第四章 数据安全监测预警与应急管理
第二十四条 自然资源部按照国家相关标准和流程,组织建立自然资源领域数据安全风险监测机制,建立自然资源领域数据安全风险监测预警体系,划分数据安全风险和事件等级,组织建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,与相关部门加强信息共享。国家林业和草原局组织建立林草数据安全风险监测预警机制,划分林草数据安全风险和事件等级,组织建设林草数据监测预警技术手段。
地方行业监管部门分别建设本地区数据安全监测预警机制,组织开展本地区自然资源领域数据安全风险监测,按照有关规定及时发布预警信息,通知本地区数据处理者及时采取应对措施。
数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十五条 自然资源部组织指导开展自然资源领域数据安全风险评估等工作。国家林业和草原局组织指导开展林草数据安全风险评估等工作。
地方行业监管部门分别负责组织开展本地区自然资源领域数据安全风险评估工作。
重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向行业监管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的类别、数量,开展数据处理活动的情况,面临的数据安全风险、应对措施及其有效程度等。数据处理者应当保留风险评估报告至少三年。核心数据处理者优先使用第三方评估机构开展风险评估。
数据处理者在组织重要数据安全风险评估时,应当对其数据查询、下载、修改、删除等重点操作的日志开展审计分析,发现违规或异常行为,应及时采取相应处置措施。
第二十六条 自然资源部组织建立自然资源领域数据安全风险信息通报机制,统一汇集、分析、研判、通报数据安全风险信息。国家林业和草原局组织建立林草数据安全风险信息通报机制。
地方行业监管部门分别汇总分析本地区自然资源领域数据安全风险,根据数据安全风险的发展态势、规模大小、关联程度、现实危害等综合研判,及时将可能造成重大及以上安全事件的风险向自然资源部报告。
数据处理者及时将可能造成较大及以上安全事件的风险向行业监管部门报告。
第二十七条 自然资源部组织制定自然资源领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。国家林业和草原局组织建立林草数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
地方行业监管部门分别组织开展本地区自然资源领域数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即报自然资源部,并及时报告事件发展和处置情况。
数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向行业监管部门、属地公安部门报告,事件处置完成后在一周以内形成总结报告。每年向行业监管部门报告数据安全事件处置情况。
数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。