宁波市江北区统计局数据安全管理制度

第一章 总则

第一条 为规范统计数据处理活动，加强统计数据安全管理，保障统计数据安全，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国统计法》《国家统计局统计数据安全管理办法》等法律法规，结合我局实际，制定本制度。

第二条 本制度所称统计数据，是指开展统计工作中采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式记录的信息（包括数字、图表、音频、视频等）。 

第三条 统计数据安全工作按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，根据具体业务情况，落实统计数据安全责任。

第四条 本制度所涉及的统计数据仅指非涉密统计数据。涉密统计数据的安全管理参考局保密工作有关规定。

第二章职责分工

第五条 局成立数据安全工作领导小组，负责数据安全工作的总体监管、协调及重大事项决策。局主要负责人是第一责任人，分管局领导是直接责任人。

第六条 局数据安全工作领导小组办公室设在综合核算科，负责根据相关法律法规和制度规范要求，建立健全数据安全体系，督促落实数据安全要求。处理统计数据相关的安全事件，并向上级报告。各科室（中心）负责落实和配合。

第三章统计数据分类分级管理

第七条 统计业务科室遵照统计系统现有的数据分类标准，按照国家统计局规定的统计专业、专项普查（人口、经济、农业）以及上级政府部门委托的一次性调查项目，对所负责的统计数据进行归纳和分类，做好统计数据安全管理工作。

第八条 统计业务科室在对每个类别的统计数据进行处理和应用的过程中，按照数据流的不同阶段应划分为基础数据和综合数据。

基础数据：初始采集的统计对象的资料，包括个人信息、企业（单位）数据、项目数据等；

综合数据：对基层数据进行整理、汇总、推算等加工处理形成的总量、结构、速度、比例、均值等数据。

第九条 统计业务科室应根据统计数据的重要性、精度、规模、安全风险等关键要素，将统计数据安全等级从高到低划分为核心、重要、一般三个级别。

第十条 统计核心数据：对涉及国家安全、国家关键基础设施等国家重要战略资源、涉及个人信息、商业秘密但不涉及国家秘密的统计数据，具有很高的使用价值、敏感性、可用性、完整性要求的统计数据，数据汇集程度很高，或数据获取难度很高，或数据损坏后恢复难度很高，或数据泄漏、破坏、丢失对国家统计系统和国家利益造成很大损害，或已定为信息安全等级保护三级及其以上的统计信息系统涉及的统计数据。

第十一条 统计重要数据：对与国计民生密切相关的统计数据，涉及个人信息、商业秘密但不涉及国家秘密的统计数据，具有较高的使用价值、敏感性、可用性、完整性要求的统计数据，数据汇集程度较高，或数据获取难度较高，或数据损坏后恢复难度较高，或数据泄漏、破坏、丢失对国家统计系统和国家利益造成较大损害，或已定为信息安全等级保护二级的统计信息系统涉及的统计数据。

第十二条 统计一般数据：对具有一般的使用价值、敏感性、可用性、完整性要求的统计数据，数据汇集程度低，或数据获取难度低，或数据损坏后恢复难度低，或数据泄漏、破坏、丢失对国家统计系统和国家利益不会造成损害，或已定为信息安全等级保护一级的统计信息系统涉及的统计数据。

第四章数据安全管理

第十三条 统计数据的交换、传输，应在安全的网络环境和介质中进行，确保统计数据的保密性、完整性、可用性。

第十四条 建立数据备份机制。为避免统计数据损坏和丢失，各处室（中心）根据统计数据重要性和容量，制定相应的统计数据备份方案，明确统计数据的备份方式、备份周期和保留周期。

第十四条 数据销毁应当建立针对数据内容的清除机制，对数据及数据存储媒介通过相应的操作手段，使数据彻底或有效删除且无法通过任何手段恢复。

第十五条 统计信息系统应采用实名制注册，设置强口令并定期修改，不得使用默认口令或弱口令。

第十六条 建立数据访问权限管理机制，按照最小必要原则进行精细化授权。加强离岗离职人员数据安全管理，及时注销账号。

第十七条 建立数据导入导出审批机制，区局统计人员根据业务需要，填写《统计信息系统数据访问使用审批表》，经科室负责人、业务分管领导审批后由信息化工作人员依据审批情况开通访问使用权限。统计系统人员应在自己的权限范围内进行数据访问和使用，不得越权访问和使用数据。

第十八条 建立数据对外提供制度，明确提供的范围、类别、条件、程序等，对过程进行严格审批并存档。

对外提供重要统计数据和核心统计数据，必要时可通过签署相关协议或承诺书的方式，要求数据获取方对所提供数据采取安全保护措施，且数据使用范围符合相关法律法规。

第十九条  统计数据的公开和发布，应当遵循公正、公平、便民的原则，按照局政务公开有关规定及时、准确公开。

第二十条 建立数据安全应急预案和应急演练机制，定期开展应急演练，总结并形成应急演练报告，持续优化应急预案。参见《江北区网络安全管理制度》第五章应急预案管理和安全事件处置。

第二十一条 数据安全人员应定期参加数据安全培训，加强数据安全工作经验交流，提升专业能力。

第二十二条 建立信息技术服务外包安全管理机制，对服务外包承包机构的数据安全保护能力、资质进行核实，确保符合国家、行业主管部门的相关要求。与承包机构签订安全保密协议，监督并定期检查承包机构履行数据安全保护义务的情况。严禁承包机构擅自留存、使用、泄露、销毁或者向他人提供数据。

第五章责任追究

第二十三条 有下列情形，应当逐级倒查，追究相关责任科室或个人责任。

（一）发生普查和常规统计调查等调查对象个体数据的泄露的；

（二）计算机遭受网络攻击，没有及时处置导致大面积影响统计工作，或者造成重大经济损失，或者造成严重不良社会影响的；

（三）封锁、瞒报数据安全事件，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的；

（四）发生其他严重危害统计数据安全行为的。

第二十四条 责任科室或个人违反本办法有关规定，导致数据安全受到威胁或遭到破坏，造成损失或不良影响的，可根据损失或影响的程度给予通报处理；情节严重的，根据相关法律、法规和规定进行处理。

第六章附则

第二十五条 本制度由综合核算科负责解释。

第二十六条 本制度自印发之日起施行。