图解自然资源部《自然资源领域数据安全管理办法》
AI智能总结
《自然资源领域数据安全管理办法》 自然资发【2024]】57号 《自然资源领域数据安全管理办法》 《办法》是促进自然资源领域数据安全管理、重要数据管理制度落地的部门规章 2024年3月22日,自然资源部印发自然资源领域数据安全管理办法》,旨在规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。 《自然资源领域数据安全管理办法》制定背景 数据安全监管的垂直化趋势进一步显现 合规要求夯实安全基线 实战需求驱动数据保护 护航自然资源数据安全 继《数据安全法》施行为各行各业的数据安全管理奠定法律基础后,在&网络安全法》《数据安全法》《个人信息保护法》“密码法》搭建的基本法规体系框架下,包括工业和信息化、自然资源、银行保险等相链发布本领域数据安全管理规定和征求意见稿,据安全监管的垂直化趋势进一步显现。 面对需求与合规要求,有必要充分发挥监管的“指挥”作用,通过强化政策要求,采取有效的措施规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用。 随差信息技术的快速发展,数据已或为国家事要战略资源。自然资源领域的数据安全对于国家安全、经济发展和社会稳定具有重要意义。 《自然资源领域数据安全管理办法》主要内容 《管理办法》共七章三士七条,重点解决自然资源领域数据安全谁来管、管什么、怎么管”的问题,主要内容包括六个方面: 落实数据全生命周期安全管理 细化数据分类分级管理 建立权责一致的工作机制 明确适用范围,界定自然资源领域数据、数据处理者及数据安全概念,构建“部-地方-企业”三级联动的防护体系,提出将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”原则,落实监管责任。 针对不同级别数据,细化数据处理者的主体责任,围绕数据收集、存储、加工使用、传输、提供、公开、销毁出境、转移、托处理、日志留存等环节,规范安全管理和保护要求,明确使用商用密码技术进行保护 明确相关主体数据分类分级的工作要求及方法,细化重要数据识别指标,要求建立重要数据和核心数据目录及报备机制。 法律责任 强化监督检查 加强数据安全监测预警与应急管理 规定了行业监管部门监督检查及数据处理者协助义务、自然资源部数据安全审查义务以及数据处理者及其委托的数据安全风险评估机构保密要求等内容。 建立数据安全风险监测、风险评估、风验信息通报、应急处置等工作机制 明确相关违法违规行为的法律责任和惩罚措施。 明确适用范围及术语定义 适用范围 在中华人民共和国境内开展的,或在境外腰行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动及其安全监管,应当遵守相关法律法规和本办法的要求。 术语定义 自然资源领域数据处理者 自然资源领域数据 本办法所称自然资源领域数据,在开展自然资源活动中收集和产生的效指,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数推,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。 是指开展自然资源领垃数据处理活动的自然资源行业客类单位。 数据安全 本办法所称数据安全,是指通过采取必要措施,确保敌据处于有效保护和合法利用的状态,以及员备保障持续安全决态的能力, 将数据安全纳入党委(党组)国家安全责任制,“谁管业务,谁管数据,谁管数据安全” 鼓励目然资源领域数据开发利用,支持数据安全宣传教育及人才培养 宣传教育/人才培养 支持开展经常性的自然资源领域数据安全宣传教育。采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。 自然资源领域 呼应《数据安全法》和网安标委《数据分类分级规则》,给出自然资源数据分类分级方法 数据分级 数据分类 通过对自然资源领域数据重要性、精度、规模、安全风险数据价值、可用性、可共享性、可开放性等进行综合分析判断数据遭到算改、破坏、泄露或者非法获取、非法利用后的影响对象、影响程度、影响范围进行分级,分为: 根据行业特点和业务应用,自然资源领域数据分类类别包括但不限于: 具体参照自然资源领域数据分类分级标准规范 数据处理者可在此基础上细分数据的类别和一般数据级别。 自然资源领域数据识别的参考指标 核心数据是指对额域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,旦被非法使用或共字,可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生和重大公共利益的数据,经国家有关部门评估确定的其他数据。 重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模,一旦被泄露或意改、损段,可能直接危害国家安全、经济运行、社会稳定、公共健床和安全的据。 一般数据是指除重要数据、核心效据以外的其他数据。 结合自然资源领域数据特点,满足以下两项(含)以上参考指标的为重要数据。 L.支撑党中央和国务院财予的“两统一”职责产生具有不可替代性和行业唯一性的,一旦发生数据筹改,泄露或服务中断等安全事教,将影响自然资源部门履行职责,对全国范困内服务对象产生重要影响的数据。涉及国民经济和主要民生的,为其他行业、领域提供自然资源基础数据支择的,一旦发生数据安全事故会对其他行业、领域造成重要影响的款据。覆盖多个省份甚至全国,规模大、精度高,且极具教感性、重要性的数据。直接影响国家关键信息基础设施正常运行服务的数据。危害国家安全、国家经济竞争力、危害公众接受公共服务、危患公民气存条件和安定工作生活环境、危害公民的生命财产安全和其他合法利益、导致社会恐惜等的数据。我国法律法规及规范性文件规定的其他自然资派重要数据。 符合重要致握指标,且关系国家经济命脉、重要民生和重大公共利益、影响政治安全的数据为核心效据。 (拓展)涉及自然资源领域重要数据识别的其他法律法规相关要求 《汽车数据安全管理若干规定(试行) 报备内容发生重大变化的数据处理者应当在发生变化的三个月内履行变更手续。 *重大变化足指数据内容发生变化导致原有级别不再适用的,或某类重要数据和核心数据规模变化30%以上的,等等。 自然资源领域数据处理者数据安全保护的一般义务 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。 配备管理人员 落实制度要求 采取技术措施 利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。 根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作。 应当采取相应技术措施和其他必要措施保障数据安全,防范数据被幕改、破坏、泄露或者非法获取、非法利用等风险。 其他措施 开展教育培训 制定应急预案 严格权限管理 法律法规等规定的其他措施 定期对从业人员开履数据安全知识和技能相关数育培训。 根据应对数据安全事件的需要,制定皮急预案并开展应急演练。 自然资源领域重要数据与核心数据处理者数据安全保护的特殊义务 重要数据和核心数据处理者,还应当: 明确关键岗位和岗位职责 涉重要数据信息系统建设、运维要求 建立数据安全工作体系 建立内部登记、审批机制 ·涉重要数据信息系统建设运维项目未经要托方批准不得转包、分包。·建设运维人员末经要托方明确授权,不得处理垂托方的重要数据。在提供涉重要数据信息系统建设、运维过程中收集、产生的数据,不得用于其他用违,服务完成后按照与委托方约定处理或及时副除。 ·明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。·应当按照业务工作需要和量小授权原则,依据岗位职责设定数据处理权限,控制重要效据接慰范图,人员变动时应及时润整权限。涉及核心数据相关关键岗位人员、信息系统建设和运维单位等,提交公安机关、国家安全机关进行国家安全背景审查。 ·建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录不少于六个月。 综合运用安全技术手段 ·在数据全生命周期客环节,应当综合运用加密、鉴权、认证、脱敛、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护。 人员和经费保障 应当加强人员和经氧保摩 开展数据加工使用处理活动,应当采取访问控制、数据防泄露、操作审计等管控措施 通用安全要求 其他情形安全要求 涉及重要数据和核心数据 开展自然资源领域数据安全风险评估工作 自然资源部门 国家林业和草原局 指导开展自然资源领域数据安全风险评估等工作 地方行业监管部门 组织指导开展林草数据安全风险评估等工作 负责组织开展本地区自然资源领域数据安全风险评估工作 重要数据处理者 数据处理者 估周期 日志审计 数据处理者在组织重要数据安全风险评估时,应当对其数据查询、下载、修改、删除等重点操作的日志开展审计分析,发现违规或异常行为,应及时采取相应处置措施。 风险评估报告应当包括处理的重要数据的类别、数量,开展数据处理活动的情况,面临的数据安全风险、应对措施及其有效程度等。 数据处理者应当保留风险评估报告至少三年。核心数据处理者优先使用第三方评估机构开展风险评估。 建立自然资源领域数据安全风险信息通报机制 自然资源部门 国家林业和草原局 组织建立自然资源领域数据安全风险信息通报机制,统汇集、分析、研判、通报数据安全风险信息。 地方行业监管部门 组织建立林草数据安全风险信息通报机制。 汇总分析本地区自然资源领域数据安全风险,根据数据安全风险的发展态势、规模大小、关联程度、现实危害等综合研判,及时将可能造成重大及以上安全事件的风险向自然资源部报告。 数据处理者及时将可能造成较大及以上安全事件的风险向行业监管部门报告。 制定自然资源领域数据安全事件应急预案 自然资源部门 国家林业和草原局 组织制定自然资源领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。 地方行业监管部门 组织建立林草数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。 组织开展本地区自然资源领域数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即报自然资源部,并及时报告事件发展和处置情况。 告知风险 数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。 每年向行业监管部门报告数据安全事件处置情况。 各方落实监督检查、数据安全审查和保护个人信息、商业秘密安全责任 保护个人信息、商业秘密安全 数据安全审查 监督检查 在国家数据安全工作协调机制统一组织下,自然资源部依法配合有关部门,对影响或者可能影响国家安全的自然资源领域数据处理活动开展数据安全审查工作。 数据处理者及其委托的数据安全风险评估机构工作人员对在履行职责中知悉的个人信息、商业秘密等,应当严格保密,不得泄露或者非法向他人提供。 行业监管部门对数据处理者落实数据分类分级保护及本办法要求的情况进行监督检查。数据处理者应当对行业监管部门监督检查予以配合。 自然资源领域数据安全实践 自然资源数据保护技术实践 基于产品与服务,事前事中事后全防护 安全需求:内在风险、外部合规、增量价值 安全产业自身 信息技术产业 数据安全产业的发展阶段性(历史是先发展再治理,今天已到拐点)和自身特殊性(经济学外部效应带来的密集法律法规),形成市场非线性增长驱动力。 国际形势变化带来的空前安全需求,重要性(数字安全和几乎全部安全领划相交)和长期性(未来
