资阳市统计数据安全管理办法

第一章  总  则

第一条  为维护国家安全和发展利益，规范全市统计部门数据处理活动，加强统计数据安全管理，保障统计数据安全，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国统计法》等法律法规和省统计局《统计数据安全管理办法》，制定本办法。

第二条  本办法适用于全市各级统计机构（包括市统计局内设机构、下属事业单位和市以下各级统计机构）组织实施的统计数据处理活动。

第三条  本办法所称统计数据，是指统计部门在开展统计工作过程中，采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式对信息的记录（包括数字、图表、音频、视频等）。

属于国家秘密的统计数据按照《中华人民共和国保守国家秘密法》等法律、行政法规和国家统计局、省统计局、市统计局相关规定执行。

本办法所称统计数据处理信息系统，是指用于统计数据采集、存储、使用、加工、传输、提供、公开、归档、销毁等数据处理相关工作的信息系统。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四条  统计数据安全工作坚持总体国家安全观，按照“谁管业务，谁管业务数据，谁管数据安全”原则，坚持统一领导、分级负责，坚持谁生产谁负责、谁管理谁负责、谁使用谁负责。

第五条  统计数据安全纳入国家安全责任制，全市各级统计机构主要负责同志是本单位数据安全工作第一责任人；其他班子成员根据工作分工对职责范围内的数据安全工作负领导责任；所有工作人员对岗位职责范围内的数据安全工作负直接责任。

第二章  职责分工

第六条  市统计局设立数据安全工作领导小组。组长由局党组书记担任，副组长由党组（领导班子）成员担任，成员由市统计局各内设机构、下属事业单位主要负责人组成。

第七条  市统计局数据安全工作领导小组在局党组领导下、在省统计局数据安全工作领导小组办公室指导下，负责指导、监督全市统计部门数据安全管理工作。其主要职责是：

（一）贯彻落实党和国家数据安全工作方针政策和法律法规，贯彻落实市委市政府和省统计局数据安全各项工作部署，组织制定统计数据安全规章制度；

（二）将数据安全工作纳入重要议事日程，加强对全市统计数据安全工作的组织领导、协调保障和督查指导，推动各项任务落实；

（三）组织开展数据安全宣传教育培训，采取多种方式培养数据安全人才，提高全员数据安全责任意识；

（四）建立健全数据安全风险预警机制，执行数据安全工作报告制度，依法依规查处数据安全事件。

第八条  市统计局数据安全工作领导小组下设办公室，承担领导小组日常工作。其主要职责是：

（一）牵头起草数据安全工作规章制度，制定、落实工作计划，报告工作情况；

（二）组织建立全市统计数据分类分级目录，针对不同级别数据，明确数据采集、存储、使用、加工、运输、提供、公开、归档、销毁等阶段的具体分级保护要求和操作规程；

（三）组织开展数据安全监测预警，协助调查、处置数据安全事件；

（四）定期分析研判数据安全形势，组织开展数据安全风险评估，研究解决数据安全重要问题，组织做好数据安全审查工作；

（五）组织开展数据安全宣传教育培训，协调管理、检查、指导、监督全市各级统计机构贯彻落实数据安全工作各项规章制度；

（六）组织对市统计局建设、运行、维护的统计数据处理信息系统等实施数据安全管理；

（七）履行法律法规规定的其他数据安全义务。

市统计局数据安全工作领导小组办公室设在综合核算科，日常工作由综合核算科会同办公室、统计信息网络管理科承担，具体工作由市统计局各内设机构、下属事业单位按照“谁生产谁负责、谁管理谁负责、谁使用谁负责”原则，负责本单位所生产、管理及使用的数据安全工作。

第九条  市统计局各内设机构、下属事业单位指定1名数据安全工作联系人，负责本单位数据安全具体工作。

各县（区）统计局设立数据安全工作领导小组，组长由党组书记担任，副组长由党组（领导班子）成员担任，成员可由各股室负责人担任，并指定股室负责日常数据安全管理工作。

各县（区）统计局数据安全工作领导小组负责指导、监督本地区统计数据安全工作。

第十条  市统计局各内设机构、下属事业单位数据安全主要职责是：

（一）贯彻落实党和国家数据安全工作方针政策和法律法规，贯彻落实市委市政府和市统计局党组数据安全各项工作部署；

（二）加强本科室数据安全工作组织领导，将数据安全与业务工作同谋划、同部署，指导、督促、检查本专业数据安全各项规章制度落实；

（三）梳理本科室统计数据分类分级目录，对不同级别数据，按照数据采集、存储、使用、加工、传输、提供、公开、归档、销毁等阶段的具体分级防护要求和操作规程实施防护；

（四）按照信息系统权限备案制度，合理确定申报本科室接触和处理统计数据人员的操作权限；及时申报本科室离岗离职人员清单，清退数据载体；

（五）开展本科室数据安全监测预警，及时处置本专业数据安全事件，并报告有关情况；

（六）配合开展数据安全风险评估、审查工作；

（七）参加数据安全教育和培训，提高数据安全防护能力；

（八）履行法律法规规定的其他数据安全义务。

第十一条  各县（区）统计局的主要职责是：

（一）贯彻落实党和国家数据安全工作方针政策和法律法规，贯彻落实市委市政府和市统计局党组数据安全各项工作部署；

（二）加强本单位数据安全工作组织领导，将数据安全和业务工作同谋划、同部署，指导、督促、检查本单位数据安全各项规章制度落实；

（三）建立本单位统计数据分类分级目录，针对不同级别数据，明确数据采集、存储、使用、加工、运输、提供、公开、归档、销毁等阶段的具体分级保护要求和操作流程；

（四）合理确定数据处理活动的操作权限，严格实施人员权限管理；加强离岗离职人员数据安全管理，及时注销账号、清退数据载体、回收和删除所管理的数据等；

（五）开展数据安全监测预警，及时处置本单位数据安全事件，并报告有关情况；

（六）定期分析研判本单位数据安全形势，组织开展数据安全风险评估，研究解决数据安全重要问题，组织做好数据安全审查工作；

（七）组织开展数据安全教育和培训，加强数据安全防护能力建设；

（八）对本单位建设、运行、维护的统计数据处理信息系统和本单位所委托的外包服务等实施数据安全管理；

（九）履行法律法规规定的其他数据安全义务。

第十二条  接触和处理统计数据的人员的主要职责是：

（一）遵守数据安全相关法律法规，严禁非法采集、存储、使用、加工、传输或销毁统计数据，严禁未经批准修改、复制或导出统计数据；

（二）严格执行数据安全各项规章制度和保护方案，不得擅自改变或简化数据安全保护有关工作流程或操作步骤，不得擅自修改系统安全配置；

（三）配合完成数据安全管理和检查工作，及时协助处理数据安全隐患、事件；

（四）不得擅自对外提供或以任何方式泄露重要数据和核心数据，不得非法买卖统计数据；

（五）履行法律法规规定的其他数据安全义务。

第三章  统计数据分类分级管理

第十三条  全市各级统计机构依据省统计局统计数据分类分级标准规范开展统计数据分类分级工作。

市统计局各内设机构、下属事业单位和各县（区）统计局组织开展本单位、本地区的统计数据分类分级管理及重要统计数据和核心统计数据识别工作。

第十四条 全市各级统计机构将重要统计数据和核心统计数据目录逐级审核、汇总，报市统计局数据安全工作领导小组办公室审核、汇总后报省统计局数据安全工作领导小组办公室。重要统计数据和核心统计数据目录内容发生变化的，应当在发生变化的一个月内报送上级审核。

第十五条  统计数据安全实行分类分级防护，不同安全级别数据同时被处理且难以分别采取保护措施的，应当按照其中安全级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。

重要统计数据控制出境，未经评估或批准禁止出境，使用和共享要进行管控，除统计部门依法履职外，未经市统计局数据安全工作领导小组办公室批准，重要统计数据不得跨主体流动。

第四章  统计数据处理信息系统安全管理

第十六条  统计数据处理信息系统应对数据采集、传输、存储、加工等环节采取有效的数据安全防护措施。采用数据防泄露技术对终端、网络等关键数据出口进行监控和防护；记录数据处理、权限管理、人员操作等日志，部署监控工具对数据异常访问和操作进行告警和审计。日志保存时长不少于6个月。

第十七条  与互联网连接的统计数据处理信息系统，要落实网络安全等级保护、密码保护和保密等要求，存储处理重要统计数据的要落实三级及以上等级保护要求，存储处理核心统计数据的要落实四级或关键信息基础设施保护要求。

第十八条  统计数据处理信息系统应建立数据容灾备份机制，保证数据遭到删除、篡改、破坏时可恢复。处理重要统计数据和核心统计数据的信息系统应当定期对数据进行容灾备份，定期开展数据备份恢复演练，保证信息系统正常运行。

第十九条  统计数据处理信息系统应采用身份鉴别与访问控制策略，严格权限管理。建立数据权限申请和变更审批流程，按照最少够用、职权分离原则为不同账户分配所需权限，严格控制接触数据的范围。及时删除或停用多余的、过期的账户和权限。

统计数据处理信息系统运维人员的权限分配应仅满足运维管理需要，确有其他需要的，须进行严格的权限审批。系统最高权限应由信息系统建设运行单位审批和管理。

第二十条  统计数据处理信息系统账号应采用实名制注册，设置强口令并定期修改，不得使用默认口令或弱口令，相关人员仅能使用本人实名注册的账号登录系统进行操作，不得使用明文传输或存储账号信息和口令。

账号拥有者应妥善保管账号及口令等鉴别信息，禁止共享、出借账号。一旦发现账号鉴别信息泄露，应及时采取更改密码、停用账号、上报账号管理员等方式保障账号安全。账号拥有者对本人账号的操作承担直接责任。

第二十一条  用于统计数据处理活动的终端设备应部署防病毒、终端入侵检测、数据防泄露等安全管理措施，及时阻断危险操作和威胁行为，防范数据泄露风险。

第二十二条  委托企业、专业机构等参与统计数据处理信息系统建设、数据处理活动，委托单位对外包服务的数据安全负主体责任。委托单位应当通过签订合同、安全保密协议、旁站等方式，明确并督促、检查、监督被委托单位履行相关数据安全义务和责任。

第五章  统计数据处理全流程安全管理

第二十三条  统计数据的采集、存储、使用、加工、传输、提供、公开、归档、销毁等各阶段，应当根据数据的安全级别，采取相应的安全防护措施，保障统计数据的保密性、完整性和真实性，确保统计数据不被泄露、篡改或破坏。

第二十四条  采集统计数据，应当在统计调查制度和相关管理规范中明确数据采集的目的、用途、方式、范围、来源、渠道等。加强重要统计数据和核心统计数据采集人员、设备的管理。

通过互联网应用平台开展问卷调查获取统计数据，应根据相关法律法规开展相关工作。

通过外单位获取重要统计数据和核心统计数据，应当遵守数据提供方相关数据安全要求。

第二十五条  存储统计数据，应当依据法律法规规定的方式和期限存储。存储重要统计数据和核心统计数据的介质（硬盘、光盘、优盘、纸介质等）应当安全存放保管，并记录存储内容、交接和使用过程，防止被不相干人员读取，防范数据损坏、丢失和泄露。

第二十六条  对统计数据进行汇总加工、开展分析决策等，应有与数据安全级别相应的安全措施，明确数据的使用规范，加强访问控制。

重要统计数据和核心统计数据应当严格限制批量修改、拷贝、下载、删除等操作的权限，仅允许访问使用所需最小范围内的业务数据。

统计数据处理信息系统的重要数据和核心数据导入导出应进行严格审批。

第二十七条  传输统计数据，应当根据数据类型、级别和应用场景，采取相应的安全策略和保护措施。在线传输重要统计数据和核心统计数据，应当采取符合国家相关标准规定的校验技术、密码技术、脱敏去标识化技术、安全传输通道或者安全传输协议等措施，并对接入的传输终端采取认证措施。

使用移动存储介质离线传输重要统计数据和核心统计数据时，应采取必要的保护措施，不应使介质离开相关责任人，不应在无人监管情况下通过第三方进行传递，确保介质安全和数据传输安全。

第二十八条  依法对外提供统计数据，应当明确提供的范围、类别、条件、程序等，对过程进行严格审批并存档。

对外提供重要统计数据和核心统计数据，必要时可通过签署相关协议或承诺书的方式，要求数据获取方对所提供数据采取安全保护措施，且数据使用范围符合相关法律法规。

第二十九条  统计数据公开应当遵循公正、公平、便民的原则，按照相关规定及时、准确公开。涉及公开重要、敏感统计数据的，应开展数据安全风险评估。

在统计数据发布后，应对发布数据的网站等信息系统加以保护，进行实时安全监测，保护信息系统不被非法越权访问，保护信息系统内的发布数据和信息系统自身配置信息、运行管理日志等信息不被篡改。

第三十条  统计调查任务结束后，调查任务承担单位应按照统计调查制度实际要求及时进行统计数据归档保存。数据归档系统应满足数据安全分级保护要求，以保证基础数据的安全可用。

第三十一条  按规定需要销毁的数据，应根据数据的安全级别以及存储设备的类别，确定销毁办法、销毁方式和销毁要求，按规范流程进行销毁，对审批和销毁过程进行记录和留存。

重要统计数据和核心统计数据存储介质的销毁，应严格执行审批流程。存储介质的登记、审批、交接等过程应以文字、影像、照片等形式完整、准确地记录，并长期保存，用于审计备查。

第六章  统计数据安全监测预警与应急管理

第三十二条  全市各级统计机构应当建立统计数据安全监测预警机制，提高监测、溯源、预警、处置等能力，与相关部门加强信息共享，组织开展本地区、本单位数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险。

第三十三条  全市各级统计机构要按照国家统计局统计数据安全风险信息上报和共享机制要求，开展本地区、本单位数据安全风险信息上报和共享。

第三十四条  统计数据处理信息系统运维单位应根据数据安全保护需求，对用户操作行为进行监测，设置危险操作阻断机制，及时制止高风险操作，记录并报送相关信息。

第三十五条  统计数据处理信息系统应具备满足数据安全管理要求的日志审计监测和抽查分析功能。信息系统建设、运维单位和数据处理单位应共同开展常态化日志抽样审计，每年至少组织开展一次全量日志审计。审计内容包括但不限于对数据的非授权访问、破坏、篡改、复制等操作行为。

第三十六条  市统计局制定统计数据安全事件应急预案，组织开展全市重要统计数据和核心统计数据安全事件应急处置工作。

全市各级统计机构发生涉及重要统计数据和核心统计数据的安全事件，应当第一时间上报上级统计机构数据安全工作领导小组办公室，并及时报告事件发展和处置情况。

县（区）统计局应当制定统计数据安全事件应急预案，组织开展本地区数据安全事件应急处置工作。

第七章  责任追究

第三十七条  全市各级统计机构应当接受对数据安全工作的投诉、举报并及时依法处理，对投诉、举报人的相关信息予以保密。

第三十八条  市统计局数据安全工作领导小组在履行统计数据安全监督管理职责中，发现统计数据处理活动存在安全风险或隐患的，可以按照规定权限和程序约谈相关单位，并要求采取措施整改到位。

第三十九条  违反本办法造成危害或不良后果的，依规依纪依法对直接负责的主管人员和其他直接责任人员追究责任，并对负有领导责任的人员进行问责；构成犯罪的，依法追究刑事责任。

第八章  附  则

第四十条  非统计调查类数据处理活动，严格落实数据安全责任制，有相关行业标准规范的，参照相关行业标准规范执行。

第四十一条  开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

第四十二条  本办法由市统计局数据安全工作领导小组办公室负责解释。

第四十三条  本办法自印发之日起施行。