安全验证
more
—第三:章 数据全生【命周期安全管理 】 ?第,。十二条 《 数据处理者应当对!数据处?理,活动安全负》主体责任,对各【类数据实行分—。级防护不《同级:别数据同《时被处理且难以分】别采取保护措施【的应当?按照其中级别最高的!要求实?施,保护确保数据持续】处于有效保》。。护和合法利用的状】态 》    《(一)建立数据【。安全管理制度针【对不同级别数—据,制定数?据全:生,命,周期各环节的—具体分级防》护要求和操作—规程 ?     【(二)根据需要【配备数据《安全管理人员统筹】负,责,数,据处理活动》的安全监督管理【协助行业监管—部门开展工作 !     (—三)利用互联网等】信息网络开》展数据处理活动时要!落实网络安全等级】保,。护、关键信》息基础设《施安全保护、密码】保护和保《密等制度要》。。求    】 ,。(四)?应当采取相应技【。术措施和其他必【要措:。施保障数《据,。安,全防范数据被篡改】、破坏、泄露或【者非法?获取、非法利用等风!险     !(五)合《理确定数据处理【活动的操作权限严格!实施人?员权限管理 【  ?  : (六)根据应对数!据安全事件的—。需要:制定应急《预案: 并:开展应急《演练   】  (?。七,)定:。期对从业人员—开展:数据安?全知识和技能相关】教,育培训  】   (八)法律】。法规:等规定的其他措施】。     重!要数据和核》。心数:据,处理者还应》当 ?     (【。一)建立覆盖本【单位相关《部门的数据安—。全工作体系》 ,明确数据安全负责人!和管理机构》建立常?态化沟通《与协作机制本单【位,法定代表人或—主要负责人是数据】安全第一责任人【领导班子《中分管数据》安全的班《子成员是直接—责任人其他》成员对职《责范围内的数据安全!工作负领《导,责,任履行数《据安全保护义—务,接,受监督 —     (二)】明确数据处理—关键岗位《和,岗位:职责:并要求关键》岗位人?员签:署数据安全责任书责!任书内容包括但不限!于数:据安全岗位职—责、义务、处罚【措,施、注意事项等内】容应当?按照业务工作需【要和最?小授权原则依据【岗位职责设》。定数据处理权限【控制:重要数据接触—范围人员变动时【应及时调整权限涉及!核心数据的》相关关键岗位人员】、,信息系统建》设和运维单位等【提交公安《机关、国家安—全机关进行国—。家安全背景审查【  》   (三》)建立内部》登记、审批机制对重!要数:据和:核心数据的处—理活动进行》严,格管理?并留存记录不—。少于:六,个月    ! (四)在数据全】生命周期《的,各环节应当综合运】用加密、鉴权、认证!、脱:敏、校验、》审计等技术》手段:。进行安全《保,护,并按《照,法律法规和国家有】。关,规,定,要求使用商用密【码,进行保护 【     (五)】涉重要?数据信息系统建设】。、运维项目未—经委托方《批准不得《转包、?分包建设运》维人员未经委—托方明确授权不得处!理委托方的》重要数据在提供涉重!要数据信息系统建设!、运维过程》中收集、产生的【。数据不得用》。。于其:他用途服务完成后】按照与委托方约【。定处:理或及时《删除 ? :    《 (六)应当加强人!员,和经费保《障 第十【。三条 数》据处理者收集数【据应当遵循合法、正!当的原则不得窃取或!者以其他非法—。。方式收集数据法律法!规对收集数》据的目的、范围有】规定:的应当在法律法规】规定:的目的和范围内收】集 《   ?。  数据收集—过程中应当根据【数,据安全级《别采取相应的安全措!施加强重要》数据和核心数据【收集生产人员、【设,。备的:管理 并对收集来】源、时间、类—型、数量、》精度、区域》、频度、流向等【进行记录 】    《通过间接途径获【取重要数据和核心】数,据的数据处理者应】当与数据提供方通过!。签署相?关协议?、承诺书等方式明确!双方法律责任 】 第?十,四条 数》据处理者应当依【据,法律法规规定的方】式和期限《存储数据可以—从物理和环境—安全、网络》和通信安全》、,设备:和,计算安全《、应用和数据安全等!方面加强数据存储】。安全管控保障存储】数据:的完整性、保密【。性、真?实性和可《用性  【   存储》重要数据的要落实】第三级及以上网【络安全等级保护要】求,存,储核心数据的—要落实关键信—息基础设施安全保护!要求或?第四级网络安全等级!保护要求 》 第《十五条 数—据处理者开展数【。据加工使用处理活】动,应当采?取访问控制、数据】防泄露、操》作审计等管》控措施确保过程安全!、合规、《可控、可溯源防范数!据,关联:挖掘、分《析过程中有价—值,信息:和个人隐私泄露的】安,。全风险明确》。数据使用加工—过程中的相关责任】保证数据的》正当加工《使用加工使用过程中!应当按照数》据级别?采取相应的措施【保护数据《的安全性《所使用的《数据必?须,是,真实可靠的数据来】源、收集过程须经过!。审查和核实》涉,及利用数据进行自动!化决策的应当保证】决策的?透明度和结果公平】合理加工使用重要数!据和核心数据还应】当,实施严格的访问控制!建立数据可信可【。控,、日志留《存审计?、,风险监测评估、【实时监?。控、应急处》置、数据溯源等相关!技术和管理机制 ! 第十六条 数!据处:理者:应当根据传输的数据!类型、级别》和应用场景制定【安全策略并采取保】护措施?传输重要数》据和核?心数据?的应当采取校验【技术、密码》技术、安全传输通道!或者安全传》输,协议等?。措施 》 第十七条》 数据处理者【应当按照有关—规定安全有》序提供数据明确【提供的?范围、类别、条件、!。程序:等提供的《数据应当限于实【现数据接收方处理】目的的?最,小范围并告》知,数据接收方按照【对应级别进行—分类分?级保护?采,。取必要的安全保护】措施涉及《重要数据《的与数据接收方【签订数?据安全协议重要数】据在共享《、调用过程》中应当加强》。。。安全管?控,采取技?术措施定期监测【数据共享《、调用的情况—并配备风险》隔离、认证鉴—权、威胁告》警等安全保护措施】涉及提供、共享【核心数据的》应当采取必要的安全!保护措施并上—。报自然资源部自【本年度1月1日起】可能累计《达到总量30%及以!上的应当经自—然资源?部报国家数》据安全工作协调机制!组织:。风险评估涉及国家机!关依法履职或单位内!。部流动的除外— 第十八【条 数据处理者】应当在数据公开【前分析研判可能【对国家?安全、公共利益【产生的影《响存在显著负面影】。响,或风险的不得公【开政府机关部门【应当遵守《公正、公《平、便民的原则按照!规定及时、准确【地公开政务数据依法!不予公开的除外 】 第十九条【 数据处理者应】当建立数据销—毁制度明确销毁【对,。象、规?则、流程和技—术等要求对销毁活】动,。进行记录和留—存依据法律》法规规定、合—同约定等请》。求销毁的数据处理】。者应当销毁相应数据!    【 销毁重要》数据和核心数据的】要采取必要》的安全保护措施并事!前向行业监管部【门报:告数:据销毁方案引起重要!数据和核心数据目录!变,。化的应当及》。时,向行:业,监管部门报备不得以!任何理由、任何方式!对销毁数据进—行恢复 — 第二十《条 数据处理【者在中华人民共和国!境内:收集和产生的重【要数据?应当在境内存—。储,确需向境《外提供的数》据处理者应当落实国!家网信部门数据【出境:安全:评估有关规定 】 第?二十一条 数【据处理者因重组等原!因需要转移数据的】应当明确数据转移】方案涉?及重要数据的应【当采取必要的安【全,保护措施事》前向行业监管—部门报?告数据转《移方案?引,起重要数据目录发】生变化?的应:当及:时向行业监管部【门报备 第】二十二?条, 数据《处理者委托他—人,处理、与他人共同】处理数据《的数据安全》。责任不因委托而改】变应当通过签订【合同协议等方式明】确委托?方与受托方的数据】安全:。责任和义务涉及重】要数据的委托方要】。。把安:。全作:为重要考虑因素【应当:对受托方的》数据安全保护能力】、资质?进行评估或核—实经过严格》的审批程《序明确受托方的数据!处理权限《和保护责任并监督受!。托方履行数》据安全保《护,义务 —    除》法律:法,。规等另有规定外【未经委托方同意受】托方不得将》数,据提供给第》三方 第二十三】条 数据处理者】应当在数据》全生命周《期,处理过程中记录【数据处理、权—限管:理、人员操作等日志!并采用商用密码【技术保护《日志的完整性—其中一般数据的日志!留,存时间不少于六个月!涉及重要数》据安全?事件处置、溯源【的相关?日志留?存时间不少于一年】;涉及向他人—提供、委托》处理、共同处—理,重要数据的》相关日志留存时间】不,少于三年涉及核心数!据安全事件》处置、溯源的相关】日志留存时间不【少于三?年 : ,