各旗县区统计局、稀土高新区统计局，局属各二级单位、各科室：

为切实加强统计数据安全管理，保障数据安全，结合包头统计工作实际，制定《包头市统计局统计数据安全管理办法》。 现印发给你们，请遵照执行。

附件：《包头市统计局统计数据安全管理办法》

                 包头市统计局  

                                                                           2023年2月20日

附件：

包头市统计局

统计数据安全管理办法

第一章 总则

   第一条  为落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国统计法》《中华人民共和国统计法实施条例》《国家统计局数据安全管理办法》和《内蒙古自治区统计局统计数据安全管理实施细则》，切实加强统计数据安全管理，保障数据安全，结合包头统计工作实际，制定本办法。

第二条  本办法适用于包头市统计局局属各二级单位、各科室实施的统计数据处理活动。

属于国家秘密的统计数据按照《中华人民共和国保守国家秘密法》等法律、行政法规和国家统计局相关规定执行。

第三条  本办法所称数据，是指统计机构在统计工作过程中收集和产生的任何以电子或者其他方式对信息的记录。数据处理，包括数据的采集、存储、加工、使用、传输、提供、公开等。

第二章 职责分工

第四条  按照“谁管业务，谁管业务数据，谁管数据安全”原则，坚持统一领导、分级负责，坚持谁生产谁负责、谁管理谁负责、谁使用谁负责。

第五条  为切实推进全市统计数据安全管理工作，组建包头市统计局统计数据安全管理工作领导小组。由包头市统计局主要领导任组长，各分管领导任副组长，相关科室负责人为成员。领导小组负责组织领导和统筹协调开展统计数据安全管理相关工作，明确责任分工，监督检查全局数据安全管理情况。

第六条  各旗县区统计局、稀土高新区统计局，同时在市统计局和属地数据安全工作协调机制指导下，负责指导、监督本地区数据安全管理工作。

第三章  统计数据分类分级管理

第七条  局属各二级单位、各科室根据统计数据分类分级标准对本领域的统计数据进行分类分级，识别核心数据、重要数据和一般数据。统计数据随着汇集程度的提高，其安全级别可能也相应提高。局属各二级单位、各科室应注意统计数据安全级别的变化，如有调整及时通知信息科和综合科，由信息科按照安全级别对汇集后的统计数据采取对应的安全保护措施，由综合科进行核心数据和重要数据目录更改。

（一）核心数据。对反映经济社会全貌、重大成果和中央重大政策成效的核心指标，数据采集、生产、使用全流程都要执行严格、规范的程序和标准。基础资料真实、准确，计算方法科学、合理、全面，评估方案严谨，评估过程规范，评估依据客观、详实。

（二）重要数据。对反映地区、行业一个时期建设成就或重要政策执行效果的重要指标，制定调查方案要经过严格的评估、论证，要严格执行统计法和各项统计标准，要使用专用网络传输数据或使用专用设备、介质转移数据，报送数据的企业用户要执行严格的数字认证，要设计高效、严密、经过验证的数据处理软件，要对采集到的基础数据进行严格的逻辑性、合理性审核，对汇总数据进行认真评估。

（三）一般数据。对反映人民生产、生活、环境、情绪等的一般性指标，调查方案设计要严谨，调查方式要规范，数据汇总、计算方法要科学，要经过必要的评估，对需要发布的数据要做好解读避免误读。 

第八条  加强重要数据保护、严格核心数据管理，一般数据依法流通，重要数据控制出境，未经评估或批准禁止出境，核心数据使用和共享从严管控。

第九条  局属各二级单位、各科室应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。

第四章  统计数据处理信息系统安全管理

第十条  统计数据处理信息系统应对数据采集、传输、存储、加工等环节采取有效的数据安全防护措施。采用硬件防火墙、安全审计等设备对网络和系统进行安全防护和监控；记录数据处理、权限管理、人员操作等日志，对数据异常访问和操作进行告警和审计。日志保存时长不少于6个月。

第十一条  与互联网连接的统计数据处理信息系统，要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等要求，存储处理重要统计数据的要落实二级及以上等级保护要求，存储处理核心统计数据的要落实三级或关键信息基础设施保护要求。

第十二条  统计数据处理信息系统应具备数据容灾备份机制，保证数据遭到删除、篡改、破坏时可恢复。处理重要统计数据和核心统计数据的信息系统应当定期对数据进行容灾备份，定期开展数据备份恢复演练，保证信息系统正常运行。

第十三条  统计数据处理信息系统应采用身份鉴别与访问控制策略，严格权限管理。建立数据权限申请和变更审批流程，按照最少够用、职权分离原则为不同账户分配所需权限，严格控制接触数据的范围。及时删除或停用多余的、过期的账户和权限。

统计数据处理信息系统运维人员的权限分配应仅满足运维管理需要，确有其他需要的，须进行严格的权限审批。系统最高权限应由信息系统建设运行单位审批和管理。

第十四条  统计数据处理信息系统账号应采用实名制注册，设置强口令并定期修改，不得使用默认口令或弱口令，相关人员仅能使用本人实名注册的账号登录系统进行操作，不得使用明文传输或存储账号信息和口令。

账号拥有者应妥善保管账号及口令等鉴别信息，禁止共享、出借、售卖账号。一旦发现账号鉴别信息泄露，应及时采取更改密码、停用账号、上报账号管理员等方式保障账号安全。账号拥有者对本人账号的操作承担直接责任。

第十五条  用于统计数据处理活动的终端设备应部署防病毒、终端入侵检测、数据防泄露等安全管理措施，及时阻断危险操作和威胁行为，防范数据泄露风险。

第十六条  委托企业、专业机构等参与统计数据处理信息系统建设、数据处理活动，委托单位对外包服务的数据安全负主体责任。委托单位应当通过签订合同、安全保密协议、旁站等方式，明确并督促、检查、监督被委托单位履行相关数据安全义务和责任。

第五章 统计数据全流程安全管理

第十七条  数据采集。在数据采集过程中,留存台账，台账中标明数据采集的目的、用途、方式、范围、来源、渠道等，根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并进行记录。通过外单位获取重要数据和核心数据的,应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。

第十八条  数据存储。数据存储按照办公室存档规定期限存储，将纸质资料和电子资料分别储存至资料室和固定计算机。

第十九条  数据加工使用。对数据进行汇总加工、开展分析研究等，应确保数据处理环境按数据安全级别有相应的安全措施。对于重要数据和核心数据,加强访问控制，按照允许访问最小范围使用业务数据。

第二十条  数据发布与提供。对外提供数据，数据获取方应当明确提供的范围、类别等，综合科存档备案,如有必要应与数据获取方签订数据安全协议。

综合科统一组织协调对外统计资料发布和提供，是包头市统计局数据发布、提供数据的唯一对外窗口。综合科应严格按照程序规定，坚持保密原则和数据安全管理相关规定,提供更加优质的统计服务。

第二十一条  综合科负责受理接待协调各新闻媒体与统计数据相关的采访工作。根据新闻媒体采访的内容及对象要求，协调联系局领导或相关专业科室的有关人员接受采访。局属各二级单位、各科室有关人员在接受新闻媒体采访时，答复内容须经综合科审核把关，按相关规定经分管局领导审批后方可进行。任何单位和个人未经批准不得自行回应或接受新闻媒体采访。

第二十二条  数据公开。在数据公开前包头市统计局要结合自治区统计局有关规定分析研判可能对公共利益、国家安全产生的影响,存在重大影响的不得公开。

第二十三条  数据出境。根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，针对统计数据出境的情况应依法依规进行数据出境安全评估，严格做好审批、备案、存档工作。

第二十四条  定期开展全员数据安全教育和培训，同时加强法律、行政法规等常规培训和学习。

第六章 统计数据安全事件应急预案

第二十五条  建立统计数据安全监测预警机制，组织开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。

第二十六条  涉及重要数据和核心数据的安全事件，第一时间上报自治区统计局，并及时报告事件发展和处置情况。

第二十七条  在出现相关统计数据安全事件后，包头市统计局综合科要第一时间与宣传部门沟通协调，并按照局党组的要求认真研判形势，与宣传部门通力合作，积极应对，及时启动相关预案；必要时，局属各二级单位、各科室要按照局领导和综合科的统一安排布署，通力协作，迅速组织相关人员发布有关正面信息或公告，努力消除和化解负面影响，牢牢把握意识形态主动权，正确引导與论。  

第二十八条  各旗县区、稀土高新区统计机构主要负责同志既是地区统计数据核实修订工作的第一责任人，也是统计数据安全事件工作的第一责任人，要高度重视、精心组织，亲自部署本地区的统计数据安全事件工作。按照上级对数据修正的原则和总体要求，对地区数据调整说明要注意内外有别，不作对外宣传,避免引起社会误读和网络炒作。要及时告知当地党委、政府领导及相关部门不得向社会和当地媒体发布任何有关数据调整依据、幅度及结果的情况。

第二十九条  各旗县区统计局、稀土高新区统计局，局属各二级单位、各科室如在日常工作中发现或监控到任何与包头市统计局或统计数据有关的舆情事件，也要第一时间与包头市统计局综合科联系。 

第七章 人员离职离岗数据安全管理

第三十条  工作人员离职离岗应当经人事科会同办公室审核同意，并按照岗位所涉及的数据重要程度逐级审批。重要、核心数据岗位人员离职离岗应当从严审批。

第三十一条  工作人员离职离岗前，人事科应当会同办公室对其进行数据安全提醒谈话，核心、重要数据岗位人员签订数据安全重要岗位安全和保密协议，清退持有的数据资产载体。

第三十二条  工作人员离职离岗后，不得擅自发表涉及未公开数据的言论、文章、著述。

第八章 责任追究

第三十三条  包头市统计局数据安全领导小组在履行统计数据安全监督管理职责中，发现数据处理活动存在安全风险或隐患的，可以按照规定权限和程序对相关单位进行约谈，并要求采取措施进行整改，消除隐患。

第三十四条  局属各二级单位、各科室有违反本办法规定行为造成危害或不良后果的，依规依纪依法对具体责任人和分管统计数据安全工作的直接责任人追究责任；构成犯罪的，依法追究刑事责任。

第九章  附则

第三十五条  本办法由包头市统计局数据安全领导小组负责解释。

第三十六条  开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。

第三十七条  本办法自印发之日起施行。

v