現將《鐘樓區統計數據安全管理辦法》予以公示，公開征求社會意見及建議。如有意見及建議，請于2023年8月10日前以書面或電話方式反饋至鐘樓區統計局。

聯系人：史希晨

聯系電話：0519-88890751

郵箱：752699649@qq.com

地址：鐘樓區政府711辦公室

常州市鐘樓區統計局

2023年7月4日

附件：

鐘樓區統計數據安全管理辦法

第一章 總 則

第一條  為規范處理鐘樓區各類統計數據，加強統計數據安全管理，保障統計數據安全，根據《中華人民共和國數據安全法》《中華人民共和國統計法》《統計數據安全管理辦法》《統計數據分類分級標準規范（2022）》《江蘇省公共數據管理辦法》《常州市公共數據管理辦法》等法律法規及有關規定，制定本辦法。

第二條  本辦法適用于全區統計部門（包括經開區、高新園（鄒區鎮）、各街道經發局，局各科室）組織實施的統計數據處理活動。

第三條  本辦法所稱統計數據，是指統計部門在開展統計工作過程中，采集、存儲、使用、加工、傳輸、提供、公開的任何以電子或者其他方式對信息的記錄（包括數字、圖表、音頻、視頻等）。

屬于國家秘密的統計數據按照《中華人民共和國保守國家秘密法》等法律、行政法規和國家、省、市、區統計局相關規定執行。

本辦法所稱統計數據處理信息系統，是指用于統計數據采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等數據處理相關工作的信息系統。

數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條 統計數據安全工作堅持總體國家安全觀，按照“誰管業務，誰管業務數據，誰管數據安全”原則，堅持統一領導、分級負責，堅持誰生產誰負責、誰管理誰負責、誰使用誰負責。

第五條 統計數據安全納入全區安全責任制，經開區、高新園（鄒區鎮）、各街道經發局主要負責同志是本單位數據安全工作第一責任人；其他班子成員根據工作分工對職責范圍內的數據安全工作負領導責任；所有工作人員對崗位職責范圍內的數據安全工作負直接責任。

第二章 職責分工

第六條 區統計局設立數據安全工作領導小組。組長由局黨組書記擔任，副組長由局領導班子成員擔任，成員由各科室主要負責人組成。

第七條 區統計局數據安全工作領導小組在局黨組領導下，負責指導、監督統計部門數據安全管理工作。其主要職責是：

（一）貫徹落實黨和國家數據安全工作方針政策和法律法規，結合本區實際，組織制定統計數據安全規章制度；

（二）將數據安全工作納入重要議事日程，加強對統計數據安全工作的組織領導、協調保障和督查指導，推動各項任務落實；

（三）規劃數據安全宣傳教育培訓工作，采取多種方式培養數據安全人才，提高全員數據安全責任意識；

（四）建立健全數據安全風險預警機制、數據安全風險評估機制，執行數據安全工作報告制度，依法依規查處數據安全事件。

第八條  區統計局數據安全工作領導小組辦公室設在局辦公室（網絡信息化處），承擔領導小組日常工作。其主要職責是：

（一）牽頭起草數據安全工作規章制度、數據安全分類分級目錄，制定、落實工作計劃，報告工作情況；

（二）組織開展數據安全宣傳教育培訓，協調管理、檢查、指導、監督各科室貫徹落實數據安全工作各項規章制度；

（三）指導開展數據安全風險評估；

（四）協助調查數據安全事件。

第九條  區局各科室主要負責人為數據安全工作負責人，負責本科室數據安全具體工作。

第十條  區局各科室的主要職責是：

（一）貫徹落實黨和國家數據安全工作方針政策和法律法規，貫徹落實區局黨組關于數據安全工作的各項工作部署；

（二）建立本科室統計數據分類分級目錄，針對不同級別數據，細化數據采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等階段的具體分級防護要求和操作規程；

（三）合理確定數據處理活動的操作權限，嚴格實施人員權限管理；加強離崗離職人員數據安全管理，及時注銷賬號、清退數據載體、回收或刪除所管理的數據等；

（四）開展數據安全監測預警，及時處置本科室數據安全事件，并報告有關情況；

（五）定期分析研判本科室數據安全形勢，配合做好數據安全風險評估和安全審查工作；

（六）綜合科負責對外提供統計資料的數據安全工作；

（七）綜合科負責全局性的數據處理信息系統的安全管理和數據安全風險評估工作；

（八）履行法律法規規定的其他數據安全義務。

第十一條  統計數據處理信息系統建設運維單位的主要職責是：

（一）組織統計數據處理信息系統的規劃、建設和運維，保障數據處理信息系統滿足統計數據安全管理要求，保障數據處理信息系統運行安全；

（二）組織編制處理重要統計數據信息系統的數據安全保護方案；

（三）在統計數據處理信息系統開發、部署和使用階段，應同步規劃、同步建設、同步運行安全防護措施；

（四）根據統計數據處理信息系統存儲、處理數據的最高級別，按照國家有關標準采取相應的數據安全防護策略，保證信息系統具備數據安全主動防護和監測預警能力；

（五）定期分析研判統計數據處理信息系統的數據安全隱患，及時報告有關情況，配合開展數據安全風險評估；

（六）對因工作需要接觸到的統計數據依法依規履行數據安全責任；

（七）履行法律法規規定的其他數據安全義務。

第十二條  接觸和處理統計數據的人員的主要職責是：

（一）遵守數據安全相關法律法規，嚴禁非法采集、存儲、使用、加工、傳輸或銷毀統計數據，嚴禁未經批準修改、復制或導出統計數據；

（二）嚴格執行數據安全各項規章制度和保護方案，不得擅自改變或簡化數據安全保護有關工作流程或操作步驟，不得擅自修改系統安全配置；

（三）配合完成數據安全管理和檢查工作，及時協助處理數據安全隱患、事件；

（四）不得擅自對外提供或以任何方式泄露重要統計數據，不得非法買賣統計數據；

（五）履行法律法規規定的其他數據安全義務。

第三章 統計數據分類分級管理

第十三條  統計數據分為基層數據和綜合數據。

基層數據是指通過各種方式，從黨政機關、企業事業單位、其他組織以及個體工商戶、住戶和個人等統計調查對象獲取的各種電子或其他方式的統計資料，包括個人數據、分戶數據、企業（單位）數據、項目數據和其他基層數據。

綜合數據是指對基層數據進行整理、匯總、推算等加工處理形成的總量、結構、速度、比例、均值、指數等數據，包括國民經濟核算數據，國民經濟各行業生產經營數據，以及人口、投資、能源、科技等經濟社會重點領域的統計數據。

第十四條  根據統計數據的重要性、精度、規模、安全風險等關鍵要素，將統計數據安全等級從高到低劃分為核心、重要、一般三個級別。

第十五條  核心統計數據是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要統計數據，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害政治安全。區級及以下統計部門暫不管理核心級別統計數據。

第十六條  重要統計數據是指特定領域、特定群體、特定區域或達到一定精度和規模的統計數據，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。主要包括：

（一）涉及糧食、資源、能源、科技等重要領域和國家級重大工程、重大項目的有關基層數據和公開發布前的綜合數據；

（二）涉及少數民族、婦女、兒童、老年人、殘疾人等特定區域、特定群體的有關基層數據和公開發布前的綜合數據；

（三）涉及國家安全核心利益的重要工農業產品分品種產量、產能等統計數據；

（四）覆蓋范圍達到區級規模的基層數據，以及能夠推算得到區級總量數據的抽樣調查樣本數據；

（五）經評估確定為重要統計數據的其他統計數據。

第十七條  一般統計數據是指核心統計數據、重要統計數據以外的統計數據。

第十八條  各科室依據統計數據分類分級標準規范及市統計局工作要求開展統計數據分類分級工作。

第十九條  統計數據安全實行分類分級防護，不同安全級別數據同時被處理且難以分別采取保護措施的，應當按照其中安全級別最高的要求實施保護，確保數據持續處于有效保護和合法利用的狀態。

重要統計數據控制出境，未經評估或批準禁止出境。

第四章 統計數據處理信息系統安全管理

第二十條  統計數據處理信息系統應對數據采集、傳輸、存儲、加工等環節采取有效的數據安全防護措施。采用數據防泄露技術對終端、網絡等關鍵數據出口進行監控和防護；記錄數據處理、權限管理、人員操作等日志，部署監控工具對數據異常訪問和操作進行告警和審計。日志保存時長不少于6個月。

第二十一條  與互聯網連接的統計數據處理信息系統，要落實網絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等要求，存儲處理重要統計數據的要落實二級及以上等級保護要求。

第二十二條  統計數據處理信息系統應建立數據容災備份機制，保證數據遭到刪除、篡改、破壞時可恢復。處理重要統計數據的信息系統應當定期對數據進行容災備份，定期開展數據備份恢復演練，保證信息系統正常運行。

第二十三條  統計數據處理信息系統應采用身份鑒別與訪問控制策略，嚴格權限管理。建立數據權限申請和變更審批流程，按照最少夠用、職權分離原則為不同賬戶分配所需權限，嚴格控制接觸數據的范圍。及時刪除或停用多余的、過期的賬戶和權限。

統計數據處理信息系統運維人員的權限分配應僅滿足運維管理需要，確有其他需要的，須進行嚴格的權限審批。系統最高權限應由信息系統建設運行單位審批和管理。

第二十四條  統計數據處理信息系統賬號應采用實名制注冊，設置強口令并定期修改，不得使用默認口令或弱口令，相關人員僅能使用本人實名注冊的賬號登錄系統進行操作，不得使用明文傳輸或存儲賬號信息和口令。

賬號擁有者應妥善保管賬號及口令等鑒別信息，禁止共享、出借、售賣賬號。一旦發現賬號鑒別信息泄露，應及時采取更改密碼、停用賬號、上報賬號管理員等方式保障賬號安全。賬號擁有者對本人賬號的操作承擔直接責任。

第二十五條  用于統計數據處理活動的終端設備應部署防病毒、終端入侵檢測、數據防泄露等安全管理措施，及時阻斷危險操作和威脅行為，防范數據泄露風險。

第二十六條  委托企業、專業機構等參與統計數據處理信息系統建設、數據處理活動，委托單位對外包服務的數據安全負主體責任。委托單位應當通過簽訂合同、安全保密協議、旁站等方式，明確并督促、檢查、監督被委托單位履行相關數據安全義務和責任。

第五章 統計數據處理全流程安全管理

第二十七條  統計數據的采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等各階段，應當根據數據的安全級別，采取相應的安全防護措施，保障統計數據的保密性、完整性和真實性，確保統計數據不被泄露、篡改或破壞。

第二十八條   采集統計數據，應當在統計調查制度和相關管理規范中明確數據采集的目的、用途、方式、范圍、來源、渠道等。加強重要統計數據收集人員、設備的管理。

通過互聯網應用平臺開展問卷調查獲取統計數據，應根據相關法律法規開展相關工作。

通過外單位獲取重要統計數據，應當遵守數據提供方相關數據安全要求。

第二十九條 存儲統計數據，應當依據法律法規規定的方式和期限存儲。重要統計數據應當存儲在境內，采用符合國家相關標準規定的校驗技術、密碼技術等措施進行安全存儲。

存儲重要統計數據的介質（硬盤、光盤、優盤、紙介質等）應當安全存放保管，并記錄存儲內容、交接和使用過程，防止被不相干人員讀取，防范數據損壞、丟失和泄露。

第三十條   對統計數據進行匯總加工、開展分析決策等，應確保數據處理環境按數據安全級別有相應的安全措施，明確數據的使用規范，加強訪問控制。

重要統計數據應當嚴格限制批量修改、拷貝、下載、刪除等操作的權限，僅允許訪問使用所需最小范圍內的業務數據。

統計數據處理信息系統的重要數據導入導出應進行嚴格審批。

第三十一條   傳輸統計數據，應當根據數據類型、級別和應用場景，采取相應的安全策略和保護措施。在線傳輸重要統計數據，應當采取符合國家相關標準規定的校驗技術、密碼技術、脫敏去標識化技術、安全傳輸通道或者安全傳輸協議等措施，并對接入的傳輸終端采取認證措施。

使用移動存儲介質離線傳輸重要統計數據時，應采取必要的保護措施，不應使介質離開相關責任人，不應在無人監管情況下通過第三方進行傳遞，確保介質安全和數據傳輸安全。

第三十二條  對外提供統計數據，應當明確提供的范圍、類別、條件、程序等，對過程進行嚴格審批并存檔。

對外提供重要統計數據，必要時可通過簽署相關協議或承諾書的方式，要求數據獲取方對所提供數據采取安全保護措施，且數據使用范圍符合相關法律法規。

第三十三條  統計數據公開應當遵循公正、公平、便民的原則，按照相關規定及時、準確公開。涉及公開重要、敏感統計數據的，應開展數據安全風險評估。

在統計數據發布后，應對發布數據的網站等信息系統加以保護，進行實時安全監測，保護信息系統不被非法越權訪問，保護信息系統內的發布數據和信息系統自身配置信息、運行管理日志等信息不被篡改。

第三十四條 統計部門的公共數據，是指通過官方媒體向社會公布的各類統計資料（包括但不限于統計年鑒、統計公報及各類進度數據等）中涉及到的綜合數據。應當按照公共數據共享供需對接機制，根據公共數據資源目錄和共享需求形成供需目錄清單，配合公共數據主管部門，依法、安全、有序向公民、法人和其他組織開放。

第三十五條  統計調查任務結束后，調查任務承擔單位應按照統計調查制度實際要求及時進行統計數據歸檔保存。數據歸檔系統應滿足數據安全分級保護要求，以保證基礎數據的安全可用。

第三十六條  按規定需要銷毀的數據，應根據數據的安全級別以及存儲設備的類別，確定銷毀辦法、銷毀方式和銷毀要求，按規范流程進行銷毀，對審批和銷毀過程進行記錄和留存。

重要統計數據存儲介質的銷毀，應嚴格執行審批流程。存儲介質的登記、審批、交接等過程應以文字、影像、照片等形式完整、準確地記錄，并長期保存，用于審計備查。

第六章 統計數據安全監測預警與應急管理

第三十七條   區局建立統計數據安全監測預警機制，組織開展全區統計系統數據安全風險監測，及時排查安全隱患，采取必要的措施防范數據安全風險。

第三十八條  統計數據處理信息系統運維單位應根據數據安全保護需求，對用戶操作行為進行監測，設置危險操作阻斷機制，及時制止高風險操作，記錄并報送相關信息。

第三十九條  統計數據處理信息系統應具備滿足數據安全管理要求的日志審計監測和抽查分析功能。信息系統建設、運維單位和數據處理單位應共同開展常態化日志抽樣審計，每年至少組織開展一次全量日志審計。審計內容包括但不限于對數據的非授權訪問、破壞、篡改、復制等操作行為。

第四十條  區局制定統計數據安全事件應急預案，組織協調重要統計數據安全事件應急處置工作。

各科室發生涉及重要統計數據的安全事件，應當第一時間上報區局數據安全工作領導小組辦公室，并及時報告事件發展和處置情況。

第四十一條  各科室應當按照區局數據安全工作領導小組要求，自行或者委托數據安全服務機構定期開展統計數據安全風險評估。

統計數據安全風險評估報告應及時向區局數據安全工作領導小組報送，內容應當包括處理的重要統計數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

第七章 責任追究

第四十二條  各科室應當接受對數據安全工作的投訴、舉報并及時依法處理，對投訴、舉報人的相關信息予以保密。

第四十三條  區局數據安全工作領導小組在履行統計數據安全監督管理職責中，發現統計數據處理活動存在安全風險或隱患的，可以按照規定權限和程序約談相關單位，并要求采取措施整改到位。

第四十四條  違反本辦法造成危害或不良后果的，依規依紀依法對直接負責的主管人員和其他直接責任人員追究責任，并對負有領導責任的人員進行問責；構成犯罪的，依法追究刑事責任。

第八章 附  則

第四十五條   非統計調查類數據處理活動，嚴格落實數據安全責任制，有相關行業標準規范的，參照相關行業標準規范執行。

第四十六條   開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

第四十七條  經開區、高新園（鄒區鎮）、各街道經發局應成立由主要負責人任組長的數據安全工作領導小組，負責組織、指導、監督本地區本系統數據安全工作。

第四十八條  經開區、高新園（鄒區鎮）、各街道經發局應根據本辦法，制定本地區本系統統計數據安全管理相關規定，報區局數據安全工作領導小組辦公室備案。

第四十九條  經開區、高新園（鄒區鎮）、各街道經發局組織開展本地區本系統的統計數據分類分級管理及重要統計數據識別工作，并將重要統計數據目錄報送區局數據安全工作領導小組辦公室。重要統計數據目錄內容發生變化的，應當在發生變化的一個月內報送上級審核。

第五十條  經開區、高新園（鄒區鎮）、各街道經發局應當制定統計數據安全應急預案，組織開展本地區本系統數據安全事件應急處置工作。

第五十一條  本辦法由區局數據安全工作領導小組辦公室負責解釋。

第五十二條  本辦法自2023年3月1日起施行。

關于征求《鐘樓區統計數據安全管理辦法》的起草說明

出臺《鐘樓區統計數據安全管理辦法》，旨在規范處理鐘樓區各類統計數據，加強統計數據安全管理，保障統計數據安全。

一、《統計數據安全管理辦法》制定的背景和意義

根據《中華人民共和國數據安全法》《中華人民共和國統計法》《統計數據安全管理辦法》《統計數據分類分級標準規范（2022）》《江蘇省公共數據管理辦法》《常州市公共數據管理辦法》等法律法規及有關規定，制定本辦法。統計數據安全工作堅持總體國家安全觀，按照“誰管業務，誰管業務數據，誰管數據安全”原則，堅持統一領導、分級負責，堅持誰生產誰負責、誰管理誰負責、誰使用誰負責。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

二、《統計數據安全管理辦法》的主要內容

《統計數據安全管理辦法》共八個章節五十二條，主要明確了以下內容：

（一）職責分工。區統計局設立數據安全工作領導小組。組長由局黨組書記擔任，副組長由局領導班子成員擔任，成員由各科室主要負責人組成。

（二）統計數據分類分級管理。根據統計數據的重要性、精度、規模、安全風險等關鍵要素，將統計數據安全等級從高到低劃分為核心、重要、一般三個級別。

（三）統計數據處理信息系統安全管理。統計數據處理信息系統應對數據采集、傳輸、存儲、加工等環節采取有效的數據安全防護措施。

（四）統計數據處理全流程安全管理。統計數據的采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等各階段，應當根據數據的安全級別，采取相應的安全防護措施，保障統計數據的保密性、完整性和真實性，確保統計數據不被泄露、篡改或破壞。

（五）統計數據安全監測預警與應急管理。建立統計數據安全監測預警機制，組織開展全區統計系統數據安全風險監測，及時排查安全隱患，采取必要的措施防范數據安全風險。