各縣區統計局，局各科室、各事業單位：

根據山西省統計局關于加強數據安全工作的部署要求，按照《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》等法律法規，結合我市統計工作實際，市統計局研究制定了《長治市統計數據安全管理辦法（試行）》。現印發給你們，請認真貫徹執行。

??????????????????????

附件：長治市統計局統計數據安全管理辦法（試行）

長治市統計局統計數據安全管理辦法

（試行）

?

第一章 ?總則

?

第一條??為維護國家安全和發展利益，規范全市統計部門數據處理活動，加強統計數據安全管理，保障統計數據安全，根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國統計法》等法律法規，以及《山西省統計局統計數據安全管理辦法（試行）》《山西省統計局網絡和數據安全約談辦法》《統計數據分類分級標準規范（2022）》等規范性文件，制定本辦法。

第二條??本辦法適用于全市統計部門組織實施的統計數據處理活動。本辦法所指統計部門，包括長治市統計局機關各科室、局屬各事業單位，全市各級地方統計機構。

第三條??本辦法所稱統計數據，是指統計部門在開展統計工作過程中，采集、存儲、使用、加工、傳輸、提供、公開的任何以電子或者其他方式對信息的記錄（包括數字、圖表、音頻、視頻等）。屬于國家秘密的統計數據按照《中華人民共和國保守國家秘密法》等法律、行政法規和國家統計局相關規定執行。本辦法所稱統計數據處理信息系統，是指用于統計數據采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等數據處理相關工作的信息系統。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條??統計數據安全工作堅持總體國家安全觀，按照“誰管業務，誰管業務數據，誰管數據安全”原則，堅持統一領導、分級負責，堅持誰生產誰負責、誰管理誰負責、誰使用誰負責。

第五條??統計數據安全納入國家安全責任制，統計部門各單位主要負責同志是本單位數據安全工作第一責任人；其他班子成員根據工作分工對職責范圍內的數據安全工作負領導責任；所有工作人員對崗位職責范圍內的數據安全工作負直接責任。

?

第二章 ?職責分工

?

第六條??長治市統計局設立數據安全工作領導小組。組長由局黨組書記擔任，副組長由局領導班子成員擔任，成員由局機關各科室、局屬各事業單位主要負責人組成。

第七條??在山西省統計局數據安全工作領導小組指導和局黨組領導下，長治市統計局數據安全工作領導小組負責指導、監督全市各級地方統計機構數據安全管理工作。其主要職責是：

（一）貫徹落實全省數據安全工作方針政策和法律法規，組織制定全市統計數據安全規章制度；

（二）將數據安全工作納入重要議事日程，加強對統計數據安全工作的組織領導、協調保障和督查指導，推動各項任務落實；

（三）組織開展數據安全宣傳教育培訓，采取多種方式培養數據安全人才，提高全員數據安全責任意識；

（四）建立健全數據安全風險預警機制，執行數據安全工作報告制度，依法依規查處數據安全事件。

第八條??長治市統計局數據安全工作領導小組下設辦公室，承擔領導小組日常工作。其主要職責是：

（一）貫徹落實黨和國家、省數據安全工作方針政策和法律法規，貫徹落實長治市統計局數據安全工作領導小組關于數據安全工作的各項工作部署；

（二）牽頭起草數據安全工作規章制度、數據安全分類分級目錄，制定、落實工作計劃，報告工作情況；

（三）組織開展數據安全宣傳教育培訓，協調管理、檢查、指導、監督各單位貫徹落實數據安全工作各項規章制度；

（四）協助調查數據安全事件；

（五）負責局數據安全領導小組交辦的其他事項。

第九條??長治市統計局機關各科室、局屬各事業單位指定一名科級干部為數據安全工作聯系人，負責本科室、單位數據安全具體工作。

各縣區統計局設立數據安全工作領導小組，組長由黨組書記擔任，副組長由黨組（領導班子）成員擔任，成員可參照市統計局設置，并指定科室負責數據安全工作。各縣區數據安全領導小組負責指導、監督本地區本系統數據安全工作。

第十條??統計部門各單位的主要職責是：

（一）貫徹落實黨和國家、省數據安全工作方針政策和法律法規，貫徹落實市統計局黨組關于數據安全工作的各項工作部署；

（二）加強本單位數據安全工作組織領導，將數據安全與業務工作同謀劃、同部署，指導、督促、檢查本單位數據安全各項規章制度落實；

（三）建立本單位統計數據分類分級目錄，針對不同級別數據，明確數據采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等階段的具體分級防護要求和操作規程；

（四）合理確定數據處理活動的操作權限，嚴格實施人員權限管理；加強離崗離職人員數據安全管理，及時注銷賬號、清退數據載體、回收或刪除所管理的數據等；

（五）開展數據安全監測預警，及時處置本單位數據安全事件，并報告有關情況；

（六）定期分析研判本單位數據安全形勢，組織開展數據安全風險評估，研究解決數據安全重要問題，配合做好數據安全審查工作；

（七）組織開展數據安全教育和培訓，加強數據安全防護能力建設；

（八）對本單位建設、運行、維護的統計數據處理信息系統和本單位所委托的外包服務等實施數據安全管理；

（九）履行法律法規規定的其他數據安全義務。

第十一條??統計數據處理信息系統建設運維單位的主要職責是：

（一）組織統計數據處理信息系統的規劃、建設和運維，保障數據處理信息系統滿足統計數據安全管理要求，保障數據處理信息系統運行安全；

（二）組織編制處理重要統計數據及核心統計數據信息系統的數據安全保護方案；

（三）在統計數據處理信息系統開發、部署和使用階段，應同步規劃、同步建設、同步運行安全防護措施；

（四）根據統計數據處理信息系統存儲、處理數據的最高級別，按照國家有關標準采取相應的數據安全防護策略，保證信息系統具備數據安全主動防護和監測預警能力；

（五）定期分析研判統計數據處理信息系統的數據安全隱患，及時報告有關情況；

（六）對因工作需要接觸到的統計數據依法依規履行數據安全責任；

（七）履行法律法規規定的其他數據安全義務。

第十二條??接觸和處理統計數據的人員的主要職責是：

（一）遵守數據安全相關法律法規，嚴禁非法采集、存儲、使用、加工、傳輸或銷毀統計數據，嚴禁未經批準修改、復制或導出統計數據；

（二）嚴格執行數據安全各項規章制度和保護方案，不得擅自改變或簡化數據安全保護有關工作流程或操作步驟，不得擅自修改系統安全配置；

（三）配合完成數據安全管理和檢查工作，及時協助處理數據安全隱患、事件；

（四）不得擅自對外提供或以任何方式泄露重要數據和核心數據，不得非法買賣統計數據；

（五）履行法律法規規定的其他數據安全義務。

?

第三章 ?統計數據分類分級管理

?

第十三條??長治市統計局各單位依據統計數據分類分級標準規范開展統計數據分類分級工作。各縣區統計局組織開展本地區的統計數據分類分級管理及重要統計數據和核心統計數據識別工作。

第十四條??長治市統計局各單位審核、匯總本領域統計數據分類分級目錄，并報送市統計局數據安全工作領導小組辦公室。重要統計數據和核心統計數據目錄內容發生變化的，應當在發生變化的一個月內報送審核。

第十五條??統計數據安全實行分類分級防護，不同安全級別數據同時被處理且難以分別采取保護措施的，應當按照其中安全級別最高的要求實施保護，確保數據持續處于有效保護和合法利用的狀態。重要統計數據控制出境，未經評估或批準禁止出境。核心統計數據禁止出境，使用和共享從嚴管控，除統計部門依法履職外，未經批準，核心統計數據不得跨主體流動。

?

第四章 ?統計數據處理信息系統安全管理

?

第十六條??統計數據處理信息系統應對數據采集、傳輸、存儲、加工等環節采取有效的數據安全防護措施。采用數據防泄露技術對終端、網絡等關鍵數據出口進行監控和防護；記錄數據處理、權限管理、人員操作等日志，部署監控工具對數據異常訪問和操作進行告警和審計。日志保存時長不少于6個月。

第十七條??與互聯網連接的統計數據處理信息系統，要落實網絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等要求，存儲處理重要統計數據的要落實三級及以上等級保護要求，存儲處理核心統計數據的要落實四級或關鍵信息基礎設施保護要求。

第十八條??統計數據處理信息系統應建立數據容災備份機制，保證數據遭到刪除、篡改、破壞時可恢復。處理重要統計數據和核心統計數據的信息系統應當定期對數據進行容災備份，定期開展數據備份恢復演練，保證信息系統正常運行。存儲核心統計數據，還應當實施異地容災備份。

第十九條??統計數據處理信息系統應采用身份鑒別與訪問控制策略，嚴格權限管理。建立數據權限申請和變更審批流程，按照最少夠用、職權分離原則為不同賬戶分配所需權限，嚴格控制接觸數據的范圍。及時刪除或停用多余的、過期的賬戶和權限。統計數據處理信息系統運維人員的權限分配應僅滿足運維管理需要，確有其他需要的，須進行嚴格的權限審批。系統最高權限應由信息系統建設運行單位審批和管理。

第二十條??統計數據處理信息系統賬號應采用實名制注冊，設置強口令并定期修改，不得使用默認口令或弱口令，相關人員僅能使用本人實名注冊的賬號登錄系統進行操作，不得使用明文傳輸或存儲賬號信息和口令。賬號擁有者應妥善保管賬號及口令等鑒別信息，禁止共享、出借、售賣賬號。一旦發現賬號鑒別信息泄露，應及時采取更改密碼、停用賬號、上報賬號管理員等方式保障賬號安全。賬號擁有者對本人賬號的操作承擔直接責任。

第二十一條??用于統計數據處理活動的終端設備應部署防病毒、終端入侵檢測、數據防泄露等安全管理措施，及時阻斷危險操作和威脅行為，防范數據泄露風險。

第二十二條??委托企業、專業機構等參與統計數據處理信息系統建設、數據處理活動，委托單位對外包服務的數據安全負主體責任。委托單位應當通過簽訂合同、安全保密協議、旁站等方式，明確并督促、檢查、監督被委托單位履行相關數據安全義務和責任。

?

第五章 ?統計數據處理全流程安全管理

?

第二十三條??統計數據的采集、存儲、使用、加工、傳輸、提供、公開、歸檔、銷毀等各階段，應當根據數據的安全級別，采取相應的安全防護措施，保障統計數據的保密性、完整性和真實性，確保統計數據不被泄露、篡改或破壞。

第二十四條??采集統計數據，應當在統計調查制度和相關管理規范中明確數據采集的目的、用途、方式、范圍、來源、渠道等。加強重要統計數據和核心統計數據收集人員、設備的管理。通過互聯網應用平臺開展問卷調查獲取統計數據，應根據相關法律法規開展相關工作。通過外單位獲取重要統計數據和核心統計數據，應當遵守數據提供方相關數據安全要求。

第二十五條??存儲統計數據，應當依據法律法規規定的方式和期限存儲。重要統計數據和核心統計數據應當存儲在境內，采用符合國家相關標準規定的校驗技術、密碼技術等措施進行安全存儲。存儲重要統計數據和核心統計數據的介質（硬盤、光盤、優盤、紙介質等）應當安全存放保管，并記錄存儲內容、交接和使用過程，防止被不相干人員讀取，防范數據損壞、丟失和泄露。

第二十六條??對統計數據進行匯總加工、開展分析決策等，應確保數據處理環境按數據安全級別有相應的安全措施，明確數據的使用規范，加強訪問控制。重要統計數據和核心統計數據應當嚴格限制批量修改、拷貝、下載、刪除等操作的權限，僅允許訪問使用所需最小范圍內的業務數據。統計數據處理信息系統的重要數據和核心數據導入導出應進行嚴格審批。

第二十七條 ?傳輸統計數據，應當根據數據類型、級別和應用場景，采取相應的安全策略和保護措施。在線傳輸重要統計數據和核心統計數據，應當采取符合國家相關標準規定的校驗技術、密碼技術、脫敏去標識化技術、安全傳輸通道或者安全傳輸協議等措施，并對接入的傳輸終端采取認證措施。使用移動存儲介質離線傳輸重要統計數據和核心統計數據時，應采取必要的保護措施，不應使介質離開相關責任人，不應在無人監管情況下通過第三方進行傳遞，確保介質安全和數據傳輸安全。

第二十八條??對外提供統計數據，應當明確提供的范圍、類別、條件、程序等，對過程進行嚴格審批并存檔。對外提供重要統計數據和核心統計數據，必要時可通過簽署相關協議或承諾書的方式，要求數據獲取方對所提供數據采取安全保護措施，且數據使用范圍符合相關法律法規。

第二十九條??統計數據公開應當遵循公正、公平、便民的原則，按照相關規定及時、準確公開。涉及公開重要、敏感統計數據的，應開展數據安全風險評估。在統計數據發布后，應對發布數據的信息系統加以保護，進行實時安全監測，保護信息系統不被非法越權訪問，保護信息系統內的發布數據和信息系統自身配置信息、運行管理日志等信息不被篡改。

第三十條??統計調查任務結束后，調查任務承擔單位應按照統計調查制度實際要求及時進行統計數據歸檔保存。數據歸檔系統應滿足數據安全分級保護要求，以保證基礎數據的安全可用。

第三十一條??按規定需要銷毀的數據，應根據數據的安全級別以及存儲設備的類別，確定銷毀辦法、銷毀方式和銷毀要求，按規范流程進行銷毀，對審批和銷毀過程進行記錄和留存。重要統計數據和核心統計數據存儲介質的銷毀，應嚴格執行審批流程。存儲介質的登記、審批、交接等過程應以文字、影像、照片等形式完整、準確地記錄，并長期保存，用于審計備查。

第三十二條??向國際組織和國（境）外機構提供統計數據、數據出境等報山西省統計局進行安全評估和審批。市統計局依法進行涉外社會調查項目審批，加強與相關部門溝通與協作，防范和化解涉外調查領域數據安全風險。

第六章 統計數據安全監測預警與應急管理

?

第三十三條??長治市統計局建立統計數據安全監測預警機制，統籌監測預警技術手段建設，組織開展本地區數據安全風險監測，及時排查安全隱患，采取必要的措施防范數據安全風險。縣級以上統計局應當建立統計數據安全監測預警機制，組織開展本地區數據安全風險監測預警工作。

第三十四條??長治市統計局建立統計數據安全風險信息上報和共享機制，統一匯集、分析、研判、通報數據安全風險信息，統計部門各單位按要求開展數據安全風險信息上報和共享。

第三十五條??統計數據處理信息系統運維單位應根據數據安全保護需求，對用戶操作行為進行監測，設置危險操作阻斷機制，及時制止高風險操作，記錄并報送相關信息。

??第三十六條 ?統計數據處理信息系統應具備滿足數據安全管理要求的日志審計監測和抽查分析功能。信息系統建設、運維單位和數據處理單位應共同開展常態化日志抽樣審計，每年至少組織開展一次全量日志審計。審計內容包括但不限于對數據的非授權訪問、破壞、篡改、復制等操作行為。

第三十七條??長治市統計局制定統計數據安全事件應急預案，組織協調重要統計數據和核心統計數據安全事件應急處置工作。各縣區統計局應當制定統計數據安全事件應急預案，組織開展本地區統計數據安全事件應急處置工作。

第三十八條??各縣區統計局應當按照相關要求，自行或者委托數據安全服務機構定期開展統計數據安全風險評估。統計數據安全風險評估報告應及時向長治市統計局數據安全工作領導小組報送，內容應當包括處理的重要統計數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

?

第七章 ?責任追究

?

第三十九條??統計部門各單位應當接受對數據安全工作的投訴、舉報并及時依法處理，對投訴、舉報人的相關信息予以保密。

第四十條??長治市統計局數據安全工作領導小組在履行統計數據安全監督管理職責中，發現統計數據處理活動存在安全風險或隱患的，可以按照規定權限和程序約談相關單位，并要求采取措施整改到位。

第四十一條??違反本辦法造成危害或不良后果的，依規依紀依法對直接負責的主管人員和其他直接責任人員追究責任，并對負有領導責任的人員進行問責；構成犯罪的，依法追究刑事責任。

?

第八章 ?附則

?

第四十二條??非統計調查類數據處理活動，嚴格落實數據安全責任制，有相關行業標準規范的，參照相關行業標準規范執行。

第四十三條??開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

第四十四條??本辦法由長治市統計局數據安全工作領導小組辦公室負責解釋。

第四十五條??各縣區統計局應根據本辦法，制定本地區統計數據安全管理相關規定，報長治市統計局數據安全工作領導小組備案。

第四十六條??本辦法自印發之日起施行。

?

?

?