市生態(tài)環(huán)保局?jǐn)?shù)據(jù)傳輸安全管控辦法第一章總則第一條為規(guī)范市生態(tài)環(huán)保局?jǐn)?shù)據(jù)傳輸安全管理，保障生態(tài)環(huán)境數(shù)據(jù)在傳輸過程中的保密性、完整性和可用性，防范數(shù)據(jù)泄露、篡改、丟失等安全風(fēng)險(xiǎn)，依據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《生態(tài)環(huán)境數(shù)據(jù)安全管理辦法（試行）》等法律法規(guī)及政策要求，結(jié)合本市生態(tài)環(huán)保工作實(shí)際，制定本辦法。第二條本辦法適用于市生態(tài)環(huán)保局（含局屬各單位、各派出機(jī)構(gòu)，以下統(tǒng)稱“局內(nèi)各單位”）在履行生態(tài)環(huán)境監(jiān)管職責(zé)過程中，通過有線、無線通信網(wǎng)絡(luò)或存儲(chǔ)介質(zhì)進(jìn)行的結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)傳輸活動(dòng)，包括但不限于環(huán)境質(zhì)量監(jiān)測數(shù)據(jù)、污染源監(jiān)控?cái)?shù)據(jù)、行政審批數(shù)據(jù)、執(zhí)法監(jiān)管數(shù)據(jù)、公眾服務(wù)數(shù)據(jù)等。第三條數(shù)據(jù)傳輸安全管理遵循“分類分級(jí)、最小授權(quán)、全程可控、責(zé)任到人”原則：（一）分類分級(jí)：根據(jù)數(shù)據(jù)敏感程度、影響范圍，實(shí)施差異化安全防護(hù)；（二）最小授權(quán)：僅向必要人員、必要系統(tǒng)開放數(shù)據(jù)傳輸權(quán)限，控制傳輸范圍；（三）全程可控：對(duì)數(shù)據(jù)傳輸發(fā)起、審批、傳輸、接收、歸檔全流程記錄與監(jiān)控；（四）責(zé)任到人：明確數(shù)據(jù)傳輸各環(huán)節(jié)主體責(zé)任，確?？勺匪?、可問責(zé)。第二章數(shù)據(jù)分類分級(jí)第四條局內(nèi)數(shù)據(jù)按敏感程度和安全防護(hù)要求，劃分為三級(jí)：核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。第五條核心數(shù)據(jù)指一旦泄露、篡改或丟失，可能直接危害國家安全、公共利益或重大生態(tài)環(huán)境安全，或嚴(yán)重?fù)p害個(gè)人、組織合法權(quán)益的數(shù)據(jù)，包括：（一）未公開的市級(jí)以上生態(tài)環(huán)境規(guī)劃、重大政策文件草案；（二）涉及國家秘密的環(huán)境監(jiān)測數(shù)據(jù)、污染源普查數(shù)據(jù)；（三）涉及個(gè)人隱私的環(huán)境信訪舉報(bào)信息（含姓名、聯(lián)系方式、地址等）；（四）其他經(jīng)局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組認(rèn)定為核心數(shù)據(jù)的信息。第六條重要數(shù)據(jù)指一旦泄露、篡改或丟失，可能對(duì)生態(tài)環(huán)境管理、公共服務(wù)或個(gè)人/組織權(quán)益造成較大影響的數(shù)據(jù)，包括：（一）未向社會(huì)公開的月度/季度環(huán)境質(zhì)量綜合分析報(bào)告；（二）重點(diǎn)排污單位在線監(jiān)控實(shí)時(shí)數(shù)據(jù)（含小時(shí)均值、日均值）；（三）建設(shè)項(xiàng)目環(huán)評(píng)審批未公開的專家評(píng)審意見；（四）環(huán)境執(zhí)法未結(jié)案的調(diào)查筆錄、證據(jù)材料；（五）其他經(jīng)局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組認(rèn)定為重要數(shù)據(jù)的信息。第七條一般數(shù)據(jù)指除核心數(shù)據(jù)、重要數(shù)據(jù)外的其他數(shù)據(jù)，包括已向社會(huì)公開的環(huán)境質(zhì)量公報(bào)、行政處罰決定書（已結(jié)案）、環(huán)保科普資料等。第八條數(shù)據(jù)提供部門應(yīng)在數(shù)據(jù)生成或獲取后5個(gè)工作日內(nèi)，完成數(shù)據(jù)分類分級(jí)標(biāo)注，填寫《數(shù)據(jù)分類分級(jí)確認(rèn)表》，經(jīng)部門負(fù)責(zé)人審核后，報(bào)局?jǐn)?shù)據(jù)安全管理辦公室備案。第三章傳輸流程規(guī)范第九條數(shù)據(jù)傳輸實(shí)行“一事一申請、分級(jí)審批”制度。數(shù)據(jù)發(fā)起方需提前填寫《數(shù)據(jù)傳輸申請單》，內(nèi)容包括：數(shù)據(jù)名稱、分類分級(jí)、數(shù)據(jù)量、接收方（含名稱、聯(lián)系人、聯(lián)系方式）、傳輸方式（網(wǎng)絡(luò)傳輸/介質(zhì)傳輸）、傳輸時(shí)間、用途說明等，經(jīng)數(shù)據(jù)提供部門負(fù)責(zé)人初審后，按以下權(quán)限審批：（一）一般數(shù)據(jù)：由數(shù)據(jù)提供部門分管局領(lǐng)導(dǎo)審批；（二）重要數(shù)據(jù)：由局?jǐn)?shù)據(jù)安全管理辦公室審核，報(bào)局分管信息化工作的局領(lǐng)導(dǎo)審批；（三）核心數(shù)據(jù)：由局?jǐn)?shù)據(jù)安全管理辦公室組織安全評(píng)估，提交局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組（由局主要領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)及相關(guān)部門負(fù)責(zé)人組成）審批。第十條數(shù)據(jù)傳輸方式分為網(wǎng)絡(luò)傳輸和介質(zhì)傳輸，優(yōu)先選擇符合安全要求的網(wǎng)絡(luò)傳輸方式。第十一條網(wǎng)絡(luò)傳輸應(yīng)符合以下要求：（一）內(nèi)部傳輸：局內(nèi)各單位間通過政務(wù)內(nèi)網(wǎng)傳輸數(shù)據(jù)，禁止使用互聯(lián)網(wǎng)郵箱、即時(shí)通訊工具（如微信、QQ）傳輸核心數(shù)據(jù)和重要數(shù)據(jù)；（二）外部傳輸：向同級(jí)政府部門、上級(jí)生態(tài)環(huán)境部門傳輸數(shù)據(jù)時(shí)，通過政務(wù)外網(wǎng)或?qū)Ｓ冒踩ǖ?；向企業(yè)、公眾傳輸數(shù)據(jù)時(shí)，需通過局門戶網(wǎng)站“數(shù)據(jù)開放”專欄或經(jīng)安全認(rèn)證的第三方平臺(tái)（需簽訂數(shù)據(jù)安全協(xié)議）；（三）跨境傳輸：涉及跨境數(shù)據(jù)傳輸?shù)模杼崆跋驀一蚴〖?jí)數(shù)據(jù)安全主管部門申報(bào)，經(jīng)安全評(píng)估后方可實(shí)施。第十二條介質(zhì)傳輸僅適用于無法通過網(wǎng)絡(luò)傳輸?shù)奶厥鈭鼍埃ㄈ珉x線設(shè)備數(shù)據(jù)導(dǎo)出），需遵守以下規(guī)定：（一）介質(zhì)選擇：使用經(jīng)安全檢測的專用存儲(chǔ)介質(zhì)（如加密U盤、移動(dòng)硬盤），禁止使用私人存儲(chǔ)設(shè)備；（二）介質(zhì)管理：介質(zhì)使用前需由技術(shù)保障部門進(jìn)行病毒檢測和格式化，使用后由數(shù)據(jù)接收方在3個(gè)工作日內(nèi)返還或由數(shù)據(jù)發(fā)起方回收，統(tǒng)一登記銷毀；（三）全程記錄：介質(zhì)傳輸需填寫《介質(zhì)傳輸記錄表》，記錄介質(zhì)編號(hào)、數(shù)據(jù)內(nèi)容、傳輸時(shí)間、接收人簽字等信息，留存?zhèn)洳?。第十三條數(shù)據(jù)接收方應(yīng)在接收數(shù)據(jù)后24小時(shí)內(nèi)完成核驗(yàn)，確認(rèn)數(shù)據(jù)完整性（通過哈希值校驗(yàn)）和準(zhǔn)確性，簽署《數(shù)據(jù)接收確認(rèn)單》并反饋數(shù)據(jù)發(fā)起方。發(fā)現(xiàn)數(shù)據(jù)異常（如缺失、篡改）的，需立即中斷使用并向數(shù)據(jù)安全管理辦公室報(bào)告。第十四條數(shù)據(jù)傳輸完成后，數(shù)據(jù)發(fā)起方需在5個(gè)工作日內(nèi)將《數(shù)據(jù)傳輸申請單》《接收確認(rèn)單》等材料歸檔，保存期限不少于5年；核心數(shù)據(jù)傳輸檔案保存期限不少于10年。第四章技術(shù)防護(hù)要求第十五條數(shù)據(jù)傳輸應(yīng)采用符合國家標(biāo)準(zhǔn)的加密技術(shù)：（一）核心數(shù)據(jù)：傳輸過程中需采用端到端加密，加密算法應(yīng)符合《信息安全技術(shù)密碼算法應(yīng)用指南》（GB/T39786-2021）要求，優(yōu)先使用SM4、AES-256等高強(qiáng)度算法；（二）重要數(shù)據(jù)：采用傳輸層加密（如TLS1.3）或虛擬專用網(wǎng)絡(luò)（VPN）加密；（三）一般數(shù)據(jù)：鼓勵(lì)采用基礎(chǔ)加密措施（如HTTPS），確保傳輸過程可審計(jì)。第十六條訪問控制要求：（一）網(wǎng)絡(luò)傳輸需通過身份認(rèn)證（如用戶名+密碼）或多因素認(rèn)證（如用戶名+密碼+動(dòng)態(tài)令牌）登錄傳輸系統(tǒng)，核心數(shù)據(jù)傳輸需使用數(shù)字證書認(rèn)證；（二）介質(zhì)傳輸需由雙人核對(duì)身份（數(shù)據(jù)發(fā)起方授權(quán)人、接收方授權(quán)人），確認(rèn)無誤后方可交接。第十七條傳輸鏈路安全：（一）內(nèi)部網(wǎng)絡(luò)傳輸鏈路需部署入侵檢測系統(tǒng)（IDS）、防火墻，實(shí)時(shí)監(jiān)測異常流量；（二）外部網(wǎng)絡(luò)傳輸鏈路需通過網(wǎng)閘、安全隔離裝置等進(jìn)行單向數(shù)據(jù)擺渡，禁止雙向自由傳輸；（三）無線傳輸（如4G/5G）需使用加密通道，禁止在未加密的公共Wi-Fi環(huán)境中傳輸核心數(shù)據(jù)和重要數(shù)據(jù)。第十八條日志審計(jì)要求：（一）所有數(shù)據(jù)傳輸活動(dòng)需記錄日志，內(nèi)容包括傳輸時(shí)間、發(fā)起方IP/賬號(hào)、接收方IP/賬號(hào)、數(shù)據(jù)名稱、傳輸狀態(tài)等；（二）日志保存期限不少于6個(gè)月，核心數(shù)據(jù)傳輸日志保存期限不少于1年；（三）日志由技術(shù)保障部門定期分析，發(fā)現(xiàn)異常（如同一賬號(hào)短時(shí)間內(nèi)高頻次傳輸、超大文件傳輸）需立即預(yù)警。第五章責(zé)任與監(jiān)督第十九條局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)籌數(shù)據(jù)傳輸安全管理工作，主要職責(zé)包括：（一）審定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)、重大傳輸安全事件處置方案；（二）定期聽取數(shù)據(jù)安全管理辦公室工作匯報(bào)，研究解決突出問題；（三）對(duì)數(shù)據(jù)傳輸安全責(zé)任事故進(jìn)行責(zé)任認(rèn)定和追責(zé)。第二十條局?jǐn)?shù)據(jù)安全管理辦公室（設(shè)在科技與財(cái)務(wù)處）負(fù)責(zé)日常管理工作，主要職責(zé)包括：（一）制定數(shù)據(jù)傳輸安全操作規(guī)范、應(yīng)急預(yù)案；（二）審核重要數(shù)據(jù)、核心數(shù)據(jù)傳輸申請，組織安全評(píng)估；（三）監(jiān)督檢查各單位數(shù)據(jù)傳輸安全制度執(zhí)行情況；（四）組織數(shù)據(jù)安全培訓(xùn)，提升全員安全意識(shí)。第二十一條數(shù)據(jù)提供部門（如監(jiān)測處、執(zhí)法局等）是數(shù)據(jù)傳輸?shù)呢?zé)任主體，主要職責(zé)包括：（一）準(zhǔn)確標(biāo)注數(shù)據(jù)分類分級(jí)，如實(shí)填寫傳輸申請；（二）對(duì)接收方數(shù)據(jù)使用目的、安全能力進(jìn)行初步核查；（三）配合數(shù)據(jù)安全管理辦公室開展安全事件調(diào)查。第二十二條技術(shù)保障部門（信息中心）負(fù)責(zé)提供技術(shù)支撐，主要職責(zé)包括：（一）維護(hù)傳輸系統(tǒng)、加密設(shè)備等安全技術(shù)設(shè)施；（二）開展傳輸鏈路、存儲(chǔ)介質(zhì)的安全檢測與修復(fù)；（三）協(xié)助分析數(shù)據(jù)傳輸日志，識(shí)別安全風(fēng)險(xiǎn)。第二十三條局內(nèi)部審計(jì)部門每半年對(duì)數(shù)據(jù)傳輸安全管理情況進(jìn)行專項(xiàng)審計(jì)，重點(diǎn)檢查傳輸流程合規(guī)性、技術(shù)防護(hù)有效性、日志記錄完整性等，形成審計(jì)報(bào)告并報(bào)局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組。第二十四條對(duì)違反本辦法的行為，視情節(jié)輕重給予批評(píng)教育、通報(bào)批評(píng)；造成數(shù)據(jù)泄露、篡改、丟失等安全事故的，依法依規(guī)追究相關(guān)人員責(zé)任；構(gòu)成犯罪的，移送司法機(jī)關(guān)處理。第六章應(yīng)急處置第二十五條局?jǐn)?shù)據(jù)安全管理辦公室負(fù)責(zé)制定《數(shù)據(jù)傳輸安全應(yīng)急預(yù)案》，明確事件分級(jí)（特別重大、重大、較大、一般）、響應(yīng)流程、處置措施等，每年至少組織1次應(yīng)急演練。第二十六條發(fā)生數(shù)據(jù)傳輸安全事件時(shí)，現(xiàn)場人員應(yīng)立即中斷傳輸、保存證據(jù)，并在30分鐘內(nèi)向數(shù)據(jù)安全管理辦公室報(bào)告；數(shù)據(jù)安全管理辦公室需在2小時(shí)內(nèi)核實(shí)情況，啟動(dòng)應(yīng)急響應(yīng)：（一）一般事件：由數(shù)據(jù)安全管理辦公室牽頭，技術(shù)保障部門配合，24小時(shí)內(nèi)完成處置并報(bào)告；（二）較大及以上事件：立即向局?jǐn)?shù)據(jù)安全領(lǐng)導(dǎo)小組報(bào)告，協(xié)調(diào)公安、網(wǎng)信等部門聯(lián)合處置，48小時(shí)內(nèi)向社會(huì)公開事件進(jìn)展（涉及國家