市數(shù)據(jù)安全管理辦法一、總則（一）目的為加強(qiáng)本市數(shù)據(jù)安全管理，保障數(shù)據(jù)所有者、使用者和管理者的合法權(quán)益，維護(hù)國家安全、公共安全和社會穩(wěn)定，促進(jìn)數(shù)據(jù)的合理利用和有序流通，依據(jù)國家相關(guān)法律法規(guī)，結(jié)合本市實(shí)際情況，制定本辦法。（二）適用范圍本辦法適用于本市行政區(qū)域內(nèi)開展數(shù)據(jù)處理活動的各類組織和個人，包括但不限于國家機(jī)關(guān)、企事業(yè)單位、社會團(tuán)體、個體工商戶以及其他數(shù)據(jù)處理者。（三）基本原則1.合法合規(guī)原則數(shù)據(jù)處理活動應(yīng)當(dāng)遵守國家法律法規(guī)，不得危害國家安全、社會公共利益和公民、法人及其他組織的合法權(quán)益。2.預(yù)防為主原則強(qiáng)化數(shù)據(jù)安全風(fēng)險意識，建立健全數(shù)據(jù)安全預(yù)防機(jī)制，采取有效措施防范數(shù)據(jù)安全事件的發(fā)生。3.分類分級管理原則根據(jù)數(shù)據(jù)的敏感程度和影響范圍，對數(shù)據(jù)進(jìn)行分類分級，實(shí)施差異化的安全管理措施。4.權(quán)責(zé)一致原則明確數(shù)據(jù)處理者的數(shù)據(jù)安全責(zé)任，確保其在數(shù)據(jù)處理活動中依法履行義務(wù)，同時保障其合法權(quán)益。（四）定義1.數(shù)據(jù)指以電子或者其他方式對信息的記錄，包括但不限于文字、圖像、音頻、視頻等各類數(shù)據(jù)形式。2.數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動。3.數(shù)據(jù)安全指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。二、數(shù)據(jù)分類分級管理（一）數(shù)據(jù)分類標(biāo)準(zhǔn)1.按照數(shù)據(jù)的敏感程度分類一般數(shù)據(jù)：不涉及個人隱私、商業(yè)秘密、國家安全等敏感信息的數(shù)據(jù)。敏感數(shù)據(jù)：涉及個人隱私、商業(yè)秘密、國家安全等敏感信息的數(shù)據(jù)，如個人身份信息、健康醫(yī)療數(shù)據(jù)、企業(yè)財務(wù)數(shù)據(jù)、國家機(jī)密文件等。2.按照數(shù)據(jù)的用途分類公共服務(wù)數(shù)據(jù)：用于政府部門提供公共服務(wù)的數(shù)據(jù)，如社保信息、戶籍信息等。企業(yè)經(jīng)營數(shù)據(jù)：企業(yè)在經(jīng)營活動中產(chǎn)生的數(shù)據(jù)，如銷售數(shù)據(jù)、客戶信息等?？蒲袛?shù)據(jù)：科研機(jī)構(gòu)在科研活動中產(chǎn)生的數(shù)據(jù)，如實(shí)驗(yàn)數(shù)據(jù)、研究成果等。（二）數(shù)據(jù)分級標(biāo)準(zhǔn)1.一級數(shù)據(jù)涉及國家安全、國家核心利益的數(shù)據(jù)，如國家機(jī)密文件、軍事戰(zhàn)略數(shù)據(jù)等，這類數(shù)據(jù)受到最嚴(yán)格的保護(hù)。2.二級數(shù)據(jù)涉及個人隱私、商業(yè)秘密且一旦泄露可能對個人或企業(yè)造成重大損害的數(shù)據(jù)，如個人銀行賬戶信息、企業(yè)核心技術(shù)數(shù)據(jù)等。3.三級數(shù)據(jù)一般敏感數(shù)據(jù)，如普通的個人聯(lián)系方式、企業(yè)一般性業(yè)務(wù)數(shù)據(jù)等，保護(hù)要求相對較低。4.四級數(shù)據(jù)一般數(shù)據(jù)，如公開的新聞資訊、企業(yè)宣傳資料等，保護(hù)措施相對簡單。（三）分類分級流程1.數(shù)據(jù)識別數(shù)據(jù)處理者對其擁有的數(shù)據(jù)進(jìn)行全面梳理，確定數(shù)據(jù)的類別和敏感程度。2.分級評估根據(jù)數(shù)據(jù)分類分級標(biāo)準(zhǔn)，對識別出的數(shù)據(jù)進(jìn)行分級評估，確定其所屬級別。3.審核備案數(shù)據(jù)處理者將數(shù)據(jù)分類分級結(jié)果報相關(guān)主管部門審核備案，確保分類分級的準(zhǔn)確性和合規(guī)性。（四）分類分級管理措施1.不同級別數(shù)據(jù)的訪問控制一級數(shù)據(jù)：實(shí)行嚴(yán)格的訪問權(quán)限管理，只有經(jīng)過授權(quán)的特定人員才能訪問，且訪問過程需進(jìn)行詳細(xì)記錄。二級數(shù)據(jù)：限制訪問人員范圍，采用身份認(rèn)證、授權(quán)審批等措施，確保訪問的合法性和安全性。三級數(shù)據(jù)：對訪問人員進(jìn)行必要的權(quán)限管理，記錄訪問操作。四級數(shù)據(jù)：可根據(jù)實(shí)際情況進(jìn)行適當(dāng)?shù)墓_訪問管理。2.不同級別數(shù)據(jù)的存儲安全一級數(shù)據(jù)：采用加密存儲、異地備份等多種安全措施，確保數(shù)據(jù)的保密性、完整性和可用性。二級數(shù)據(jù)：進(jìn)行加密存儲，定期備份，存儲設(shè)備具備安全防護(hù)機(jī)制。三級數(shù)據(jù)：采取基本的存儲安全措施，如數(shù)據(jù)備份、訪問控制等。四級數(shù)據(jù)：存儲在普通存儲設(shè)備上，確保數(shù)據(jù)的可訪問性。三、數(shù)據(jù)處理者責(zé)任（一）數(shù)據(jù)處理者的基本責(zé)任1.建立健全數(shù)據(jù)安全管理制度和操作規(guī)程，明確數(shù)據(jù)安全責(zé)任人員，確保數(shù)據(jù)處理活動合法合規(guī)。2.采取必要的技術(shù)措施和管理措施，保障數(shù)據(jù)的安全，防止數(shù)據(jù)泄露、篡改、丟失等安全事件的發(fā)生。3.對數(shù)據(jù)處理活動進(jìn)行定期審計和自查，及時發(fā)現(xiàn)和整改數(shù)據(jù)安全隱患。4.制定數(shù)據(jù)安全應(yīng)急預(yù)案，定期進(jìn)行演練，提高應(yīng)對數(shù)據(jù)安全事件的能力。（二）數(shù)據(jù)收集階段的責(zé)任1.明確數(shù)據(jù)收集的目的、范圍和方式，確保收集的數(shù)據(jù)合法、必要、正當(dāng)。2.向數(shù)據(jù)主體明示收集數(shù)據(jù)的相關(guān)事項(xiàng)，取得數(shù)據(jù)主體的同意（法律法規(guī)另有規(guī)定的除外）。3.對收集的數(shù)據(jù)進(jìn)行合法性審查，確保數(shù)據(jù)來源合法合規(guī)。（三）數(shù)據(jù)存儲階段的責(zé)任1.選擇安全可靠的數(shù)據(jù)存儲設(shè)備和存儲環(huán)境，確保數(shù)據(jù)存儲的安全性。2.對存儲的數(shù)據(jù)進(jìn)行加密處理，防止數(shù)據(jù)在存儲過程中被竊取或篡改。3.建立數(shù)據(jù)存儲備份機(jī)制，定期備份數(shù)據(jù)，確保數(shù)據(jù)的可恢復(fù)性。（四）數(shù)據(jù)使用階段的責(zé)任1.按照數(shù)據(jù)收集時明示的目的使用數(shù)據(jù)，不得超出授權(quán)范圍使用數(shù)據(jù)。2.對數(shù)據(jù)使用過程進(jìn)行記錄，確保數(shù)據(jù)使用的可追溯性。3.采取必要的安全措施，防止數(shù)據(jù)在使用過程中被泄露或?yàn)E用。（五）數(shù)據(jù)傳輸階段的責(zé)任1.對傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在傳輸過程中的保密性和完整性。2.選擇安全可靠的傳輸渠道和傳輸方式，防止數(shù)據(jù)在傳輸過程中被竊取或篡改。3.對數(shù)據(jù)傳輸過程進(jìn)行監(jiān)控和審計，及時發(fā)現(xiàn)和處理傳輸過程中的安全問題。（六）數(shù)據(jù)提供和公開階段的責(zé)任1.對提供和公開的數(shù)據(jù)進(jìn)行合法性審查，確保數(shù)據(jù)提供和公開的合法合規(guī)。2.采取必要的安全措施，防止數(shù)據(jù)在提供和公開過程中被泄露或?yàn)E用。3.對數(shù)據(jù)提供和公開的過程進(jìn)行記錄，確保數(shù)據(jù)提供和公開的可追溯性。四、數(shù)據(jù)安全技術(shù)保障（一）數(shù)據(jù)加密技術(shù)1.采用對稱加密和非對稱加密相結(jié)合的方式，對敏感數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在存儲和傳輸過程中的保密性。2.根據(jù)數(shù)據(jù)的敏感程度和安全需求，選擇合適的加密算法和密鑰管理系統(tǒng)，保障加密的強(qiáng)度和安全性。（二）訪問控制技術(shù)1.建立基于角色的訪問控制（RBAC）模型，根據(jù)用戶的角色和權(quán)限，對數(shù)據(jù)進(jìn)行訪問控制，確保只有授權(quán)人員才能訪問相應(yīng)的數(shù)據(jù)。2.采用身份認(rèn)證技術(shù)，如用戶名/密碼認(rèn)證、數(shù)字證書認(rèn)證、生物識別認(rèn)證等，確保訪問人員的身份合法性。（三）數(shù)據(jù)脫敏技術(shù)1.在數(shù)據(jù)共享、公開等場景中，采用數(shù)據(jù)脫敏技術(shù)，對敏感數(shù)據(jù)進(jìn)行脫敏處理，確保數(shù)據(jù)在不泄露敏感信息的前提下能夠滿足業(yè)務(wù)需求。2.根據(jù)不同的業(yè)務(wù)場景和安全需求，選擇合適的數(shù)據(jù)脫敏算法，如替換、掩碼、加密等，對數(shù)據(jù)進(jìn)行脫敏處理。（四）數(shù)據(jù)備份與恢復(fù)技術(shù)1.建立數(shù)據(jù)備份機(jī)制，定期對重要數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)存儲在安全可靠的位置，如異地數(shù)據(jù)中心。2.采用增量備份、全量備份等多種備份方式，確保備份數(shù)據(jù)的完整性和及時性。3.定期進(jìn)行數(shù)據(jù)恢復(fù)演練，確保在數(shù)據(jù)發(fā)生丟失或損壞時能夠快速恢復(fù)數(shù)據(jù)，保障業(yè)務(wù)的連續(xù)性。（五）數(shù)據(jù)防泄漏技術(shù)1.部署數(shù)據(jù)防泄漏系統(tǒng)，對數(shù)據(jù)的流出進(jìn)行監(jiān)控和控制，防止敏感數(shù)據(jù)通過網(wǎng)絡(luò)、移動存儲設(shè)備等方式泄漏。2.對數(shù)據(jù)的操作行為進(jìn)行審計和監(jiān)控，及時發(fā)現(xiàn)異常行為并進(jìn)行預(yù)警和處理。五、數(shù)據(jù)安全監(jiān)督管理（一）監(jiān)督管理部門本市設(shè)立數(shù)據(jù)安全管理部門，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)本市數(shù)據(jù)安全管理工作，對數(shù)據(jù)處理者的數(shù)據(jù)安全工作進(jìn)行監(jiān)督管理。各行業(yè)主管部門按照職責(zé)分工，負(fù)責(zé)本行業(yè)的數(shù)據(jù)安全監(jiān)督管理工作。（二）監(jiān)督檢查內(nèi)容1.數(shù)據(jù)安全管理制度和操作規(guī)程的建立和執(zhí)行情況。2.數(shù)據(jù)分類分級管理情況。3.數(shù)據(jù)安全技術(shù)措施的落實(shí)情況。4.數(shù)據(jù)安全應(yīng)急預(yù)案的制定和演練情況。5.數(shù)據(jù)處理活動的合法性、合規(guī)性情況。（三）監(jiān)督檢查方式1.定期檢查：監(jiān)督管理部門定期對數(shù)據(jù)處理者進(jìn)行檢查，檢查內(nèi)容包括數(shù)據(jù)安全管理制度、技術(shù)措施、應(yīng)急預(yù)案等方面的落實(shí)情況。2.不定期抽查：監(jiān)督管理部門不定期對數(shù)據(jù)處理者進(jìn)行抽查，及時發(fā)現(xiàn)和處理數(shù)據(jù)安全問題。3.專項(xiàng)檢查：針對特定的數(shù)據(jù)安全問題或行業(yè)領(lǐng)域，開展專項(xiàng)檢查，深入排查數(shù)據(jù)安全隱患。（四）違規(guī)處理1.對于違反本辦法規(guī)定的數(shù)據(jù)處理者，監(jiān)督管理部門責(zé)令其限期整改；逾期未整改的，依法予以處罰。2.對發(fā)生數(shù)據(jù)安全事件的數(shù)據(jù)處理者，依法追究其法律責(zé)任；構(gòu)成犯罪的，依法移送司法機(jī)關(guān)處理。六、數(shù)據(jù)安全應(yīng)急處置（一）應(yīng)急預(yù)案制定1.數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，明確應(yīng)急處置的組織機(jī)構(gòu)、流程、措施等內(nèi)容。2.應(yīng)急預(yù)案應(yīng)當(dāng)包括數(shù)據(jù)泄露、篡改、丟失等安全事件的應(yīng)急處置措施，以及與相關(guān)部門的應(yīng)急協(xié)調(diào)機(jī)制。（二）應(yīng)急處置流程1.事件報告：數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全事件后，應(yīng)當(dāng)立即向本單位的數(shù)據(jù)安全管理部門報告，并及時向相關(guān)主管部門報告。2.應(yīng)急響應(yīng)：數(shù)據(jù)安全管理部門接到報告后，立即啟動應(yīng)急預(yù)案，組織相關(guān)人員進(jìn)行應(yīng)急處置。3.事件調(diào)查：對數(shù)據(jù)安全事件進(jìn)行調(diào)查，查明事件原因、影響范圍、損失情況等。4.應(yīng)急處置措施：根據(jù)事件情況，采取相應(yīng)的應(yīng)急處置措施，如數(shù)據(jù)恢復(fù)、系統(tǒng)修復(fù)、數(shù)據(jù)加密等，防止事件擴(kuò)大。5.后期處置：對事件進(jìn)行總結(jié)評估，分析事件發(fā)生的原因