3月28日,据自然资源部消息:各省、自治区、直辖市自然资源主管部门,新疆生产建设兵团自然资源局、上海市海洋局、福建省自然资源厅省海洋与渔业局、山东省海洋局、广西壮族自治区海洋局、国家林业和草原局、中国地质调查局等部直属单位,各派出机构、各司局:
经国家数据安全工作协调机制同意、部领导同意,现将《自然资源领域数据安全管理办法》印发给你们。 请结合实际认真贯彻落实。
附录:
自然资源领域数据安全管理措施
第一章 一般规定
第一条 规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人和组织合法权益,维护国家安全和发展利益。 根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《密码动物法》等法律法规,制定本办法中华人民共和国。
第二条 自然资源主管部门履行职责在中华人民共和国境内和境外进行自然资源领域的非保密数据处理活动及其安全监管,应当遵守有关法律的规定、规定和本办法的要求。
第三条 本办法所称自然资源领域数据,是指开展自然资源活动过程中采集、产生的数据,主要包括基础地理信息、遥感影像等地理信息数据、土地、矿产、森林、草原、水体和湿地。 、海域和岛屿等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途控制、资产管理、耕地保护等自然资源管理数据,生态修复、开发利用、不动产登记等
本办法所称自然资源领域数据处理者(以下简称数据处理者)是指自然资源行业中开展自然资源领域数据处理活动的各类单位。
本办法所称数据安全,是指采取必要措施,保证数据处于有效保护和合法利用的状态,以及保证持续安全的能力。
第四条 自然资源部在国家数据安全工作协调机制的统筹协调下,承担自然资源行业和领域的数据安全监管职责,对全国自然资源主管部门、海洋主管部门负责监督指导。各省、自治区、直辖市(以下统称地方行业监管部门)开展数据安全监管。 国家林业和草原局具体负责森林、草原、湿地、沙漠的数据安全监管,并将参照本办法制定具体制度。
地方行业监管部门负责本地区自然资源领域数据处理活动和安全保护的监督管理。
自然资源部、国家林业和草原局和地方行业监管部门统称为行业监管部门。
行业监管部门将数据安全纳入党委(党组)国家安全责任体系,按照“谁负责、谁负责”的原则,落实本行业、本地区、本领域的数据安全指导监督职责。业务,谁负责数据,谁负责数据安全”。
第五条 自然资源部、国家林业和草原局应当推动自然资源领域数据开发利用和数据安全标准体系建设,组织制定、修订和推广应用相关标准。标准。
第六条鼓励自然资源领域数据依法共享、开放和开发利用,支持数据创新应用。 积极构建数据开发利用与安全产业协调发展的发展模式,不断提升数据安全能力,维护国家安全、社会稳定以及组织和个人权益。
第七条 支持开展自然资源领域数据安全常态化宣传教育。 采取多种方式培养数据开发利用技术、数据安全等专业人才,促进人才交流。
第二章 数据分类与分级管理
第八条 自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别、数据安全保护等标准规范,指导实施数据分类分级管理。编制行业重要数据和核心数据目录,实行动态管理。 国家林业和草原局根据自然资源领域数据分类分级标准,结合工作需要,编制林业草原领域数据安全标准和规范,指导林业草原分类分级工作编制林业、草原重要数据和核心数据目录,实行动态管理。
地方行业监管部门按照自然资源领域数据分类分级标准和标准,组织开展自然资源领域数据分类分级管理以及重要数据和核心数据的认定和审核。编制本地区自然资源领域重要数据和核心数据目录,并报自然资源部。 目录如有变更,应及时报告并更新。
数据处理者应当按照自然资源领域数据分类分级标准,定期整理填写重要数据和核心数据目录。
第九条 根据行业特点和业务应用,自然资源领域数据分类类别包括但不限于地理信息、自然资源调查监测、国土空间规划、自然资源管理等,具体参照数据自然资源领域的分类分级标准。
通过对自然资源领域数据的重要性、准确性、规模、安全风险以及数据价值、可用性、共享性、开放性等进行综合分析,确定数据被篡改、破坏、泄露、或非法获取或利用。 将影响对象、影响程度、影响范围分为一般数据、重要数据和核心数据。
在此基础上,数据处理器可以将数据细分为类别和通用数据级别。
第十条 核心数据是指领域、群体、区域覆盖度较高或者准确度较高、规模较大、有一定深度的重要数据。 一旦非法使用或共享,可能直接影响政治安全。 核心数据主要包括涉及国家安全重点领域的数据、涉及国计民生、重大公共利益的数据以及国家有关部门评估确定的其他数据。
重要数据是指特定领域、特定人群、特定区域的数据,或者达到一定精度和规模的数据。 一旦泄露、篡改、毁损,可能直接危害国家安全、经济运行、社会稳定、公共卫生安全。
一般数据是指除重要数据和核心数据之外的其他数据。
结合自然资源领域数据的特点,满足以下参考指标中两项(含)以上的数据为重要数据。
(一)支撑党中央、国务院赋予的“两统一”职责,在行业中具有不可替代性、独一无二性。 一旦发生数据篡改、泄露或服务中断等安全事件,将影响自然资源部门履行职责,给国家带来负面影响。 对范围内的服务对象有重要影响的数据。
(二)涉及国计民生、为其他行业、领域提供基础自然资源数据支撑,发生数据安全事件将对其他行业、领域产生重大影响的数据。
(三)数据覆盖多省乃至全国,规模大、精度高、极其敏感、重要。
(四)直接影响国家关键信息基础设施正常运行和服务的数据。
(五)危害国家安全和国家经济竞争力,危害公众对公共服务的接受程度,危害公民的生存条件和稳定的工作生活环境,危害公民生命财产安全和其他合法权益,引起社会恐慌的数据, ETC。
(六)我国法律、法规和规范性文件规定的其他自然资源重要数据。
符合重要数据指标、关系国家经济命脉、重要民生、重大公共利益、政治安全的数据,是核心数据。
第十一条 自然资源部所属数据处理单位应当将本单位重要数据和核心数据目录报送自然资源部,国家林业和草原局所属数据处理单位应当将本单位重要数据和核心数据目录报送自然资源部。自然资源部。 国家林业和草原局应当报送,其他数据处理机构应当将本单位的重要数据和核心数据目录报送当地行业主管部门。 报告内容包括但不限于数据类别、级别、规模、准确性、来源、载体、使用范围、对外共享、跨境传输、安全情况和责任单位情况等,但不包括数据内容本身。
地方行业监管部门应当在数据处理者提交报告申请后20个工作日内完成审核。 报告内容符合要求的,报自然资源部审核确认。 自然资源部收到申请后需要20个工作日。 重要数据认定当日完成,核心数据须报国家数据安全协调机制认定; 对不符合要求的,应当及时反馈申请人并说明理由。 申请人应当在收到反馈后十五个工作日内再次提出申请。
报告内容发生重大变更的,数据处理者应当自变更之日起三个月内完成变更手续。 重大变更是指数据内容发生变化导致原级别不再适用,或者某些类型重要数据、核心数据规模变化超过30%等。
第三章 数据全生命周期安全管理
第十二条 数据处理者对数据处理活动的安全负主要责任,对各类数据实行分级保护。 如果同时处理不同级别的数据,难以单独采取保护措施的,应当按照最高级别的要求实施保护,确保数据继续得到有效保护和合法使用。
(一)建立数据安全管理制度,针对不同级别的数据,制定数据生命周期各环节具体的分级保护要求和操作流程。
(二)根据需要配备数据安全管理人员,协调数据处理活动的安全监督管理,协助行业监管部门开展工作。
(三)利用互联网等信息网络开展数据处理活动时,必须落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。
(四)应当采取相应的技术措施和其他必要措施,保障数据安全,防止数据被篡改、毁坏、泄露或者非法获取、利用。
(五)合理确定数据处理活动的操作权限,严格实行人员权限管理。
(六)根据应对数据安全事件的需要,制定应急预案,开展应急演练。
(七)定期对员工进行数据安全知识和技能的教育培训。
(八)法律、法规等规定的其他措施。
重要数据和核心数据处理者还应该:
(一)建立覆盖本单位相关部门的数据安全工作制度,明确数据安全负责人和管理机构,建立常态化的沟通协作机制。 单位法定代表人或者主要负责人是数据安全第一责任人。 分管数据安全领导班子成员为直接责任人员。 其他成员负责领导职责范围内的数据安全工作,履行数据安全保护义务。 ,接受监督。
(二)明确数据处理关键岗位及岗位职责,要求关键岗位人员签署数据安全责任书。 责任书的内容包括但不限于数据安全岗位职责、义务、处罚、注意事项等。数据处理权限应根据业务工作需要和最小授权的原则,根据岗位职责设置,应控制重要数据的访问范围。 当人员变动时,应及时调整权限。 涉及核心数据的相关关键岗位人员、信息系统建设和运维单位应当报送公安机关、国家安全机关进行国家安全背景审查。
(三)建立内部登记审批机制,严格管理重要数据、核心数据的处理活动,记录保存时间不少于六个月。
(四)在数据生命周期的各个环节,综合运用加密、认证、认证、脱敏、验证、审计等技术手段进行安全防护,并按照法律、法规和规章的规定,使用商用密码进行保护。国家相关规定。 。
(五)涉及重要数据信息系统建设、运营、维护的项目,未经委托人批准,不得转包或者转包。 未经委托人明确授权,施工、运维人员不得处理委托人的重要数据。 信息系统建设、运行维护过程中收集、产生的涉及重要数据的数据不得移作他用。 服务完成后,应当按照与客户的约定进行处理或及时删除。
(六)加强人员和资金保障。
第十三条 数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。 法律法规对数据收集目的和范围有规定的,应当在法律法规规定的目的和范围内收集。
数据采集过程中,应根据数据安全级别采取相应的安全措施,加强对重要数据和核心数据采集生产人员和设备的管理,对采集来源、时间、类型、数量、准确性、区域等进行管理。 、频率、流向等做好记录。
通过间接渠道获取重要数据、核心数据的,数据处理者应当与数据提供者签署相关协议、承诺书等,明确双方的法律责任。
第十四条 数据处理者应当按照法律法规规定的方式和期限保存数据。 可以从物理与环境安全、网络与通信安全、设备与计算安全、应用与数据安全等方面加强数据存储安全管控,确保存储数据的完整性、保密性、真实性和可用性。
若存储重要数据,需落实三级及以上网络安全等级保护要求。 核心数据的存储必须满足关键信息基础设施的安全防护要求或四级网络安全等级防护要求。
第十五条 数据处理者开展数据处理和使用活动时,应当采取访问控制、数据防泄露、操作审计等管理控制措施,确保过程安全、合规、可控、可追溯,防止数据泄露、数据泄露、数据泄露等。数据关联挖掘和分析过程。 泄露有价值信息和个人隐私的安全风险,明确数据使用和处理过程中的相关责任,确保数据的正确处理和使用。 在处理和使用过程中,应根据数据级别采取相应措施,保护数据的安全。 使用的数据必须真实可靠,数据来源和收集过程必须经过审查和验证。 若涉及利用数据进行自动化决策,应保证决策的透明度和结果的公平合理。 在处理和使用重要数据和核心数据时,还应实施严格的访问控制,并建立数据可信可控、日志保留和审计、风险监测和评估、实时监控、应急响应等相关技术和管理机制。应建立数据可追溯性。
第十六条 数据处理者应当根据传输数据的类型、级别和应用场景制定安全策略并采取保护措施。 传输重要数据和核心数据时,应当采用验证技术、密码技术、安全传输通道或安全传输协议等措施。
第十七条 数据处理者应当按照有关规定安全、有序地提供数据,明确提供的范围、类别、条件、程序等。 所提供的数据应当限制在实现数据接收者处理目的的最小范围内,并告知数据接收者按照相应级别进行分类分级保护,采取必要的安全保护措施,并签署同意书涉及重要数据时,与数据接收方签订数据安全协议。 应加强重要数据共享调用过程中的安全管控,采取技术措施定期监控数据共享调用情况,并采取风险隔离、认证鉴权、威胁报警等安全防护措施。配备。 涉及核心数据提供和共享的,应当采取必要的安全保护措施,并向自然资源部报告。 如果今年1月1日起总量可能达到30%以上,应上报自然资源部做好国家数据安全工作。 协调机制组织风险评估。 国家机关依法履行职责或者单位内部流动的除外。
第十八条 数据处理者应当在数据披露前分析判断对国家安全和公共利益可能产生的影响。 存在重大负面影响或风险的,不得披露。 政府机关、部门应当遵循公正、公平、便民的原则,按照规定及时、准确公开政务数据,但依法不予公开的除外。
第十九条 数据处理者应当建立数据销毁制度,明确销毁对象、规则、程序和技术要求,记录并保存销毁活动。 根据法律、法规、合同约定等规定要求销毁的,数据处理者应当销毁相应数据。
销毁重要数据和核心数据时,必须采取必要的安全保护措施,并将数据销毁计划提前报告行业监管部门。 重要数据和核心数据目录发生变更的,必须及时向行业主管部门报告,不得以任何理由、任何方式恢复已毁坏的数据。
第二十条 中华人民共和国境内的数据处理者收集、产生的重要数据应当在中华人民共和国境内存储。 确需向境外提供的,数据处理者应当执行国家网信部门数据出境安全评估的相关规定。
第二十一条 数据处理者因重组等原因需要传输数据的,应当明确数据传输计划。 若涉及重要数据,应采取必要的安全保护措施,并将数据传输方案提前报告行业监管部门。 重要数据目录发生变更的,应当及时向行业监管部门报告。
第二十二条 数据处理者委托他人处理数据或者与他人共同处理数据的,数据安全责任不因委托而变化。 通过签订合同协议等方式明确委托方和受托方的数据安全责任和义务。 如果涉及重要数据,委托方应将安全作为重要考虑因素。 应评估或验证受托方的数据安全保护能力和资格,履行严格的审批程序,明确受托方的数据处理权限和保护责任,并监督受托方履行数据安全保护义务。
除法律、法规等另有规定外,未经委托方同意,受托方不得向第三方提供数据。
第二十三条 数据处理者应当记录数据全生命周期的数据处理、权限管理、人员操作等日志,并采用商用加密技术保护日志的完整性。 其中,一般数据的日志保留时间不少于六个月。 涉及重要数据安全事件处理和追溯的,相关日志保存时间不少于一年。 涉及向他人提供、委托处理或者共同处理重要数据的,相关日志保存时间不少于一年。 日志保存期限不得少于三年。 涉及核心数据安全事件处理、追溯的相关日志保存期限不少于三年。
第四章 数据安全监测预警与应急管理
第二十四条 自然资源部按照国家相关标准和程序组织建立自然资源领域数据安全风险监测机制,建立自然资源领域数据安全风险监测预警体系。对数据安全风险和事件级别进行分类,组织建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,并加强与相关部门的信息共享。 国家林业和草原局组织建立林草数据安全风险监测预警机制,划分林草数据安全风险和事件级别,组织建设林草数据监测预警技术手段。
地方行业监管部门应当建立本地区数据安全监测预警机制,组织开展本地区自然资源领域数据安全风险监测,按照有关规定及时发布预警信息,通知该地区的数据处理者及时采取应对措施。
数据处理者应当开展数据安全风险监测,及时识别安全风险,并采取必要措施防范数据安全风险。
第二十五条 自然资源部组织指导开展自然资源领域数据安全风险评估等工作。 国家林业和草原局组织指导森林草原数据安全风险评估等工作。
地方行业监管部门负责组织开展本地区自然资源领域数据安全风险评估。
重要数据处理者应当自行或者委托第三方评估机构对其数据处理活动至少每年进行一次风险评估,及时整改风险问题,并向行业监管机构提交风险评估报告。 风险评估报告应包括处理的重要数据的类别和数量、数据处理活动的状况、面临的数据安全风险、对策及其有效性等。数据处理者应保存风险评估报告至少三年。 核心数据处理者优先使用第三方评估机构进行风险评估。
数据处理者在组织重要数据安全风险评估时,应对数据查询、下载、修改、删除等关键操作日志进行审计分析,发现违规或异常行为的,应当及时采取相应处置措施。
第二十六条 自然资源部组织建立自然资源领域数据安全风险信息报告机制,统一收集、分析、研判、报告数据安全风险信息。 国家林业和草原局组织建立森林草原数据安全风险信息报告机制。
地方行业监管部门对本地区自然资源领域数据安全风险进行汇总分析,在对数据安全风险发展趋势、规模、关联性、实际危害等进行综合分析研判的基础上,及时报告可能存在的风险。造成重大及以上安全事故的,向自然资源部报告。
数据处理者应当及时向行业监管部门报告可能引发重大及以上安全事件的风险。
第二十七条 自然资源部组织制定自然资源领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置。 国家林业和草原局组织建立森林草原数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置。
地方行业监管机构组织并执行对各自地区自然资源领域数据安全事件的紧急响应。 应立即将涉及重要数据和核心数据的安全事件报告给自然资源部,并且应及时报告事件的开发和处理。
发生数据安全事件后,数据处理器应根据紧急计划及时进行应急响应。 涉及重要数据和核心数据的安全事件应尽快向行业监管机构和当地公共安全部门报告,并在事件处理完成后的一周内提出摘要报告。 每年向行业监管机构报告数据安全事件的处理。
数据处理器应立即将可能损害用户合法权利和利益的数据安全事件告知用户,并提供减轻危害的措施。
第五章 监督检查
第28条行业监管机构应监督和检查数据处理器的数据分类和分层保护以及这些措施的要求。 数据处理器应与行业监管机构的监督和检查合作。
第29条在国家数据安全工作协调机制的统一组织下,自然资源部应根据法律与相关部门合作,以进行数据安全审查工作,以影响影响或影响的自然资源领域的数据处理活动可能会影响国家安全。
第30条数据处理器及其委托数据安全风险评估机构的工作人员应严格保留机密的个人信息,商业秘密等。他们在履行职责期间学习,并且不得透露或非法向他人披露或非法提供他们。
