数据安全管理规定.pdf

. XXX 数据安全管理规定 编 制：_ 审 核：_ 批 准：_ 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有 特别注明，版权均属XXX 所有，受到有关产权及版权法保护。任何个人、机构未经XXX 的 书面授权许可，不得以任何方式复制或引用本文件的任何片断。 . 1. 分发控制 分发对象文档权限说明 XXX 内部员工只读 2. 文件版本信息 版本日期拟稿和修改说明 3. 文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表 示该版本文件为草案，仅可作为参照资料之目的。 . 第一章总则 第一条 为保证 XXX 信息系统核心数据安全，维护数据所有者权利， 明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用的原 则，根据XXX 信息系统安全管理规定及国家信息系统安全等级保护等 有关要求，特制订本规定。 第二条 本规定所管理的数据均为非涉密的数据，XXX 系统已标识密 级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条 本规定适用于全国XXX 信息系统环境中的数据安全管理工作。 XXX 各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条 本规定所称数据所有者是指，对所管理业务领域内的信息或 信息系统，有权获取、创建、维护和授权的业务主管。 第五条 本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条 本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中，非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。 . 第三章职责定义 第七条 数据创建者负责针对其所创建数据的内容和价值提出分类分 级建议，提交对应级别数据所有者确认。 第八条 来自 XXX 信息系统以外的数据，数据承接者视同创建者行使 提出分级分类建议的责任和义务。 第九条 数据所有者具有确认数据类别和敏感级别、确认销毁、提出 技术保障需求、审查自检和审计报告、做出安全事件处置决定等权利和义 务。其中， XXX 业务数据的所有者为XXX 指定的相应业务部门。 第十条 各类数据的责任部门是该类数据的管理者。数据管理者作为 数据所有者的代理者，代理数据所有者从事数据管理工作，负责其所管辖 范围内数据的安全管理工作。数据管理者的职责包括但不限于：数据类别 和敏感级别的标识与声明，根据级别进行管理与保护，数据使用培训，执 行销毁操作并声明，定期自查提交报告，配合数据安全违规调查等。 第四章分类与分级 第十一条数据按其内容和用途不同分为技术类数据、行政管理类 数据、业务类数据以及安全运行类数据。 第十二条数据分级应根据其价值、内容的敏感程度、影响及发放 . 范围进行确定。 第十三条数据管理者负责制定其分管领域内数据敏感等级的划分 规则，并制定和发布本部门或本领域的数据敏感等级目录。 第五章标识与声明 第十四条数据的分类分级标识、声明是数据不可分割的一部分， 自其标识、声明之日起，数据及其标识、声明不得分离，数据管理者和数 据使用者均须按照标识、声明的类别和级别安全管理和使用数据。 第十五条对于文件形式的数据，须由数据管理者在文件明显位置 标识其类别、敏感级别、失效日期等，且文件和标识不能分开。标识应该 醒目，标识格式应统一，标识方法应便于审计。对于非文件形式的高敏感 级别数据，如无法标识，须进行声明。 第十六条失效日期指数据敏感级别的有效性截止日期。到达失效 日期后，应对数据进行重定级。 第十七条对于敏感级别高的数据， 须由管理者对数据名称、 类别、 敏感级别、失效日期等以声明文件的形式进行声明，声明文件须由数据所 有者审批签字。声明文件须跟随数据一起保管和传递。（声明文件模版详 见附件） . 第十八条多个不同敏感级别的数据合并在一起时，按最高敏感级 别给混合数据进行标识和声明。 第六章保管与保护 第十九条数据管理者须按照数据的敏感级别实施对应的保管与保 护措施，并确保满足数据所有者对数据的安全要求。 第二十条数据管理者在日常管理中，须对数据按敏感级别分级防 护，采取对应的存储、归档、设定保存期限等措施。 第二十一条敏感级别高的数据纸质文件须参照XXX 秘密级文件安全 管理规定进行保管和保护。敏感级别高的电子数据须采用必要的访问控制 措施。 第二十二条数据管理工作应该首选技术手段加管理要求实现。必须 加强针对数据管理工作的技术手段的研究、选型、部署、维护等。 第二十三条敏感级别高的数据自产生之日起，所有者提出的技术保 障需求应同步到位。如技术上无法达到，技术部门应持续跟踪技术进展， 逐步使技术手段能够满足各项管理要求；对于已成熟并可采纳的技术手段， 技术部门应验证其功能可靠性，逐步引入，持续优化技术保障工作。 . 第七章数据使用 第二十四条数据使用者在使用数据时，须注意识别数据的敏感级别， 按照其敏感级规范数据操作使用行为；使用中发现问题及时反映，发现违 规行为及时举报，并积极配合违规事件的调查；自觉遵守数据管理规定。 第二十五条数据使用者须保证其所使用数据来源的合法性，不私自 拷贝、使用、传播、保存与自己工作无关的数据。 第二十六条数据使用者和数据管理者无权未经所有者批准向发布范 围以外的单位或个人提供中心数据或其衍生物，否则视为违规；如因工作 原因需要对外提供的，应经数据所有者确认，并记录、备案、备查。 第二十七条XXX 业务数据须按主管业务部门授权或管理规定要求对 外提供，否则视为违规，并需做好数据提供记录，备案、备查。 第二十八条数据管理者要对数据使用情况进行掌控和审计，发现违 规行为及时制止，并依本规定进行处置。 第八章数据销毁 第二十九条数据管理者有按照数据所有者要求清理和销毁原始数据 的义务。 第三十条数据使用者应具有数据安全清理和销毁的意识，具有按 . 照数据管理者的要求清理和销毁本地临时数据、中间文件、过程文件的责 任和义务。 第三十一条数据管理者和数据使用者具有按照规定记录清理和销毁 数据过程，并接受安全管理人员审计的义务。 第三十二条数据管理者和数据使用者在清除和销毁电子数据时，须 保证清除和销毁的彻底性。 第九章安全检查与审计要求 第三十三条数据管理者有义务监督数据的安全使用，负责所管理数 据的自查工作。周期性地检查数据安全使用和管理情况，更新过期的标识 或声明信息，向数据所有者汇报。 第三十四条信息安全领导机构根据信息安全组织授权，独立开展高 敏感级别数据的第三方审计工作。检查和审计数据所有者、数据管理者数 据管理要求的执行情况，向信息安全组织汇报。 第十章数据保护 第三十五条数据保护应遵循适度保护、积极防范、突出重点、分级 管理的原则，通过数据的分类分级进行区别保护、动态保护。 . 第三十六条X 系 X 统信息安全组织，应根据信息安全工作的实际需 要，制定数据保护的具体技术和管理措施。 第三十七条在数据的采集、决策分析、共享发布、存储和废弃的生 命周期各阶段，对数据的相应级别进行防护和处理。 第三十八条应能够检测到系统管理数据、鉴别信息和重要业务数据 在传输和存储过程中完整性受到破坏，并在检测到完整性错误时采取必要 的恢复措施。 第三十九条数据在存储和传输过程中须根据数据的级别采用加密或 其他手段确保其存储安全。 第四十条数据在使用过程中，须根据数据的级别进行控制，严禁 非授权访问、传输和修改。 第四十一条数据交换过程中如涉及交换对象为非海关系统，应确保 对端保护力度不低于海关系统数据保护力度。 第四十二条数据的销毁须严格按照XXX 系统相关标准、规范要求及 国家的法律法规要求进行处理。 第十一章附则 第四十三条对在数据安全管理工作中做出贡献和创造性地开展工作 . 的部门与个人予以表彰和奖励；对违反本规定而引发事故的相关责任人， 按照 XXX 违规违纪相关规定予以处罚。 第四十四条本规定由 XXX 科技发展司负责解释。 第四十五条本规定自发布之日起执行。 附件、声明文件模板 . 附件、声明文件模板 分类分级说明 数据名称： 失效日期：年月日 发放范围： 类别： 技术类业务类 行政管理类 安全运行类 安全运行类 敏感级别： 敏感内部公开 声明者签字： 年月日 数据所有者签字： 年月日 信息安全部门备案： 年月日 注： “数据名称”项填写：文件形式数据的文件名称，或非文件形式数据的数 据内容简称；“失效日期”项填写：数据敏感级别的有效性截止日期；“声 明者”为数据管理者。 请将此文档复印件交备案部门备案 .