第十四条 数据的分类、归类、标识和申报是数据的组成部分。 自识别和声明之日起,数据与其识别和声明不得分离。 数据管理者和数据使用者都必须遵守识别和声明的说明。 类别和级别安全地管理和使用数据。
第十五条 对于文件形式的数据,数据管理人员必须在文件的明显位置标记类别、敏感级别、有效期等,文件与标记不能分开。 标志应醒目,标志格式应统一,标记方法应易于审核。 对于非文件形式的高度敏感数据,如果无法识别,则必须进行声明。
第十六条 有效期是指数据敏感级别的有效期。 到期后,数据应重新分类。
第十七条 对于敏感级别较高的数据,管理人必须以申报文件的形式申报数据名称、类别、敏感级别、有效期等。 声明文件必须由数据所有者批准并签署。 声明文件必须与数据一起保存和交付。 (申报文件模板见附件)
第十八条 不同敏感级别的多个数据合并在一起时,应当按照最高敏感级别对混合数据进行识别和申报。
第六章 保管、保护
第十九条 数据管理者必须根据数据的敏感程度实施相应的存储和保护措施,并确保满足数据所有者的数据安全要求。
第二十条 在日常管理中,数据管理人员必须根据敏感程度对数据进行保护,并采取相应的存储、归档、设置保存期限等措施。
第二十一条 高敏感数据纸质文件必须按照XXX机密文件的安全管理进行管理
依照行政法规的规定保存、保护。 对于敏感性较高的电子数据,必须采取必要的访问控制措施。
第二十二条 数据管理工作应当优先选择技术手段和管理要求。 要加强数据管理技术手段的研究、选型、部署和维护。
第二十三条 自高度敏感数据生成之日起数据管理制度,业主提出的技术支持要求应当同时到位。 如果技术上无法实现,技术部门应持续跟踪技术进展,逐步使技术手段满足各种管理要求; 对于成熟、可采用的技术手段,技术部门应验证其功能可靠性,逐步引进,不断优化技术保障工作。
第七章 数据使用
第二十四条 数据使用者在使用数据时,必须注意识别数据的敏感级别,并根据其敏感级别规范数据操作和使用行为; 使用中发现的问题及时报告,及时举报违规行为,积极配合违规行为的调查。 调查; 自觉遵守数据管理规定。
第二十五条 数据使用者必须保证其使用的数据来源的合法性,未经许可不得复制、使用、传播、保存与本人工作无关的数据。
第二十六条 未经所有者同意,数据使用者、数据管理者无权向发布范围外的单位和个人提供中心数据或其衍生品,否则视为违法; 因工作原因需要对外提供的,应当经数据所有者确认,并记录、归档备查。
第二十七条XXX业务数据必须按照业务主管部门的授权或者管理规定对外提供。 否则,将视为违规,并须保存数据提供记录备案备查。
第二十八条 数据管理者必须对数据的使用情况进行控制和审核,发现违规行为的,应当及时制止,并按照本规定进行处理。
第8章 数据销毁
第二十九条 数据管理者有义务按照数据所有者的要求清理、销毁原始数据。
第三十条 数据使用者应当具备数据安全清理和销毁意识,有责任和义务按照数据管理者的要求清理、销毁本地临时数据、中间文件、过程文件。
第三十一条 数据管理者和数据使用者有义务按照规定记录数据清理、销毁过程数据管理制度,并接受安全管理者的审核。
第三十二条 数据管理者、数据使用者在删除、销毁电子数据时,必须保证删除、销毁的彻底性。
第九章 安全检查与审核要求
第三十三条 数据管理者有义务监督数据的安全使用,并负责对其管理的数据进行自查。 定期检查数据的安全使用和管理情况,更新过期的标识或声明信息,并向数据所有者报告。
第三十四条 信息安全领导机构应当根据信息安全组织的授权,独立开展高度敏感数据的第三方审核。 检查和审核数据所有者和数据管理者的数据管理要求的落实情况,并向信息安全组织报告。
第10章数据保护
第三十五条 数据保护应当遵循适度保护、主动防范、突出重点、分级管理的原则,通过数据分类分级,实施差异化保护和动态保护。
第三十六条 X系统信息安全组织应当根据信息安全工作的实际需要,制定具体的数据保护技术和管理措施。
第三十七条 在数据采集、决策分析、共享发布、存储和处置等生命周期的各个阶段,应当对相应级别的数据进行保护和处理。
第三十八条 系统管理数据、身份信息和重要业务数据在传输、存储过程中,应当能够发现其完整性遭到破坏的情况,并在发现完整性错误时采取必要的恢复措施。
第三十九条 数据存储和传输过程中,必须根据数据级别采用加密或者其他方式,保证其存储安全。
第四十条 数据使用过程中,必须按照数据级别进行控制,严禁未经授权的访问、传输和修改。
第四十一条 数据交换过程中,交换对象涉及非海关系统的,应当保证另一端的保护级别不低于海关系统的数据保护级别。
第四十二条 数据销毁必须严格按照XXX系统的相关标准和监管要求以及国家法律法规的要求进行。
第十一章附则
第四十三条 对数据安全管理工作做出贡献、创造性工作的部门和个人,给予表彰和奖励; 违反本规定,造成事故的责任人员,按照XXX违纪违纪规定给予处罚。
第四十四条 本规定由××××科学技术发展司负责解释。 第四十五条 本条例自发布之日起施行。