DB1331∕T0042022雄安新區(qū)數(shù)據(jù)安全建設(shè)導(dǎo)則(雄安新區(qū))1.1范圍本文件規(guī)定了雄安新區(qū)數(shù)據(jù)安全建設(shè)的總體要求、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全保護(hù)、數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警、數(shù)據(jù)安全事件應(yīng)急處置等內(nèi)容。本文件適用于雄安新區(qū)范圍內(nèi)各類組織機(jī)構(gòu)開展數(shù)據(jù)安全建設(shè)工作。1.2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T222392019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T352732020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T379882019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T397252020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南GB/T414792022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求1.3術(shù)語(yǔ)和定義3.1數(shù)據(jù)安全datasecurity通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。3.2數(shù)據(jù)分類分級(jí)dataclassificationandgrading根據(jù)數(shù)據(jù)的重要性、敏感性和保密性等特征，對(duì)數(shù)據(jù)進(jìn)行分類和等級(jí)劃分的過程。3.3數(shù)據(jù)安全保護(hù)datasecurityprotection為保障數(shù)據(jù)安全而采取的技術(shù)和管理措施，包括數(shù)據(jù)加密、訪問控制、安全審計(jì)等。3.4數(shù)據(jù)安全監(jiān)測(cè)datasecuritymonitoring對(duì)數(shù)據(jù)安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和分析，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅的過程。1.4總體要求4.1基本原則a)安全與發(fā)展并重：在保障數(shù)據(jù)安全的前提下，促進(jìn)數(shù)據(jù)資源的合理利用和價(jià)值釋放；b)分類分級(jí)保護(hù)：根據(jù)數(shù)據(jù)的重要性和敏感性，實(shí)施差異化的安全保護(hù)措施；c)全生命周期管理：覆蓋數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、共享、銷毀等全過程的安全管理；d)技術(shù)與管理結(jié)合：綜合運(yùn)用技術(shù)手段和管理措施，構(gòu)建全方位的數(shù)據(jù)安全保障體系。4.2建設(shè)目標(biāo)雄安新區(qū)數(shù)據(jù)安全建設(shè)的目標(biāo)是：a)建立健全數(shù)據(jù)安全管理制度和標(biāo)準(zhǔn)規(guī)范體系；b)構(gòu)建技術(shù)先進(jìn)、功能完善的數(shù)據(jù)安全技術(shù)防護(hù)體系；c)形成數(shù)據(jù)安全監(jiān)測(cè)、預(yù)警和應(yīng)急處置能力；d)培養(yǎng)專業(yè)的數(shù)據(jù)安全人才隊(duì)伍；e)提升全社會(huì)數(shù)據(jù)安全意識(shí)和防護(hù)能力。4.3適用范圍本導(dǎo)則適用于雄安新區(qū)范圍內(nèi)：a)各級(jí)政府部門及其所屬機(jī)構(gòu)；b)企事業(yè)單位；c)社會(huì)組織；d)其他處理數(shù)據(jù)的組織和個(gè)人。4.4管理職責(zé)4.4.1雄安新區(qū)管理委員會(huì)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)新區(qū)數(shù)據(jù)安全建設(shè)工作，制定數(shù)據(jù)安全發(fā)展戰(zhàn)略和政策，組織開展數(shù)據(jù)安全監(jiān)督檢查。4.4.2各行業(yè)主管部門負(fù)責(zé)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全工作的指導(dǎo)、監(jiān)督和管理，制定行業(yè)數(shù)據(jù)安全實(shí)施細(xì)則。4.4.3數(shù)據(jù)處理者應(yīng)當(dāng)落實(shí)數(shù)據(jù)安全主體責(zé)任，建立健全數(shù)據(jù)安全管理制度，配備數(shù)據(jù)安全管理人員，開展數(shù)據(jù)安全教育培訓(xùn)。4.4.4數(shù)據(jù)安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)依法取得相應(yīng)資質(zhì)，按照國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范提供數(shù)據(jù)安全服務(wù)，并對(duì)服務(wù)質(zhì)量負(fù)責(zé)。5數(shù)據(jù)分類分級(jí)5.1分類原則5.1.1數(shù)據(jù)分類應(yīng)當(dāng)遵循科學(xué)性、系統(tǒng)性、實(shí)用性和可擴(kuò)展性原則，根據(jù)數(shù)據(jù)屬性、業(yè)務(wù)領(lǐng)域和數(shù)據(jù)特征進(jìn)行合理劃分。5.1.2數(shù)據(jù)分類應(yīng)當(dāng)覆蓋數(shù)據(jù)全生命周期，包括數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、共享、銷毀等各環(huán)節(jié)。5.1.3數(shù)據(jù)分類應(yīng)當(dāng)與業(yè)務(wù)流程緊密結(jié)合，便于數(shù)據(jù)安全管理和責(zé)任落實(shí)。5.2分類方法5.2.1按數(shù)據(jù)屬性分類：根據(jù)數(shù)據(jù)的內(nèi)在屬性，可分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。5.2.2按業(yè)務(wù)領(lǐng)域分類：根據(jù)數(shù)據(jù)所屬業(yè)務(wù)領(lǐng)域，可分為政務(wù)數(shù)據(jù)、公共服務(wù)數(shù)據(jù)、產(chǎn)業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)等。5.2.3按數(shù)據(jù)特征分類：根據(jù)數(shù)據(jù)的敏感程度和重要性，可分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)。5.3分級(jí)標(biāo)準(zhǔn)5.3.1核心數(shù)據(jù)：關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益的數(shù)據(jù)，一旦遭到破壞、泄露或非法使用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公共利益造成特別嚴(yán)重危害。5.3.2重要數(shù)據(jù)：關(guān)系國(guó)家經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公共利益或者可能危害個(gè)人合法權(quán)益的數(shù)據(jù)，一旦遭到破壞、泄露或非法使用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公共利益造成嚴(yán)重危害，或者對(duì)個(gè)人合法權(quán)益造成重大損害。5.3.3一般數(shù)據(jù)：除核心數(shù)據(jù)和重要數(shù)據(jù)以外的其他數(shù)據(jù)，一旦遭到破壞、泄露或非法使用，可能對(duì)個(gè)人合法權(quán)益造成一定損害，但不會(huì)對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公共利益造成危害。5.4分級(jí)程序5.4.1數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)，結(jié)合業(yè)務(wù)特點(diǎn)和安全需求，對(duì)所處理的數(shù)據(jù)進(jìn)行自主分級(jí)。5.4.2數(shù)據(jù)分級(jí)應(yīng)當(dāng)經(jīng)過內(nèi)部審核程序，重要數(shù)據(jù)和核心數(shù)據(jù)的分級(jí)結(jié)果應(yīng)當(dāng)報(bào)行業(yè)主管部門備案。5.4.3數(shù)據(jù)分級(jí)實(shí)行動(dòng)態(tài)管理，當(dāng)數(shù)據(jù)屬性、業(yè)務(wù)需求或安全環(huán)境發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)調(diào)整數(shù)據(jù)級(jí)別。5.4.4行業(yè)主管部門應(yīng)當(dāng)制定本行業(yè)數(shù)據(jù)分級(jí)指南，指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分級(jí)工作。6數(shù)據(jù)安全保護(hù)6.1一般要求6.1.1數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)分級(jí)結(jié)果，采取相應(yīng)的安全保護(hù)措施，確保數(shù)據(jù)安全。6.1.2數(shù)據(jù)安全保護(hù)措施應(yīng)當(dāng)包括技術(shù)措施和管理措施，覆蓋數(shù)據(jù)全生命周期各環(huán)節(jié)。6.1.3數(shù)據(jù)處理者應(yīng)當(dāng)定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)和處置安全風(fēng)險(xiǎn)。6.2技術(shù)措施6.2.1數(shù)據(jù)采集環(huán)節(jié)應(yīng)當(dāng)采取身份認(rèn)證、訪問控制、數(shù)據(jù)加密等技術(shù)措施，確保采集過程的安全可控。6.2.2數(shù)據(jù)存儲(chǔ)環(huán)節(jié)應(yīng)當(dāng)采取加密存儲(chǔ)、備份恢復(fù)、容災(zāi)備份等技術(shù)措施，保障數(shù)據(jù)的完整性、保密性和可用性。6.2.3數(shù)據(jù)傳輸環(huán)節(jié)應(yīng)當(dāng)采取傳輸加密、安全通道、數(shù)據(jù)校驗(yàn)等技術(shù)措施，防止數(shù)據(jù)在傳輸過程中被竊取、篡改或丟失。6.2.4數(shù)據(jù)處理環(huán)節(jié)應(yīng)當(dāng)采取安全計(jì)算、隱私保護(hù)、脫敏處理等技術(shù)措施，確保數(shù)據(jù)處理過程的安全。6.2.5數(shù)據(jù)共享環(huán)節(jié)應(yīng)當(dāng)采取訪問控制、數(shù)據(jù)脫敏、安全審計(jì)等技術(shù)措施，實(shí)現(xiàn)數(shù)據(jù)的安全可控共享。6.2.6數(shù)據(jù)銷毀環(huán)節(jié)應(yīng)當(dāng)采取數(shù)據(jù)清除、介質(zhì)銷毀等技術(shù)措施，確保數(shù)據(jù)無法被恢復(fù)。6.3管理措施6.3.1數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全責(zé)任部門和責(zé)任人。6.3.2數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全操作規(guī)程，規(guī)范數(shù)據(jù)處理活動(dòng)。6.3.3數(shù)據(jù)處理者應(yīng)當(dāng)開展數(shù)據(jù)安全教育培訓(xùn)，提高員工數(shù)據(jù)安全意識(shí)和技能。6.3.4數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全審計(jì)制度，定期開展數(shù)據(jù)安全審計(jì)。7數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警7.1監(jiān)測(cè)要求7.1.1數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全監(jiān)測(cè)系統(tǒng)，對(duì)數(shù)據(jù)安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。7.1.2數(shù)據(jù)安全監(jiān)測(cè)應(yīng)當(dāng)覆蓋數(shù)據(jù)全生命周期各環(huán)節(jié)，包括數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、共享和銷毀等。7.1.3數(shù)據(jù)安全監(jiān)測(cè)應(yīng)當(dāng)能夠及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全事件和異常行為。7.2預(yù)警機(jī)制7.2.1數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全預(yù)警機(jī)制，對(duì)監(jiān)測(cè)到的安全風(fēng)險(xiǎn)進(jìn)行分級(jí)預(yù)警。7.2.2預(yù)警級(jí)別應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度和影響范圍確定，一般分為特別重大、重大、較大和一般四個(gè)級(jí)別。7.2.3數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)預(yù)警級(jí)別采取相應(yīng)的應(yīng)對(duì)措施，及時(shí)處置安全風(fēng)險(xiǎn)。8數(shù)據(jù)安全事件應(yīng)急處置8.1事件分級(jí)8.1.1數(shù)據(jù)安全事件根據(jù)其影響范圍和危害程度，分為特別重大、重大、較大和一般四個(gè)級(jí)別。8.1.2特別重大數(shù)據(jù)安全事件：造成特別嚴(yán)重后果的數(shù)據(jù)安全事件，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公共利益造成特別嚴(yán)重危害。8.1.3重大數(shù)據(jù)安全事件：造成嚴(yán)重后果的數(shù)據(jù)安全事件，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公共利益造成嚴(yán)重危害，或者對(duì)個(gè)人合法權(quán)益造成重大損害。8.1.4較大數(shù)據(jù)安全事件：造成較嚴(yán)重后果的數(shù)據(jù)安全事件，可能對(duì)個(gè)人合法權(quán)益造成較大損害。8.1.5一般數(shù)據(jù)安全事件：造成一定后果的數(shù)據(jù)安全事件，對(duì)個(gè)人合法權(quán)益造成一定損害。8.2應(yīng)急處置8.2.1數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確應(yīng)急處置流程和責(zé)任分工。8.2.2發(fā)生數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取應(yīng)急處置措施。8.2.3應(yīng)急處置措施應(yīng)當(dāng)包括：事件調(diào)查、影響評(píng)估、應(yīng)急處置、恢復(fù)重建等環(huán)節(jié)。8.2.4數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)現(xiàn)數(shù)據(jù)安全事件后24小時(shí)內(nèi)向行業(yè)主管部門和雄安新區(qū)管理委員會(huì)報(bào)告。8.2.5特別重大和重大數(shù)據(jù)安全事件應(yīng)當(dāng)立即報(bào)告，并持續(xù)報(bào)告事件進(jìn)展情況。9監(jiān)督檢查9.1監(jiān)督檢查主體9.1.1雄安新區(qū)管理委員會(huì)負(fù)責(zé)組織對(duì)新區(qū)范圍內(nèi)數(shù)據(jù)安全建設(shè)工作的監(jiān)督檢查。9.1.2各行業(yè)主管部門負(fù)責(zé)對(duì)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全工作的監(jiān)督檢查。9.1.3數(shù)據(jù)處理者應(yīng)當(dāng)配合監(jiān)督檢查工作，如實(shí)提供相關(guān)資料和信息。9.2監(jiān)督檢查內(nèi)容9.2.1數(shù)據(jù)安全管理制度建設(shè)情況。9.2.2數(shù)據(jù)分類分級(jí)實(shí)施情況。9.2.3數(shù)據(jù)安全保護(hù)措施落實(shí)情況。9.2.4數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警系統(tǒng)建設(shè)情況。9.2.5數(shù)據(jù)安全事件應(yīng)急處置情況。9.2.6數(shù)據(jù)安全教育培訓(xùn)