[数据安全管理制度]数据安全管理办法

- 1 - XXX 数据安全管理办法 - 2 - 第一章 总则 第一条 为提高 XXX（以下简称“XXX”）数据安全管理， 贯彻执行数据安全管理体系规划，规范数据安全管理和具体实 施流程，保证数据的机密性、完整性、可用性，降低数据被违 法使用和传播的风险，依据 GB/T 37988-2019《信息安全技 术 数据安全能力成熟度模型》、GB/T 39477-2020《信息安 全技术 政务信息共享 数据安全技术要求》、《XXX 大数据发 展条例》等相关规定，结合 XXX 实际情况，特制定本办法。 第二条 本办法适用于 XXX 的数据安全管理工作。 第三条 XXX 应按本办法开展数据安全管理工作。 遵循 “权 责一致、分级保护、全程可控”的原则落实数据安全责任。 (一) 权责一致原则：应明确本机构数据安全防护工作相关 部门及其职责，有关部门及人员应积极落实相关措施，履行数 据安全职责。因不履行或不当行使其职权等造成不良影响或损 害的，均需承担相应的安全责任； (二) 分级保护原则：应根据数据的类型、敏感程度等差异 划分不同的数据安全层级，针对不同安全级别的数据，明确其 在数据生命周期各个环节的安全防护要求，将数据安全性遭受 破坏可能带来的安全影响降至最低； (三) 全程可控原则：应通过与数据安全级别相匹配的安全 管控机制和技术措施，确保政务数据在全生命周期各阶段的保 - 3 - 密性、完整性和可用性，避免数据在全生命周期里被未授权访 问、破坏、篡改、泄漏或丢失等。 第四条 数据安全管理体系建设的总体方针如下： (一) 打造可靠的安全运行环境，保障数据在流动中安全可 控； (二) 以高效的数据保护能力，支持全局政务资源共享业务 发展和创新。 第二章 术语定义 第五条 本办法中提及的“数据”是指 XXX 在履行职责过 程中制作或获取的，以一定形式记录、保存的文字、数字、图 表图像、音频、视频、电子证照、电子档案等各类结构化和非 结构化数据， 包括 XXX 直接或通过第三方依法采集的、 依法授 权管理的和因履行职责需要依托业务系统形成的数据等。 第六条 本办法中提及的“数据安全”是指以数据为中心的 安全，从组织建设、制度流程、技术工具以及人员能力等方面 保护 XXX 数据的可用性、完整性和机密性。 第七条 本办法中提及的“数据资产”是指 XXX 在政务数 据资源编目、采集、共享、应用中形成，由 XXX 拥有或控制， 存在利用价值并为各政务部门提供服务的数据。 第八条 本办法中提及的“个人信息”是指以电子或者其他 方式记录的能够单独或者与其他信息结合识别特定自然人身份 或者反映特定自然人活动情况的各种信息。 个人信息包括姓名、 - 4 - 出生日期、身份证件号码、个人生物识别信息、住址、通信通 讯联系方式、通信记录和内容、账号密码、财产信息、征信信 息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 第九条 本办法中提及的“数据生命周期”是指政务部门在 开展业务和进行数据资源管理的过程中， 对政务数据进行采集、 传输、存储、处理、交换、销毁的整个过程。 第十条 本办法中提及的 “数据所有者” 是指数据所有科室， 是政务数据含义最权威的解释部门，对本局数据负责。 第十一条 本办法中提及的“数据管理者”是指数据管理 科室，对数据进行日常管理，保证数据的完整性、准确性、有 效性和隐私保护。 第三章 组织及职责 第十二条 数据管理组织架构是通过建立与全局数据管理 工作相适应的组织机构和岗位，明确各层级权责，保持内部沟 通顺畅，确保全局数据管理战略的实施。XXX 数据管理组织的 构成分为四个层次，自上而下划分为决策层、管理层、执行层 以及监督层。 第十三条 数据安全决策委员会是 XXX 数据管理的决策 层，是数据管理的最高决策机构，其主要职责包括： (一) 制定全局数据管理整体目标、方针和愿景，审议数据 安全管理策略、体系规划、政策制度以及数据管理领域的重大 事项； - 5 - (二) 统筹资源，协调解决数据管理领域重大事项，审核对 外披露、监管上报及涉事员工处罚； (三) 定期听取数据安全管理小组对数据管理工作的汇报； (四) 对全局数据管理工作进行监督评价。 第十四条 数据安全管理小组是 XXX 数据管理的管理层， 是数据管理各领域工作的直接领导与组织机构，其主要职责包 括： (一) 制定数据安全管理策略、规划及各项管理制度，统一 数据安全管理规范体系； (二) 负责组织各领域业务专家、各单位开展数据管理相关 工作，协调并推进数据管理相关工作并监督落实； (三) 定期组织数据安全相关培训，增强内部文化建设，提 高全体人员对数据安全管理重要性的认识； (四) 向数据安全决策委员会汇报数据安全管理领域的重大 事项及数据安全战略规划执行的整体情况； (五) 针对特殊任务组建专项小组并予以指导，如在智慧城 市系统上线发布前组织开展数据安全评估， 避免未知(如与服务 功能及隐私政策不符)的数据收集、使用、共享等行为。 第十五条 数据安全执行团队是 XXX 数据安全管理的执行 层，其主要职责包括： (一) 定期开展数据安全相关风险评估及技术检测，定期清 查数据，及时调整数据级别及保护措施等； - 6 - (二) 协助数据安全管理小组开展相关工作，如分级分类、 资产梳理和权限控制等，并推动合规落地； (三) 跟进数据安全事件处理，制定数据安全应急预案，定 期开展数据安全应急演练，依据演练结果，修订数据安全应急 预案。 (四) 与本业务科室负责人共同明确、把控本科室数据生命 周期内的安全需求，推动科室内数据安全工作的落地执行； (五) 负责本科室数据资产管理， 审批授权各单位数据使用； 第十六条 各科室员工、合作伙伴参与数据管理执行工作， 履行数据管理相关职责要求，按照各项数据标准与数据管控制 度配合 XXX 开展数据安全工作， 参加数据安全相关培训提升安 全意识，提升风险识别能力，对组织内风险及时申报。 第十七条 XXX 数据安全管理的监督层以安全服务的方式 让安全厂商来完成监督，厂商负责建立监控审计机制，推动并 协助执行团队的建立，监督数据安全工作有效开展。 第四章 数据分类分级管理 第十八条 数据分类分级应基于 XXX 政务数据资产特征以 及国家、行业相关政策与标准，根据其价值、内容的敏感程度、 影响及发放范围进行确定。 第十九条 各业务科室应根据本科室业务内容和范围，识 别本科室业务流程中涉及的数据，并对其进行分类分级管理， 形成本科室的 《数据资产清单》 并报 XXX 数据资源管理局备案， - 7 - 数据分类可根据本科室业务特征进一步划分数据子类。其他业 务参与者应配合数据的识别。 第二十条 各业务科室应定期或在业务发生变更时， 对 《数 据资产清单》进行评审更新，并由局领导审批确认。 第二十一条 XXX 应定期对各科室《数据资产清单》的准 确性和合理性进行检查，不符合信息安全策略及数据分类分级 标准要求的《数据资产清单》应及时评审和更新。 第二十二条 XXX 所承载重要数据的识别和认定工作应遵 照国家及省、市政务部门有关规定执行。重要数据的安全级别 原则上不低于 4 级。 第五章 数据生命周期管理 第二十