安全验证
more
: 第三—章 数据》全生命周期安—全管理 第】十二条? 数据处理者应】当对数据处理活动安!全负:主体责?任,对各《类数据实行分级防护!不同级?别数据同时》被处理且难以分别】。采取保护《措施的应当按照其】中级别最高》的要求实施》保护确保《。数据持续处》。于,有效保护和合—法利:用的状态 — ,  :   (一)建立数!据安:全管理制《度针对?不同级别数据—制定:。数据全生命》周期各环《节的具体分级防护要!求和操作规程 】     (二)!根据需要配备数据安!全管理?人员统筹负责数据处!理活动的《安全监督管理协助行!业监管?部门开展工作 】     (三)!利用互联网等信息网!络开展数据》处理活动时要落【实网:络安全等级保—护,。、关键信《息基础设施》安,全,保,护、密码保护和【。保密等?制,度要求 《     (四!)应当采取相应技术!措施和其他》必要措施保障数据安!全防范数据被篡改】、破坏、《泄露或者非》法获取、非法利【用等风险 》 , , ,    (五—)合理确定数据【处理活动的操作权】限严格实施人员权】限管:理 :  《   (六》),根据应对数据安【全事件的需》要,制定应急预案—。 并开?展应急演练 【     (【七,)定期对从业人员】开展数据安全知识和!技能相关教育培【训     !(八)法律法规等规!定的其?他措:。施, , ,    》 ,重要数据和核心数据!处理者还应当 !  :   (一)建立】覆盖本单《位相:关部门?的数据安全》工作体系 明确数】据安全负责人和管理!机构建立常态—化沟通?与协:作机制?本单位?法定:代表人或主要负责】。人是数据安全第【一责任人领导班子中!分管数?据安:全,的班子成《员是直接责任人【其他成员对职责范】围内的数《据安全工作》负,领,导责:任履行?数据安全保护—义务接受监》督 》  :  (?二,)明确数据处理关】键岗位和岗》位职责并《要求关键岗位—。人员签署数据安全责!任,书责任书内容—包括但不限于—。数据安全岗位职责、!义务、处罚措施【、注:。意事项等《内容应当按》照业务工作需要和】最小授权原则—依据岗位职责设【定数据处理权限控】制,重要数据接触—范围人员变动时【应及时调整权限【涉及核?心数据的相关—关键岗位人员、【信息:系统建设和运—维单位等提交公【安机关、国家安全】机,关进行国家安全背】景审查 【 ,  : (三)建》立内部登记、—审,批,机制:对,重,要数据和《核心数据的处—理活动进《行严格管理并留存】记,录不少于六个月 !。     —(四)在数据全生】命周期的《各环节应当》综合运用加密、鉴权!、认:证、脱敏、校验【、审计等技术—手段:进行安?全保:护,并按照法律法】规和国家有关规定要!求使用商用密码进】行,保护  【   (五)涉重】要数据信息》系统建设、运维项目!未,。经,委托方批准》不得转包、分—包建设运维》。人员未经《委托方?明,确授权不得处理委托!方的重要数据在提】供涉重要数》据信息?系统建设、运—。维过程中收集、产生!的数据不得用于【其他用?途服务完成后按【照与委托方约定处】理或及时删》除     !(六)应《当加强人员和经【费保障 第十!三条 《数据:处理:者收集?数据应当遵循合法】、正当的原则—不得:窃取:或者以其他非法【。方式收集数》据法律?法规对收集数据的】目的、范围有规定的!应当在法律法规规定!的目的和范围内收】集 《    《 数据?收集过程中》应当根据数据安【全级别采取》相应:的安全措施加强重】要,。数据和核《心数据收集生产人】。员、设备的管—。理 并对收集来【源、时间、类型【、数量、精度—、,区域、频度、流【向,等进行记录 !   ? 通过?间接途径获》取重:要数据和核》心数据的数》据处理者应》当与数据提供—方通过签署相关协】议、承?诺书等方式明确【。双,方法律责《任, : :第十四条 数据】处理者应当依据法律!法规规定《的,方式和期限存储数】据,可以从物《理和:环,境安全、网络和通信!安全、设备和计算】安全、应用和—数,据安全等方面加强】数,据存储安全管控【保障存储《数,据的完整性、保密性!。、真实性《。和可用性 — :    存》储,重,要,数据的要落实第三级!及以上网络》安全等级保护—要求存储核》心数据的《要落实关《键信息?基础设施安全保护】要求或第四级—网络安全等级保护】要求 《 :第,。十五条 《 数据处理者—开展数据加工—使用处理活动应当采!取访问控制、数【据防泄露、》操作审计等》管控措?施确保过程安—全、合?规,、可:控、可溯源防范数】据关联挖掘、分析】过程:中有:价值信息和》个人隐私泄露—的安全风险明确数据!使用加?工过:程中的相关责—任保证?数据:的,正当加工使用加【工使用过程》中应当?。按照数据级别—采取相应的措—施保护数据的安【全性所使用的数据】必须是?真实可靠的数—。据来源、收》集过程须经》过审查和《核实涉及利用—数据进行自》动化决策的应—当保证决策的透明】度和:结果公?平合:理加工使用重—要数据和《核心数据还》应当实施《严格:的访问控制建立【数据:可信可控、日志留】存审计、风险监【测评估、实时监【控、:应急处置《、数据溯源等相【。关技术和管理机制 ! , :。第十六条 —数据处理《者应当?根据传输《的数:据类:型、级别和应—。用场:景制定?安全策略并采取【保护措施传输—重要数据和核心【。数据的应当采取校】验技术、密码技术、!。。安全传输通道或者】安全传输协议—等措施? 第十七条 ! 数据处《。理者应当按照—有关规定安全有序】提供数据明确提【供,的范围、类别、【条件、程《序等提供的数—据应当?限于实现《数据接收方处理【目的的最小范—围并告知数据接收方!按照对应级别进行分!类分:级保:护采:取必要的安全保护】措施:涉及重要数》据的与数据接收方签!。订,。数据:安全协议重》要数据在共享、调】用过程中应当加强安!全管控采取技术措施!定期监?测数据共享、—调用的情况并—配备风险隔离、【认证鉴权、威胁告警!等安:全保护措施涉及【提供、?共享核心《数据的应《当采:取必要的安全保【护措施并上报—自然资?源部:自本年度1月1日起!可能累计《达到总量30%及以!上的应当经自然资源!部报国家数据安全】工作协调机制组【织风险评估》涉及国家机关依法】履,职或单?位内部流《动的除外 第!十八条 》数据处理者应当在】数据公开前》分析研判可能—对国家安全、公共】利益产生的》影响存在显著负【。面影响或风险的【不,得公开政府机关部门!应当遵守公正、公平!、便民的原则按【照规定及《时、准确地公开政】务数据依法不予【公开的?除外 第十九!条 数据处理【者应当?建立数据销毁制【度明确销毁对象、】。规则、流程和技【术等要求对销—毁活动进行记录和留!存,依,据法律法规规定【、合同约定等请求】销毁的数据》处理者?应当销毁《相应:数据:  》   销毁重要数据!和核心数据的要采】取必要?的安:全保护措施并事前向!行业:监管部门《报告数据销毁方案】引起重要数》据和核心数据目录变!化的:应当及?时向行业监管部门报!备不得以任何理【由、任何《方,式对销毁数据—进,行恢:复 第—二十条 数据【处理者在中华人【。民共和国境内收集和!产生的?重要数据应》当在:境内存储确需向境外!提供的数据》处理者应当》落实国家网》信部门数《据出:境安全?评估有关规定 】 第二十》一条 数据—处理者因重》组等原因《需要转移《数据的应《当,明确:数据转移方案—涉及重要数据的【应当采取必要的【安全:保护措施事前向行业!监管部?门报告?数据转移方案引【起重要?数据目录发生变化的!应当及时向》行业监管部门报【备, 第二十二】条 数《据处理者委托他人】处理、?与他人共同处理数据!的数据安《全责:任不因委托而改变应!当通过?签订合同协议等【方,式明确委托方—与受托方的数据安全!责任和义务涉及重要!数据的委托》。方要把安全作为【重要考虑因素应当】对受:托方的数据》安全保护能》力、资?质进:行评估或核》实经过?严格的?审批程序明确—受托:方的数据处理权限】和保:护责任并监》督受托方履行—数据安全保》护义务 —     除法【律法:规等另有规定—。外未经委《托方同意受托方不得!将数据提供给第三方! 第?二十:三条 数据处理者!应当在数据全—生命周期处理—。过程中记《录数据处理、权限】管理、人员操—作等日志并》采,用商:用,密码技术保护—日志的完《整性:其中一?般数据的日志留存时!间不少于六个—月涉及重要数据安】。。全,事件:处置、溯《源,的相关?日志:留存时?间不少于《一年;涉及向—他人提?供、委?托处理、共同—处,。理重:要数据的相关日志】留存时间不少于【三年:涉,及核心数《据,安全事件处置—、溯源?的相关?日志留?存时间不少于三年 ! ,