您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
自然資源部印發(fā)《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》
自然資源部關(guān)于印發(fā)《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》的通知
各省、自治區(qū)、直轄市自然資源主管部門,新疆生產(chǎn)建設(shè)兵團(tuán)自然資源局,上海市海洋局、福建省海洋與漁業(yè)局、山東省海洋局、廣西壯族自治區(qū)海洋局,國家林業(yè)和草原局,中國地質(zhì)調(diào)查局及部其他直屬單位,各派出機(jī)構(gòu),部機(jī)關(guān)各司局:
經(jīng)國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制批準(zhǔn),部領(lǐng)導(dǎo)同意,現(xiàn)將《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》印發(fā)給你們,請結(jié)合實(shí)際認(rèn)真貫徹執(zhí)行。
自然資源部
2024年3月22日
自然資源領(lǐng)域數(shù)據(jù)安全管理辦法
第一章 總 則
第一條 為規(guī)范自然資源領(lǐng)域數(shù)據(jù)處理活動,加強(qiáng)數(shù)據(jù)安全管理,保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,保護(hù)個人、組織的合法權(quán)益,維護(hù)國家安全和發(fā)展利益,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國密碼法》等法律法規(guī),制定本辦法。
第二條 在中華人民共和國境內(nèi)開展的,或在境外履行自然資源部門職責(zé)過程中開展的自然資源領(lǐng)域非涉密數(shù)據(jù)處理活動及其安全監(jiān)管,應(yīng)當(dāng)遵守相關(guān)法律法規(guī)和本辦法的要求。
第三條 本辦法所稱自然資源領(lǐng)域數(shù)據(jù),是指在開展自然資源活動中收集和產(chǎn)生的數(shù)據(jù),主要包括基礎(chǔ)地理信息、遙感影像等地理信息數(shù)據(jù),土地、礦產(chǎn)、森林、草原、水、濕地、海域海島等自然資源調(diào)查監(jiān)測數(shù)據(jù),總體規(guī)劃、詳細(xì)規(guī)劃、專項規(guī)劃等國土空間規(guī)劃數(shù)據(jù),用途管制、資產(chǎn)管理、耕地保護(hù)、生態(tài)修復(fù)、開發(fā)利用、不動產(chǎn)登記等自然資源管理數(shù)據(jù)。
本辦法所稱自然資源領(lǐng)域數(shù)據(jù)處理者(以下簡稱數(shù)據(jù)處理者),是指開展自然資源領(lǐng)域數(shù)據(jù)處理活動的自然資源行業(yè)各類單位。
本辦法所稱數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
第四條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下,自然資源部承擔(dān)自然資源行業(yè)、領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé),負(fù)責(zé)督促指導(dǎo)各省、自治區(qū)、直轄市自然資源主管部門、海洋主管部門(以下統(tǒng)稱地方行業(yè)監(jiān)管部門)開展數(shù)據(jù)安全監(jiān)管。國家林業(yè)和草原局具體承擔(dān)森林草原、濕地荒漠等數(shù)據(jù)安全監(jiān)管職責(zé),參照本辦法制定具體制度。
地方行業(yè)監(jiān)管部門分別負(fù)責(zé)對本地區(qū)自然資源領(lǐng)域數(shù)據(jù)處理活動和安全保護(hù)進(jìn)行監(jiān)督管理。
自然資源部、國家林業(yè)和草原局及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。
行業(yè)監(jiān)管部門將數(shù)據(jù)安全納入黨委(黨組)國家安全責(zé)任制,按照“誰管業(yè)務(wù),誰管數(shù)據(jù),誰管數(shù)據(jù)安全”原則,落實(shí)本行業(yè)本地區(qū)本領(lǐng)域數(shù)據(jù)安全指導(dǎo)監(jiān)管責(zé)任。
第五條 自然資源部、國家林業(yè)和草原局推進(jìn)自然資源領(lǐng)域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè),組織開展相關(guān)標(biāo)準(zhǔn)制修訂及推廣應(yīng)用。
第六條 鼓勵自然資源領(lǐng)域數(shù)據(jù)依法共享開放和開發(fā)利用,支持?jǐn)?shù)據(jù)創(chuàng)新應(yīng)用。積極構(gòu)建數(shù)據(jù)開發(fā)利用和安全產(chǎn)業(yè)協(xié)調(diào)共進(jìn)的發(fā)展模式,不斷提升數(shù)據(jù)安全保障能力,維護(hù)國家安全、社會穩(wěn)定、組織和個人權(quán)益。
第七條 支持開展經(jīng)常性的自然資源領(lǐng)域數(shù)據(jù)安全宣傳教育。采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才,促進(jìn)人才交流。
第二章 數(shù)據(jù)分類分級管理
第八條 自然資源部組織制定自然資源領(lǐng)域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認(rèn)定、數(shù)據(jù)安全保護(hù)等標(biāo)準(zhǔn)規(guī)范,指導(dǎo)開展數(shù)據(jù)分類分級管理工作,編制行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實(shí)施動態(tài)管理。國家林業(yè)和草原局按照自然資源領(lǐng)域數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范,結(jié)合工作需要編制林草領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范,指導(dǎo)開展林草數(shù)據(jù)分類分級工作,編制林草重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實(shí)施動態(tài)管理。
地方行業(yè)監(jiān)管部門按照自然資源領(lǐng)域數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范,分別組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別審核工作,編制本地區(qū)自然資源領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并上報自然資源部,目錄發(fā)生變化的,應(yīng)及時上報更新。
數(shù)據(jù)處理者應(yīng)當(dāng)定期按照自然資源領(lǐng)域數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范梳理填報重要數(shù)據(jù)和核心數(shù)據(jù)目錄。
第九條 根據(jù)行業(yè)特點(diǎn)和業(yè)務(wù)應(yīng)用,自然資源領(lǐng)域數(shù)據(jù)分類類別包括但不限于地理信息、自然資源調(diào)查監(jiān)測、國土空間規(guī)劃、自然資源管理等,具體參照自然資源領(lǐng)域數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范。
通過對自然資源領(lǐng)域數(shù)據(jù)重要性、精度、規(guī)模、安全風(fēng)險,以及數(shù)據(jù)價值、可用性、可共享性、可開放性等進(jìn)行綜合分析,判斷數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后的影響對象、影響程度、影響范圍進(jìn)行分級,分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。
數(shù)據(jù)處理者可在此基礎(chǔ)上細(xì)分?jǐn)?shù)據(jù)的類別和一般數(shù)據(jù)級別。
第十條 核心數(shù)據(jù)是指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達(dá)到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù),一旦被非法使用或共享,可能直接影響政治安全。核心數(shù)據(jù)主要包括關(guān)系國家安全重點(diǎn)領(lǐng)域的數(shù)據(jù),關(guān)系國民經(jīng)濟(jì)命脈、重要民生和重大公共利益的數(shù)據(jù),經(jīng)國家有關(guān)部門評估確定的其他數(shù)據(jù)。
重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模,一旦被泄露或篡改、損毀,可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。
一般數(shù)據(jù)是指除重要數(shù)據(jù)、核心數(shù)據(jù)以外的其他數(shù)據(jù)。
結(jié)合自然資源領(lǐng)域數(shù)據(jù)特點(diǎn),滿足以下兩項(含)以上參考指標(biāo)的為重要數(shù)據(jù)。
(一)支撐黨中央和國務(wù)院賦予的“兩統(tǒng)一”職責(zé)產(chǎn)生的具有不可替代性和行業(yè)唯一性的,一旦發(fā)生數(shù)據(jù)篡改、泄露或服務(wù)中斷等安全事故,將影響自然資源部門履行職責(zé),對全國范圍內(nèi)服務(wù)對象產(chǎn)生重要影響的數(shù)據(jù)。
(二)涉及國民經(jīng)濟(jì)和重要民生的,為其他行業(yè)、領(lǐng)域提供自然資源基礎(chǔ)數(shù)據(jù)支撐的,一旦發(fā)生數(shù)據(jù)安全事故會對其他行業(yè)、領(lǐng)域造成重要影響的數(shù)據(jù)。
(三)覆蓋多個省份甚至全國,規(guī)模大、精度高,且極具敏感性、重要性的數(shù)據(jù)。
(四)直接影響國家關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)行服務(wù)的數(shù)據(jù)。
(五)危害國家安全、國家經(jīng)濟(jì)競爭力、危害公眾接受公共服務(wù)、危害公民生存條件和安定工作生活環(huán)境、危害公民的生命財產(chǎn)安全和其他合法利益、導(dǎo)致社會恐慌等的數(shù)據(jù)。
(六)我國法律法規(guī)及規(guī)范性文件規(guī)定的其他自然資源重要數(shù)據(jù)。
符合重要數(shù)據(jù)指標(biāo),且關(guān)系國家經(jīng)濟(jì)命脈、重要民生和重大公共利益、影響政治安全的數(shù)據(jù)為核心數(shù)據(jù)。
第十一條 自然資源部所屬的數(shù)據(jù)處理者應(yīng)當(dāng)將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向自然資源部報備,國家林業(yè)和草原局所屬的數(shù)據(jù)處理者應(yīng)當(dāng)將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向國家林業(yè)和草原局報備,其他數(shù)據(jù)處理者應(yīng)當(dāng)將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向本地區(qū)行業(yè)監(jiān)管部門報備。報備內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、精度、來源、載體、使用范圍、對外共享、跨境傳輸、 安全情況及責(zé)任單位情況等,不包括數(shù)據(jù)內(nèi)容本身。
地方行業(yè)監(jiān)管部門應(yīng)當(dāng)在數(shù)據(jù)處理者提交報備申請后的二十個工作日內(nèi)完成審核工作,報備內(nèi)容符合要求的,報自然資源部審核認(rèn)定,自然資源部接到申請后二十個工作日完成重要數(shù)據(jù)認(rèn)定,核心數(shù)據(jù)須報國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制認(rèn)定;不符合要求的應(yīng)當(dāng)及時反饋申請單位并說明理由。申請單位應(yīng)當(dāng)在收到反饋后的十五個工作日內(nèi)再次提交申請。
報備內(nèi)容發(fā)生重大變化的,數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)生變化的三個月內(nèi)履行變更手續(xù)。重大變化是指數(shù)據(jù)內(nèi)容發(fā)生變化導(dǎo)致原有級別不再適用的,或某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模變化30%以上的,等等。
第三章 數(shù)據(jù)全生命周期安全管理
第十二條 數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)處理活動安全負(fù)主體責(zé)任,對各類數(shù)據(jù)實(shí)行分級防護(hù),不同級別數(shù)據(jù)同時被處理且難以分別采取保護(hù)措施的,應(yīng)當(dāng)按照其中級別最高的要求實(shí)施保護(hù),確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。
(一)建立數(shù)據(jù)安全管理制度,針對不同級別數(shù)據(jù),制定數(shù)據(jù)全生命周期各環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程。
(二)根據(jù)需要配備數(shù)據(jù)安全管理人員,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理,協(xié)助行業(yè)監(jiān)管部門開展工作。
(三)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動時,要落實(shí)網(wǎng)絡(luò)安全等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、密碼保護(hù)和保密等制度要求。
(四)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,防范數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險。
(五)合理確定數(shù)據(jù)處理活動的操作權(quán)限,嚴(yán)格實(shí)施人員權(quán)限管理。
(六)根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要,制定應(yīng)急預(yù)案, 并開展應(yīng)急演練。
(七)定期對從業(yè)人員開展數(shù)據(jù)安全知識和技能相關(guān)教育培訓(xùn)。
(八)法律法規(guī)等規(guī)定的其他措施。
重要數(shù)據(jù)和核心數(shù)據(jù)處理者,還應(yīng)當(dāng):
(一)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系, 明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),建立常態(tài)化溝通與協(xié)作機(jī)制。本單位法定代表人或主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人,領(lǐng)導(dǎo)班子中分管數(shù)據(jù)安全的班子成員是直接責(zé)任人,其他成員對職責(zé)范圍內(nèi)的數(shù)據(jù)安全工作負(fù)領(lǐng)導(dǎo)責(zé)任,履行數(shù)據(jù)安全保護(hù)義務(wù),接受監(jiān)督。
(二)明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書,責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項等內(nèi)容。應(yīng)當(dāng)按照業(yè)務(wù)工作需要和最小授權(quán)原則,依據(jù)崗位職責(zé)設(shè)定數(shù)據(jù)處理權(quán)限,控制重要數(shù)據(jù)接觸范圍,人員變動時應(yīng)及時調(diào)整權(quán)限。涉及核心數(shù)據(jù)的相關(guān)關(guān)鍵崗位人員、信息系統(tǒng)建設(shè)和運(yùn)維單位等,提交公安機(jī)關(guān)、國家安全機(jī)關(guān)進(jìn)行國家安全背景審查。
(三)建立內(nèi)部登記、審批機(jī)制,對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動進(jìn)行嚴(yán)格管理并留存記錄不少于六個月。
(四)在數(shù)據(jù)全生命周期的各環(huán)節(jié),應(yīng)當(dāng)綜合運(yùn)用加密、鑒權(quán)、認(rèn)證、脫敏、校驗(yàn)、審計等技術(shù)手段進(jìn)行安全保護(hù),并按照法律法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)。
(五)涉重要數(shù)據(jù)信息系統(tǒng)建設(shè)、運(yùn)維項目未經(jīng)委托方批準(zhǔn)不得轉(zhuǎn)包、分包。建設(shè)運(yùn)維人員未經(jīng)委托方明確授權(quán),不得處理委托方的重要數(shù)據(jù)。在提供涉重要數(shù)據(jù)信息系統(tǒng)建設(shè)、運(yùn)維過程中收集、產(chǎn)生的數(shù)據(jù),不得用于其他用途,服務(wù)完成后按照與委托方約定處理或及時刪除。
(六)應(yīng)當(dāng)加強(qiáng)人員和經(jīng)費(fèi)保障。
第十三條 數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)?shù)脑瓌t,不得竊取或者以其他非法方式收集數(shù)據(jù)。法律法規(guī)對收集數(shù)據(jù)的目的、范圍有規(guī)定的,應(yīng)當(dāng)在法律法規(guī)規(guī)定的目的和范圍內(nèi)收集。
數(shù)據(jù)收集過程中,應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施,加強(qiáng)重要數(shù)據(jù)和核心數(shù)據(jù)收集生產(chǎn)人員、設(shè)備的管理, 并對收集來源、時間、類型、數(shù)量、精度、區(qū)域、頻度、流向等進(jìn)行記錄。
通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的,數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式,明確雙方法律責(zé)任。
第十四條 數(shù)據(jù)處理者應(yīng)當(dāng)依據(jù)法律法規(guī)規(guī)定的方式和期限存儲數(shù)據(jù),可以從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等方面,加強(qiáng)數(shù)據(jù)存儲安全管控,保障存儲數(shù)據(jù)的完整性、保密性、真實(shí)性和可用性。
存儲重要數(shù)據(jù)的,要落實(shí)第三級及以上網(wǎng)絡(luò)安全等級保護(hù)要求。存儲核心數(shù)據(jù)的,要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求或第四級網(wǎng)絡(luò)安全等級保護(hù)要求。
第十五條 數(shù)據(jù)處理者開展數(shù)據(jù)加工使用處理活動,應(yīng)當(dāng)采取訪問控制、數(shù)據(jù)防泄露、操作審計等管控措施,確保過程安全、合規(guī)、可控、可溯源,防范數(shù)據(jù)關(guān)聯(lián)挖掘、分析過程中有價值信息和個人隱私泄露的安全風(fēng)險,明確數(shù)據(jù)使用加工過程中的相關(guān)責(zé)任,保證數(shù)據(jù)的正當(dāng)加工使用。加工使用過程中,應(yīng)當(dāng)按照數(shù)據(jù)級別采取相應(yīng)的措施保護(hù)數(shù)據(jù)的安全性,所使用的數(shù)據(jù)必須是真實(shí)可靠的,數(shù)據(jù)來源、收集過程須經(jīng)過審查和核實(shí)。涉及利用數(shù)據(jù)進(jìn)行自動化決策的,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。加工使用重要數(shù)據(jù)和核心數(shù)據(jù),還應(yīng)當(dāng)實(shí)施嚴(yán)格的訪問控制,建立數(shù)據(jù)可信可控、日志留存審計、風(fēng)險監(jiān)測評估、實(shí)時監(jiān)控、應(yīng)急處置、數(shù)據(jù)溯源等相關(guān)技術(shù)和管理機(jī)制。
第十六條 數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景,制定安全策略并采取保護(hù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。
第十七條 數(shù)據(jù)處理者應(yīng)當(dāng)按照有關(guān)規(guī)定安全有序提供數(shù)據(jù),明確提供的范圍、類別、條件、程序等,提供的數(shù)據(jù)應(yīng)當(dāng)限于實(shí)現(xiàn)數(shù)據(jù)接收方處理目的的最小范圍,并告知數(shù)據(jù)接收方按照對應(yīng)級別進(jìn)行分類分級保護(hù),采取必要的安全保護(hù)措施,涉及重要數(shù)據(jù)的,與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全協(xié)議。重要數(shù)據(jù)在共享、調(diào)用過程中應(yīng)當(dāng)加強(qiáng)安全管控,采取技術(shù)措施定期監(jiān)測數(shù)據(jù)共享、調(diào)用的情況,并配備風(fēng)險隔離、認(rèn)證鑒權(quán)、威脅告警等安全保護(hù)措施。涉及提供、共享核心數(shù)據(jù)的,應(yīng)當(dāng)采取必要的安全保護(hù)措施,并上報自然資源部,自本年度1月1日起可能累計達(dá)到總量30%及以上的,應(yīng)當(dāng)經(jīng)自然資源部報國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制組織風(fēng)險評估。涉及國家機(jī)關(guān)依法履職或單位內(nèi)部流動的除外。
第十八條 數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響,存在顯著負(fù)面影響或風(fēng)險的,不得公開。政府機(jī)關(guān)部門應(yīng)當(dāng)遵守公正、公平、便民的原則,按照規(guī)定及時、準(zhǔn)確地公開政務(wù)數(shù)據(jù),依法不予公開的除外。
第十九條 數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷毀制度,明確銷毀對象、規(guī)則、流程和技術(shù)等要求,對銷毀活動進(jìn)行記錄和留存。依據(jù)法律法規(guī)規(guī)定、合同約定等請求銷毀的,數(shù)據(jù)處理者應(yīng)當(dāng)銷毀相應(yīng)數(shù)據(jù)。
銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的,要采取必要的安全保護(hù)措施,并事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)銷毀方案。引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄變化的,應(yīng)當(dāng)及時向行業(yè)監(jiān)管部門報備,不得以任何理由、任何方式對銷毀數(shù)據(jù)進(jìn)行恢復(fù)。
第二十條 數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù),應(yīng)當(dāng)在境內(nèi)存儲,確需向境外提供的,數(shù)據(jù)處理者應(yīng)當(dāng)落實(shí)國家網(wǎng)信部門數(shù)據(jù)出境安全評估有關(guān)規(guī)定。
第二十一條 數(shù)據(jù)處理者因重組等原因需要轉(zhuǎn)移數(shù)據(jù)的,應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移方案。涉及重要數(shù)據(jù)的,應(yīng)當(dāng)采取必要的安全保護(hù)措施,事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)轉(zhuǎn)移方案。引起重要數(shù)據(jù)目錄發(fā)生變化的,應(yīng)當(dāng)及時向行業(yè)監(jiān)管部門報備。
第二十二條 數(shù)據(jù)處理者委托他人處理、與他人共同處理數(shù)據(jù)的,數(shù)據(jù)安全責(zé)任不因委托而改變,應(yīng)當(dāng)通過簽訂合同協(xié)議等方式,明確委托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)。涉及重要數(shù)據(jù)的,委托方要把安全作為重要考慮因素,應(yīng)當(dāng)對受托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行評估或核實(shí),經(jīng)過嚴(yán)格的審批程序,明確受托方的數(shù)據(jù)處理權(quán)限和保護(hù)責(zé)任,并監(jiān)督受托方履行數(shù)據(jù)安全保護(hù)義務(wù)。
除法律法規(guī)等另有規(guī)定外,未經(jīng)委托方同意,受托方不得將數(shù)據(jù)提供給第三方。
第二十三條 數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過程中,記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志,并采用商用密碼技術(shù)保護(hù)日志的完整性。其中,一般數(shù)據(jù)的日志留存時間不少于六個月,涉及重要數(shù)據(jù)安全事件處置、溯源的,相關(guān)日志留存時間不少于一年;涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的,相關(guān)日志留存時間不少于三年。涉及核心數(shù)據(jù)安全事件處置、溯源的相關(guān)日志留存時間不少于三年。
第四章 數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理
第二十四條 自然資源部按照國家相關(guān)標(biāo)準(zhǔn)和流程,組織建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測機(jī)制,建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警體系,劃分?jǐn)?shù)據(jù)安全風(fēng)險和事件等級,組織建設(shè)數(shù)據(jù)安全監(jiān)測預(yù)警技術(shù)手段,形成監(jiān)測、溯源、預(yù)警、處置等能力,與相關(guān)部門加強(qiáng)信息共享。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警機(jī)制,劃分林草數(shù)據(jù)安全風(fēng)險和事件等級,組織建設(shè)林草數(shù)據(jù)監(jiān)測預(yù)警技術(shù)手段。
地方行業(yè)監(jiān)管部門分別建設(shè)本地區(qū)數(shù)據(jù)安全監(jiān)測預(yù)警機(jī)制,組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測,按照有關(guān)規(guī)定及時發(fā)布預(yù)警信息,通知本地區(qū)數(shù)據(jù)處理者及時采取應(yīng)對措施。
數(shù)據(jù)處理者應(yīng)當(dāng)開展數(shù)據(jù)安全風(fēng)險監(jiān)測,及時排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風(fēng)險。
第二十五條 自然資源部組織指導(dǎo)開展自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險評估等工作。國家林業(yè)和草原局組織指導(dǎo)開展林草數(shù)據(jù)安全風(fēng)險評估等工作。
地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險評估工作。
重要數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機(jī)構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險評估,及時整改風(fēng)險問題,并向行業(yè)監(jiān)管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的類別、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風(fēng)險、應(yīng)對措施及其有效程度等。數(shù)據(jù)處理者應(yīng)當(dāng)保留風(fēng)險評估報告至少三年。核心數(shù)據(jù)處理者優(yōu)先使用第三方評估機(jī)構(gòu)開展風(fēng)險評估。
數(shù)據(jù)處理者在組織重要數(shù)據(jù)安全風(fēng)險評估時,應(yīng)當(dāng)對其數(shù)據(jù)查詢、下載、修改、刪除等重點(diǎn)操作的日志開展審計分析,發(fā)現(xiàn)違規(guī)或異常行為,應(yīng)及時采取相應(yīng)處置措施。
第二十六條 自然資源部組織建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險信息通報機(jī)制,統(tǒng)一匯集、分析、研判、通報數(shù)據(jù)安全風(fēng)險信息。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全風(fēng)險信息通報機(jī)制。
地方行業(yè)監(jiān)管部門分別匯總分析本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險,根據(jù)數(shù)據(jù)安全風(fēng)險的發(fā)展態(tài)勢、規(guī)模大小、關(guān)聯(lián)程度、現(xiàn)實(shí)危害等綜合研判,及時將可能造成重大及以上安全事件的風(fēng)險向自然資源部報告。
數(shù)據(jù)處理者及時將可能造成較大及以上安全事件的風(fēng)險向行業(yè)監(jiān)管部門報告。
第二十七條 自然資源部組織制定自然資源領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。
地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應(yīng)當(dāng)立即報自然資源部,并及時報告事件發(fā)展和處置情況。
數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后,應(yīng)當(dāng)按照應(yīng)急預(yù)案,及時開展應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,第一時間向行業(yè)監(jiān)管部門、屬地公安部門報告,事件處置完成后在一周以內(nèi)形成總結(jié)報告。每年向行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。
數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,應(yīng)當(dāng)及時告知用戶,并提供減輕危害措施。
第五章 監(jiān)督檢查
第二十八條 行業(yè)監(jiān)管部門對數(shù)據(jù)處理者落實(shí)數(shù)據(jù)分類分級保護(hù)及本辦法要求的情況進(jìn)行監(jiān)督檢查。數(shù)據(jù)處理者應(yīng)當(dāng)對行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。
第二十九條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)一組織下,自然資源部依法配合有關(guān)部門,對影響或者可能影響國家安全的自然資源領(lǐng)域數(shù)據(jù)處理活動開展數(shù)據(jù)安全審查工作。
第三十條 數(shù)據(jù)處理者及其委托的數(shù)據(jù)安全風(fēng)險評估機(jī)構(gòu)工作人員對在履行職責(zé)中知悉的個人信息、商業(yè)秘密等,應(yīng)當(dāng)嚴(yán)格保密,不得泄露或者非法向他人提供。
第六章 法律責(zé)任
第三十一條 行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中,發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風(fēng)險的,可以按照規(guī)定權(quán)限和程序?qū)?shù)據(jù)處理者進(jìn)行約談,并要求采取措施進(jìn)行整改,消除隱患。
第三十二條 對于違反有關(guān)規(guī)定的,依照《中華人民共和國數(shù)據(jù)安全法》及有關(guān)法律法規(guī)予以處理,根據(jù)情節(jié)嚴(yán)重程度給與相應(yīng)行政處罰,構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章 附 則
第三十三條 開展涉及個人信息的數(shù)據(jù)處理活動,還應(yīng)當(dāng)遵守有關(guān)法律法規(guī)的規(guī)定。
第三十四條 涉及國家秘密信息或自然資源領(lǐng)域數(shù)據(jù)匯聚關(guān)聯(lián)后屬于國家秘密事項的數(shù)據(jù)處理活動,應(yīng)當(dāng)符合國家及部相關(guān)保密規(guī)定。
第三十五條 法律法規(guī)規(guī)定開展數(shù)據(jù)處理活動應(yīng)當(dāng)取得行政許可的,數(shù)據(jù)處理者應(yīng)當(dāng)依法取得許可。
第三十六條 本辦法由自然資源部負(fù)責(zé)解釋。
第三十七條 本辦法自印發(fā)之日起施行。
來源:自然資源部