安全验证
more
, 第三章 ! 数据全生命周【期安全管理》 《第十:二条 ? 数据处理者应当对!数据处理《活动安全负主体责任!,对各类数据实行分!级防护不同级别【数据:同时被处理且—难以分别《采取保护措施—的应当按照其—中级别最高的—要求实施保护—确保数?。据持续处于有—效保护和合》法利用的状态 ! , ,   (一)—。建立:数据安全管理制度】针对不?。同级别数据》制定数据全生命周】期,各环:节,。的具体分级》防护要求和操作【规程 ?   》  (二)根据【需要配备《数据安全管理人员】统筹负责数据处【理活动的安全—监督管?理协助行业监管部】门开展工作 —     (三!)利用互联网等信】息网络?开展数?据处理活动时要落】实网络安全》等级保护《、关键信息基础设】施安全保《护、密?码保护和保》密等制?度要求 【    (》四)应当采取—相应技术措施和其】他必:要措施?保障数据安》全防:范数据被篡》改、破坏、泄—。露或者非法获取、非!。法利用等风》险     !。。(五)合《理确定数《据处理?活动:的操作权限》严格实施人员权限】管理 《     —(六:)根据应对数据安全!事件的需要》制定应急预案 并】开展:应急演练 》 , ,     (七)定!期对从业人员开【展,数据安全知识和技】能相关教育培训 !   《  :(八)法律法规【等规定的其》他,措施 ?     重】要数据和《核心:数据处?理者还应当 — ?    (一)【。建立覆盖本单位相】关,部,门的:数据安全工作体【系, ,明确数据安全负责人!和管理机《。构建立?常态:化,沟通与协作机制本】单位法定代表人【。或主要负责人是【数据安全第一责【任人:领,导班子中分管数据安!全的:班子成员是》直接责任人其—他成员对《职责范围内》的数据安全工—作负:领导责任履行数据安!全保护义务接—受监督   !  (二《)明确数据》处理关键《岗位和?岗位职责并要求关键!岗位人员签署数据】安全责任书》责任书?内容包括但不—限于数据安全岗【位职责、《义务、处罚措施、】注意事项等内容【应当:按照业务工作需要】和最:小授权原则依据岗位!职责设定数据处【理,权限控制重》要数据接触范围人】员,变动时应及时—调,整权限涉及核—心数据的相关—关键岗位《人员、信息系统【建设:和运维单位》等提交公安机关、国!。家安全机关进行【国,家安全背景审查 】     【(三)建立内—部登记、审》批机制对重要数【据和:核心:数据的处《理活动进行》严格管?理并留存《记录不少《于六个月 【    《 (四)在数—据全:生命周期的各—环节应当综》合运用加密、鉴【。。权、认?证、脱敏、校验、】审计:等技术手段进行【安全保?护,并?按照法律法规和国】。家,有关规定要求使用】商用密码《。进行保护 —  ? ,  (五)》涉重要数《据信息系统建设、运!维项目未经委托方批!准不得?转包、分《包建设运维》人员未?经委托方明确授【权,不得处理委托方的】。重,要数据在提供涉重要!数据信息系统建设】、运维过《程中收?集、产生的数据【。不得用于其》他用途服务完成后】按照与?委托方约定处理【或及时?删除   】  (六《)应当?加强人员《和经费保障》 第十三条 ! 数据?处,。理者收集《数据应当遵循合【法、:正当的原则》不得窃取或者以【其他非法方式—收集数据法律—法规对收集数据【的目的、范》围有规定的》应当在法律》法规规定的》目的和?范围内收集 — , :    《。数据:收集过程中应—当根据数据安全【级别:采,取相应的安全—措施加强重》要,数据和核心数据收集!。生,产人员、设备的管】理 并对收集来【源、时间、类型、】数量、精度、区【域、频度、流向等进!行记录 —  :   通过间—接途径获取重要数】据和核心数据—。的数据处《理者应当与数据【提供方?通过签署相关协议】、承:诺书等方式明确双】方法律责任》 第十四【条 : ,数,据处理者应当依据法!。律法规规定》的方式?和,期限存储数》据可以从物》理和环境安全、网络!和通信安全》、设备和计算安【全、应用和》数据安全等方—面加强数据存储【安全管控保障存【储数据的完整性【、保密性、真实性】和可用?。性     !存储重要数》据的要落实》第三级及《以上:网络:。安全等级保护要求存!储核心?数据的?要落实关键信息【基础设施安全—保护:要求或第四级网络】。安全等级保护—要求 第十】五条 数据处【理者:开展数据加工—使用处理活》动应当采取访—问,控制、数据防泄露】。、操作?审计等管控措施确】保,过程安全、合—。规、可控、》。可溯:源防范数据关联【挖掘、?分析过程中》有价值信息》和个人隐《私泄露的安全风险】明确:数据:使,用加:工,过程:中的相关责任保证数!据的正当《加工使用加工使【用过程中应当—。按照数据级别采取】相应的措施保护数据!的安全性所》使用的数据必—须是真实可》靠的:数据来源《、收集过程须—经过审查《和核实涉及利用数】据进行?自动化决策的应当保!证决策?的透:明度和结果公平合】理加工使用重—要数据和《核心数据还》应当实施严》格的访问《控,制建立数《据可信可控、日志】留存审计、风险监测!评估、实《时监控?、应急处《置、数据溯源等相关!技术和管理机—。制 第十六条!。 数据处》理者应当根》据,传输的数据类—型、级别《和应用场景》制定:。。安全策略并采取保】护措施传输重要数据!。和核心数据的应当采!取校验?技术、密码技术、】安全传输通道或者安!全传输?协议等措施》 第》十七条 数据处理!者应:当,按照有关规定安全有!序提供数《。据明确提供的—范,围,、类别、条件、【程序等提供》。的数据?应当限于实现数据接!收方处?理目的的《最小范围并告知【。数据:接收:方按照对应级别进】行分类?分级保护《采取必?要的:安全保护《措施涉及重要数据】的与数据接收方签订!数,据安全协《议重要数据》在共享、调》。用过程中应》当加强安全管控采取!技术措施定期监测】数据共?享、调用的情—况并配备风险—隔离、认证》鉴权、威胁告警【等安全保《。护措:施涉及提供》、共享核心数据的】应当采取必》要,的安全保护》措施并上报自然资】。源部自本年度1月】1,日起可?能累计达到总—量30%及以—上的应当经自然【资源部报国家数据】安全工作协调—。机,制组织风险评—。估涉及国家机关【依法:履职或单位内部流动!。的除外 第】十八条 数据处理!者应当在《。。数据公?开前分析研判—可能对国《家安全、《公共利?益,产生的影响存在显】著负面影《响或风险的不得公】开政府机关部—门应当遵《守公:正、公?平、便民的原—则按照规《定及时、准确—地公开政务数据依】法不予?。公开的除外》。 第十—九条 ?。 数据?处理:。者应当建立》数据销毁制度明【确销毁对象、规【则、:流,程和技术等要求对】。销毁活动进》行记录和《留存依据法律法规规!定、:合同约?定等请求销毁—的数据处理者应当销!毁相:应数:据 》  :  销毁重要数【据和核?心数据的要采—取必要的安》全保护措《施并事前向行业监管!部门报告数据—销毁方案《引起重要数》。据和核心数据目【录变:化的应?。。当,及时:向行业监管部—。门报备不《得以:任何理由《、任何?方,式对销毁数据进行恢!复 第二【十条 数据—处理者在中华人民共!和国境内《收集和产生》的重要数据应当【在境内?存储确需向境外提】供的数据处理者【应当落实国家—网信部门数据出境安!全评估?有关规定 第!二十一?条 数据处理者】因重组等原》因需要转移数—据的应?当明确数据转移方案!涉及重要数据的【应当:采取必要的》安,全保护?措施事前《向行业监管部—门报告数据》转移:。方案引起重要数据目!录发生?变化的应当及时向行!业监管部门》报备 —第二十二条 — 数:据处理者委托—他人处理、与他人共!同处理数据的数据安!全责:任不因委《托而改?变应当通过》签订合同《。协议等方式明确【委托方?与受托?方的:数据安全责任和义】务涉及重要数—据,的委托方《要把安?全作为重要考虑【因,素应当对受》托方的数据安—全保护能力、资质进!行评估或核实经过】严格:的,审批程序明确受托】方的数据处理权限】和保护?。责任并监督受托方】履行数?据安全保护义—务 》    除法律法规!等另有规定外未【经委托?方同意受托方—不得将?数据提供给第三方】 第二十三条 !数据处理者应当【在数:据全生命周期处【理过程?中记:录数据处理、权限管!理,、人员?操,作等日志并》采,用商用密码技术保护!日志的完《整性其中一般数【据的日志留存时间不!。。。少于:六个月涉及》重要数据安全事【件,。处置、溯源的相关】日志留存时间不少于!一年;涉及向他【人提供、委托—处理、共同处理重要!数据的相关日志留】存时间不少于三【年涉及核心数据【。安全事件处置、溯】源的:相关日志留存时【间不少于《三年: :