年 月 日至 年 月 日 | ||
申请使用 介质类别 | 申请数据 区域范围 | □全州 县市:____________ | |
介质数据 内容 | |||
使用范围 | □统计局内部使用 □统计局外部使用 | ||
业务应用部门 负责人审批 | 年 月 日 | ||
信息化管理部门 负责人审批 | 年 月 日 | ||
信息安全领导小组(办公室)审批 | 年 月 日 | ||
备注 |