第一章 总 则
第一条 为维护国家安全和发展利益,规范统计部门数据处理活动,加强统计数据安全管理,保障统计数据安全,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国统计法》等法律法规,制定本办法。
第二条 本办法适用于统计部门(包括国家统计局各司级行政单位、在京直属企事业单位、各级国家调查队和各级地方统计局)组织实施的统计数据处理活动。
第三条 本办法所称统计数据,是指统计部门在开展统计工作过程中,采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式对信息的记录(包括数字、图表、音频、视频等)。
属于国家秘密的统计数据按照《中华人民共和国保守国家秘密法》等法律、行政法规和国家统计局相关规定执行。
本办法所称统计数据处理信息系统,是指用于统计数据采集、存储、使用、加工、传输、提供、公开、归档、销毁等数据处理相关工作的信息系统。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条 统计数据安全工作坚持总体国家安全观,按照“谁管业务,谁管业务数据,谁管数据安全”原则,坚持统一领导、分级负责,坚持谁生产谁负责、谁管理谁负责、谁使用谁负责。
第五条 统计数据安全纳入国家安全责任制,统计部门各单位主要负责同志是本单位数据安全工作第一责任人;其他班子成员根据工作分工对职责范围内的数据安全工作负领导责任;所有工作人员对岗位职责范围内的数据安全工作负直接责任。
第二章 职责分工
第六条 国家统计局设立数据安全工作领导小组。组长由局党组书记担任,副组长由党组成员和总师担任,成员由各司级单位主要负责人组成。
第七条 国家统计局数据安全工作领导小组在局党组领导下,在国家数据安全工作协调机制的指导下,负责指导、监督统计部门数据安全管理工作。其主要职责是:
(一)贯彻落实党和国家数据安全工作方针政策和法律法规,组织制定统计数据安全规章制度;
(二)将数据安全工作纳入重要议事日程,加强对统计数据安全工作的组织领导、协调保障和督查指导,推动各项任务落实;
(三)组织开展数据安全宣传教育培训,采取多种方式培养数据安全人才,提高全员数据安全责任意识;
(四)建立健全数据安全风险预警机制,执行数据安全工作报告制度,依法依规查处数据安全事件。
第八条 国家统计局数据安全工作领导小组办公室设在办公室(局国安办、网信办),承担领导小组日常工作。其主要职责是:
(一)牵头起草数据安全工作规章制度、数据安全分类分级目录,制定、落实工作计划,报告工作情况;
(二)组织开展数据安全宣传教育培训,协调管理、检查、指导、监督各单位贯彻落实数据安全工作各项规章制度;
(三)协助调查数据安全事件。
国家统计局数据安全工作领导小组办公室日常具体工作由局办公室网络与数据安全监管处承担。
第九条 国家统计局各司级单位指定1名数据安全工作处级联系人,负责本单位数据安全具体工作。
各省级统计局、国家统计局各调查总队、各在京直属企事业单位设立数据安全工作领导小组,组长由党组(党委)书记担任,副组长由党组(领导班子)成员担任,成员可由各处(室)主要负责人担任,并指定处室负责数据安全工作。
各省级统计局、国家统计局各调查总队数据安全工作领导小组负责指导、监督本地区本系统数据安全工作。
第十条 统计部门各单位的主要职责是:
(一)贯彻落实党和国家数据安全工作方针政策和法律法规,贯彻落实国家统计局党组关于数据安全工作的各项工作部署;
(二)加强本单位数据安全工作组织领导,将数据安全与业务工作同谋划、同部署,指导、督促、检查本单位数据安全各项规章制度落实;
(三)建立本单位统计数据分类分级目录,针对不同级别数据,明确数据采集、存储、使用、加工、传输、提供、公开、归档、销毁等阶段的具体分级防护要求和操作规程;
(四)合理确定数据处理活动的操作权限,严格实施人员权限管理;加强离岗离职人员数据安全管理,及时注销账号、清退数据载体、回收或删除所管理的数据等;
(五)开展数据安全监测预警,及时处置本单位数据安全事件,并报告有关情况;
(六)定期分析研判本单位数据安全形势,组织开展数据安全风险评估,研究解决数据安全重要问题,配合做好数据安全审查工作;
(七)组织开展数据安全教育和培训,加强数据安全防护能力建设;
(八)对本单位建设、运行、维护的统计数据处理信息系统和本单位所委托的外包服务等实施数据安全管理;
(九)履行法律法规规定的其他数据安全义务。
第十一条 统计数据处理信息系统建设运维单位的主要职责是:
(一)组织统计数据处理信息系统的规划、建设和运维,保障数据处理信息系统满足统计数据安全管理要求,保障数据处理信息系统运行安全;
(二)组织编制处理重要统计数据及核心统计数据信息系统的数据安全保护方案;
(三)在统计数据处理信息系统开发、部署和使用阶段,应同步规划、同步建设、同步运行安全防护措施;
(四)根据统计数据处理信息系统存储、处理数据的最高级别,按照国家有关标准采取相应的数据安全防护策略,保证信息系统具备数据安全主动防护和监测预警能力;
(五)定期分析研判统计数据处理信息系统的数据安全隐患,及时报告有关情况;
(六)对因工作需要接触到的统计数据依法依规履行数据安全责任;
(七)履行法律法规规定的其他数据安全义务。
第十二条 接触和处理统计数据的人员的主要职责是:
(一)遵守数据安全相关法律法规,严禁非法采集、存储、使用、加工、传输或销毁统计数据,严禁未经批准修改、复制或导出统计数据;
(二)严格执行数据安全各项规章制度和保护方案,不得擅自改变或简化数据安全保护有关工作流程或操作步骤,不得擅自修改系统安全配置;
(三)配合完成数据安全管理和检查工作,及时协助处理数据安全隐患、事件;
(四)不得擅自对外提供或以任何方式泄露重要数据和核心数据,不得非法买卖统计数据;
(五)履行法律法规规定的其他数据安全义务。
第三章 统计数据分类分级管理
第十三条 统计部门各单位依据统计数据分类分级标准规范开展统计数据分类分级工作。
各省级统计局、国家统计局各调查总队组织开展本地区、本系统的统计数据分类分级管理及重要统计数据和核心统计数据识别工作。
第十四条 统计部门各单位将重要统计数据和核心统计数据目录逐级审核、汇总,报送国家统计局数据安全工作领导小组办公室。重要统计数据和核心统计数据目录内容发生变化的,应当在发生变化的一个月内报送上级审核。
第十五条 统计数据安全实行分类分级防护,不同安全级别数据同时被处理且难以分别采取保护措施的,应当按照其中安全级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
重要统计数据控制出境,未经评估或批准禁止出境。核心统计数据禁止出境,使用和共享从严管控,除统计部门依法履职外,未经国家数据安全协调机制办公室批准,核心统计数据不得跨主体流动。
第四章 统计数据处理信息系统安全管理
第十六条 统计数据处理信息系统应对数据采集、传输、存储、加工等环节采取有效的数据安全防护措施。采用数据防泄露技术对终端、网络等关键数据出口进行监控和防护;记录数据处理、权限管理、人员操作等日志,部署监控工具对数据异常访问和操作进行告警和审计。日志保存时长不少于6个月。
第十七条 与互联网连接的统计数据处理信息系统,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等要求,存储处理重要统计数据的要落实三级及以上等级保护要求,存储处理核心统计数据的要落实四级或关键信息基础设施保护要求。
第十八条 统计数据处理信息系统应建立数据容灾备份机制,保证数据遭到删除、篡改、破坏时可恢复。处理重要统计数据和核心统计数据的信息系统应当定期对数据进行容灾备份,定期开展数据备份恢复演练,保证信息系统正常运行。存储核心统计数据,还应当实施异地容灾备份。
第十九条 统计数据处理信息系统应采用身份鉴别与访问控制策略,严格权限管理。建立数据权限申请和变更审批流程,按照最少够用、职权分离原则为不同账户分配所需权限,严格控制接触数据的范围。及时删除或停用多余的、过期的账户和权限。
统计数据处理信息系统运维人员的权限分配应仅满足运维管理需要,确有其他需要的,须进行严格的权限审批。系统最高权限应由信息系统建设运行单位审批和管理。
第二十条 统计数据处理信息系统账号应采用实名制注册,设置强口令并定期修改,不得使用默认口令或弱口令,相关人员仅能使用本人实名注册的账号登录系统进行操作,不得使用明文传输或存储账号信息和口令。
账号拥有者应妥善保管账号及口令等鉴别信息,禁止共享、出借、售卖账号。一旦发现账号鉴别信息泄露,应及时采取更改密码、停用账号、上报账号管理员等方式保障账号安全。账号拥有者对本人账号的操作承担直接责任。
第二十一条 用于统计数据处理活动的终端设备应部署防病毒、终端入侵检测、数据防泄露等安全管理措施,及时阻断危险操作和威胁行为,防范数据泄露风险。
第二十二条 委托企业、专业机构等参与统计数据处理信息系统建设、数据处理活动,委托单位对外包服务的数据安全负主体责任。委托单位应当通过签订合同、安全保密协议、旁站等方式,明确并督促、检查、监督被委托单位履行相关数据安全义务和责任。外包服务管理按照国家统计局数字化建设中外包网络和数据安全管理的相关规定执行。
第五章 统计数据处理全流程安全管理
第二十三条 统计数据的采集、存储、使用、加工、传输、提供、公开、归档、销毁等各阶段,应当根据数据的安全级别,采取相应的安全防护措施,保障统计数据的保密性、完整性和真实性,确保统计数据不被泄露、篡改或破坏。
第二十四条 采集统计数据,应当在统计调查制度和相关管理规范中明确数据采集的目的、用途、方式、范围、来源、渠道等。加强重要统计数据和核心统计数据收集人员、设备的管理。
通过互联网应用平台开展问卷调查获取统计数据,应根据相关法律法规开展相关工作。
通过外单位获取重要统计数据和核心统计数据,应当遵守数据提供方相关数据安全要求。
第二十五条 存储统计数据,应当依据法律法规规定的方式和期限存储。重要统计数据和核心统计数据应当存储在境内,采用符合国家相关标准规定的校验技术、密码技术等措施进行安全存储。
存储重要统计数据和核心统计数据的介质(硬盘、光盘、优盘、纸介质等)应当安全存放保管,并记录存储内容、交接和使用过程,防止被不相干人员读取,防范数据损坏、丢失和泄露。
第二十六条 对统计数据进行汇总加工、开展分析决策等,应确保数据处理环境按数据安全级别有相应的安全措施,明确数据的使用规范,加强访问控制。
重要统计数据和核心统计数据应当严格限制批量修改、拷贝、下载、删除等操作的权限,仅允许访问使用所需最小范围内的业务数据。
统计数据处理信息系统的重要数据和核心数据导入导出应进行严格审批。
第二十七条 传输统计数据,应当根据数据类型、级别和应用场景,采取相应的安全策略和保护措施。在线传输重要统计数据和核心统计数据,应当采取符合国家相关标准规定的校验技术、密码技术、脱敏去标识化技术、安全传输通道或者安全传输协议等措施,并对接入的传输终端采取认证措施。
使用移动存储介质离线传输重要统计数据和核心统计数据时,应采取必要的保护措施,不应使介质离开相关责任人,不应在无人监管情况下通过第三方进行传递,确保介质安全和数据传输安全。
第二十八条 对外提供统计数据,应当明确提供的范围、类别、条件、程序等,对过程进行严格审批并存档。
对外提供重要统计数据和核心统计数据,必要时可通过签署相关协议或承诺书的方式,要求数据获取方对所提供数据采取安全保护措施,且数据使用范围符合相关法律法规。
第二十九条 统计数据公开应当遵循公正、公平、便民的原则,按照相关规定及时、准确公开。涉及公开重要、敏感统计数据的,应开展数据安全风险评估。
在统计数据发布后,应对发布数据的网站等信息系统加以保护,进行实时安全监测,保护信息系统不被非法越权访问,保护信息系统内的发布数据和信息系统自身配置信息、运行管理日志等信息不被篡改。
第三十条 统计调查任务结束后,调查任务承担单位应按照统计调查制度实际要求及时进行统计数据归档保存。数据归档系统应满足数据安全分级保护要求,以保证基础数据的安全可用。
第三十一条 按规定需要销毁的数据,应根据数据的安全级别以及存储设备的类别,确定销毁办法、销毁方式和销毁要求,按规范流程进行销毁,对审批和销毁过程进行记录和留存。
重要统计数据和核心统计数据存储介质的销毁,应严格执行审批流程。存储介质的登记、审批、交接等过程应以文字、影像、照片等形式完整、准确地记录,并长期保存,用于审计备查。
第三十二条 国家统计局根据有关法律和我国缔结或者参加的国际条约、协定,向国际组织和国(境)外机构提供统计数据,并依法依规进行数据出境安全评估和审批。
国家统计局依法进行涉外社会调查项目审批,加强与国家相关部门沟通与协作,防范和化解涉外调查领域数据安全风险。
第六章 统计数据安全监测预警与应急管理
第三十三条 国家统计局建立统计数据安全风险监测预警机制,统筹监测预警技术手段建设,形成监测、溯源、预警、处置等能力,与相关部门加强信息共享。
各省级统计局、国家统计局各调查总队应当建立统计数据安全监测预警机制,组织开展本地区、本系统数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第三十四条 国家统计局建立统计数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,统计部门各单位按要求开展数据安全风险信息上报和共享。
第三十五条 统计数据处理信息系统运维单位应根据数据安全保护需求,对用户操作行为进行监测,设置危险操作阻断机制,及时制止高风险操作,记录并报送相关信息。
第三十六条 统计数据处理信息系统应具备满足数据安全管理要求的日志审计监测和抽查分析功能。信息系统建设、运维单位和数据处理单位应共同开展常态化日志抽样审计,每年至少组织开展一次全量日志审计。审计内容包括但不限于对数据的非授权访问、破坏、篡改、复制等操作行为。
第三十七条 国家统计局制定统计数据安全事件应急预案,组织协调重要统计数据和核心统计数据安全事件应急处置工作。
统计部门各单位发生涉及重要统计数据和核心统计数据的安全事件,应当第一时间上报国家统计局数据安全工作领导小组办公室,并及时报告事件发展和处置情况。
各省级统计局、国家统计局各调查总队应当制定统计数据安全应急预案,组织开展本地区、本系统数据安全事件应急处置工作。
第三十八条 统计部门各单位应当按照国家统计局数据安全工作领导小组要求,自行或者委托数据安全服务机构定期开展统计数据安全风险评估。
统计数据安全风险评估报告应及时向国家统计局数据安全工作领导小组报送,内容应当包括处理的重要统计数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第七章 责任追究
第三十九条 统计部门各单位应当接受对数据安全工作的投诉、举报并及时依法处理,对投诉、举报人的相关信息予以保密。
第四十条 国家统计局数据安全工作领导小组在履行统计数据安全监督管理职责中,发现统计数据处理活动存在安全风险或隐患的,可以按照规定权限和程序约谈相关单位,并要求采取措施整改到位。
第四十一条 违反本办法造成危害或不良后果的,依规依纪依法对直接负责的主管人员和其他直接责任人员追究责任,并对负有领导责任的人员进行问责;构成犯罪的,依法追究刑事责任。
第八章 附 则
第四十二条 非统计调查类数据处理活动,严格落实数据安全责任制,有相关行业标准规范的,参照相关行业标准规范执行。
第四十三条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第四十四条 本办法由国家统计局数据安全工作领导小组办公室负责解释。
第四十五条 各省级统计局、国家统计局各调查总队应根据本办法,制定本地区、本系统统计数据安全管理相关规定,报国家统计局数据安全工作领导小组办公室备案。
第四十六条 本办法自2022年11月11日起施行,《国家统计信息系统数据安全管理办法(试行)》(国统字〔2017〕214号)同时废止。