安全验证
more
》 ,第三章 数据全生!命周期安全管理 ! :第十二条《 :数,据处理者应当—对数据?。处理活动安全负主体!责任:,对:各类数据《实行分级防护—不同:级别数据同时被处】理且:难以分别采取—保护措施的应—当按照其中级别最】高的要求实施保护】确保数据持续处于】有效保护《和合法利《用的状态  !   (一》)建:立数:据安全管《理制:度针对不同级—别,数据制定《数据:全,。生命周期各环节的】具体分级防护要求和!操作规程 —  ?  : (二)《根据:需要配备数据安全】。。管理人员统筹负责数!。。据处理活动的安【全监督管理协助行】业监管部门开展【工作  【   (三)—利用互?联,网等信息网》络开展数据处理【活动时要落》实网络安全等—级保护、关键信息基!础设施安《全保护、密码保护】和保密等制度要【求 :。     【(,四)应当采》取相:应技术措施和其他必!要措施?。保障数?据安全防范数—据被篡改《、破坏、泄》露或者非法》获取、非《法利用等风险 !     》(,五):合理确定数据处【理活动的《操作权限严格实施人!员权限?管理  【   (六)根据应!对数据安全事件的需!要制定应《急,预案 并《开展应急演练 !    《 (七)定期对从】业人员开展》数据安全《知识和技能相—关教育培训 !  :  (八)法律法】规等规定《的其他措施 【     重【要数据和《核心数据处理者【还应当 《。     (一!)建立覆盖》本单位相关部门的数!据安全?工作体系 》明,确数据安全负责【人,。和管理?机构建?立常态化沟通—。与协:作机制本单》位法定代表人或【主要负责人是数据】安全第一责任人领导!。班子中分管数据安】全的班子成员是【直接责任人其他成】员,对职责范围内的数据!安全工作负》领导责任履行数【据安全保护义务【接受监督 —    》。 (二)明确数据处!理关:键岗位和岗位职责并!要求关键岗位人【员签署数据安全责任!书责任书《内容包括但》不限于数据安全【岗位职责、义务、】处罚措施、注意事】项等内容应当—按照业务工作—需要和最《小,授权:原则:依,据岗位职责》设定数据处理权限】控制重要数据接触范!围人员变动时应及】时调整权限》涉及核心数据—的相关关键岗—位人:员,、信息系《。统建设和运维单位】等提交公安机关、】国家安全《机,关进行国家安—。全背景?。审查  【   ?(三:),建立:内,。部,登,记,、审批?机制对重要数据和核!心数据的处理—活动:进行严格管》理,并留存记录不少【于六个月 》 ,   《  (四)》在数据?全生命周《期的各环节应当综】。合运用加密》、鉴权、认证、脱敏!、校验、审计等技术!手段进行《安全保护,》。并按照法《律法规和国家有关】规,定要求使《用商用密码进行保】护 ?     (【五)涉重要数—据信息系统建设【、运维项目》未经委托方》批准不得《转,包、分包建设运【维人员未《经委托?方明确授权》不得处?理委:托方的?。重要数据在提供涉重!要数据信息系统建设!、运维过程》中收集、《产生的数据不得用】于其他?用,途服务完成后按【照,。与委托方约定处【理或及时删除— ,     (】六,)应当加《强人员和经费保障】 第十—三条 数据处【理者收集数据应当遵!循合法、正当的原】则不得窃《取或者以其他非法】。方式收集数据法律】法规对?。收集数据的》目,的、范围《有规定的应当—在,法,律法规规定的目的和!范围内收集》     数!据收集过程中—。。应当根据数据安全级!别采取相应的—安全措施加强重要数!据和核心数》据收集生《产人员、设备的【管理 并对收集【来源、时间、类型、!数量、精度、区域、!频度、?流向等进行记录 !     通【过间接途径获—取重要数《据和核?心,数据的数《。据处理者《应当与数据》提供方通过》签署:相关协议、》承诺书等方》式明确双方法律【责任 《 第十四条— 数据处》理,者应当?依据:法律法规规定的方】式和期限存储数【据可以从物理—和环境安全、网络】和通信?安全、设备和计算安!全、应用和数据安】全等方面《加强数?据,存储安?全,管,控保:障存储数据的—。完整性、保密—性、真实性和可【用性  【。   存储重要数】据,的要落实《第三级及《以上网络安全等【。级保护?要求存储核心数据】。。的要:落实关键信息基础】设施安全保》护,。要求或第四级网络安!。全等级保护要—。求 : 第十五—条 数据》处,理者开展《数据:。加工使?用处理?。活动应当《。采取访问控制、【数据防?泄露、?操作审?计等管控措施—确保过?程安:全,、合:规、可控、可—溯源防范数据关联挖!掘、分析《过程:中有价值信息和个】人隐私泄《露的安全风险—。明,确数据使用加工【过程中的相关责任保!证数据的正当加工使!用加工使用过—程中应当按》照数据?级别采?。。取相:应的措施保护—数据的安全性所【。使用的数据必须是】真实可靠的数—据来源、收集过程须!经过审查《和核实涉《及利:用数据进行自动化】决策的应《当保证决策的—透明度和结果公平】合理加工使》用重要数据和核心】数据还应当》实施严格的访问【控,制建立数据可信可控!、日志留存》审计、风险监测【评估、实《时监控?、,应急:处置、数《据,。溯源等相关技术和】管理机制 第!十六条 数据处理!者应当根据传—输的:数据类型、级别和应!用场景制《定安全策略》并采取保护措—施,传输重要数据和【核心:数据的?。应当采取《校,验技术、密码—技,术,、安全?传输通道或者安全】传输协议等措施 ! 第十七条— , ,数据处理《者应当按《照有:关规定?安全有序提供数据】明确提供的》范围:、类别、条件、程】序等提供《的数据应当限—于实:现数据接收方处理】目的的最小范围并】告知数?据接收方按照对应】级,别进:行分类分级保护采取!必要的安全》保护措?施涉及重要数—据,的与数据接收—方签订数据安全协议!重,要数据在共》享,、调:用过程中应当加强】安,全管控采取技术措】施定:期监测数据共享【、调用的情》况并配备风险隔离】、认证鉴权》、威:胁告:警等安全保护措【施涉及提供》、共享核心》数据的应《当采取必要的安全保!护措施并《上,报自然?资源部自本年度1】月1日起可能累计】达到总?量3:0%及以上的—。。应当经自然资源部】报国家数《据安:全工作协调机制【组织:风,险评估?涉及国家《机关依法履职或单位!。内部:流动的除外 】。。 第十?八条 数》据处理?者应当在数据公开】。前,。分析研判可能对【国,家安:全、:公共利益产生的影】响存在显著负面影】响或风险的不—得公:开政府机关部门应】当遵守公正》、公平、便》民的原则按照规【定,及时、准确地公开政!。务数据依法》不予公开的除外【。。 《。第十九条 》 数据处《理者应当建立数【据销毁制度明—确,销毁:对象、规《则、流?。程和技?术等要求对》销毁活动进行记录】。。和留存?。依据法律法》规规定?、合:同约定等请求—销,毁,的数据处《理者应当销毁—。相应数据 】。   ? 销毁重要数据和核!心数据的要》采取必要的安全保】。护措施并事前—向行业监管部门报告!数据:销毁方案引起重【要数据和核》心数据目录变—化的应当及时向【行业监管部门—报备:不得以任何理由、任!何方式对销毁数【据,。进行恢复 第!二,十条 数据处理者!在中华人民共—和国境内《收,集和产生的重—要数据应当在境【内存储确需向境外】提供的数据处理者应!当落实国《家网信部门数据出境!。安全评估有》关规:定, , ?第二十一《条 数据》处理者因重》组,。等原因需要转移【数据的应当明—确数据转移》方案涉及重要数据的!应当采取必要—的安全保护措—施事前向《行业:监管部?门报:告数据转移》。方案引起重要数【据,目录发生变化—的应当及时》向行业监《管,部门:报备 第二】。十二条 数据处】理者委托他人处【理、与他《。人共同处《理数据的《。数据安全责》任不:因委托而改变—应当通过签》订合同协议等方式】。明,。确委托方与受托方的!数据:。。安全责任《和义务涉及重—。要数据的委托方【要把安全《作为重要考》虑因素应当》。对受托方《的数据安全保护【。能力、资《质进:行评估?。或核实经过严格的审!批程序明确受托方】。的数据处理权限和】保,护责:任并监?督受托方履行—。数据安全保护—。义务:   —  除法律法规等另!有规定外未》经委托方同意—受,托,方不:得将数?据提供给《第三方 第二【。。十三条 》数据处理者应当在数!据全生?命周期处理》过程中记录数据【处理:、权:限管:理、人员操》。作,等,日志并采用商用密】码技术?保护日志的完整性】其中一般数据的【日,志留存时间不少于六!个月涉及重要数据安!。全事件?处置:、溯源的相关日志留!存,时间不少于一年;】涉,及向他人提供、委】托处:。理、共同处理重要数!据的相关日志—留存:时间不少于三年涉】。及核心?数据:安全事件处置、溯源!的相关日志留存【时间不少于三年 !