图解自然资源部《自然资源领域数据安全管理办法》.pptx

《图解自然资源部《自然资源领域数据安全管理办法》.pptx》由会员分享，可在线阅读，更多相关《图解自然资源部《自然资源领域数据安全管理办法》.pptx（100页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、,自然资源领域数据,安全管理办法,自然资发202457号,炼石网络2024年6月,图解自然资源部,自然资源,调变监,测,数据,地理信,息致据,自然资源领域数据安全管理办,法,2024年3月22日，自然资源部印发自然资源领域数据安全管理办,法,旨在规范自然资源领域数据处理活动，加,强数据安全管理，,保障数据安全，促进数据开发利用，保护个人、组织的合法权益，,维护国家安全和发展利益。,炼石,办法,是促进自然资源领域数据安全管理、重要数据管理制度落,地的部门规章,pherGotewoy,s.闲,区,，,像,费,编,贵,土,营,部(,1,.,尸,调,调,用 ，上海相海，即净与油周、山原省海,.,厂器,

2、tsa,区,，国,林0源，4地消壹地发其他直单位，各酒出机模，机关,H8,据要工作调,t,项同度，理再 项,安全情理办,d,日发帽你0.请错骨际认肃嘲执行。,口为重,707447月78,时件,日 想,域,颜,支,会,理,力 法,aoc,s,a,于,m,p,a,n,设,士,留,h,a,h,白,sn,(t2467号,t时间,4,cn,x,存,机,R,n,力,0其文4,士,s,a,8,t,酒,办,e,s止记,时,凝n,自然资源领域数据安全管理办法,中华人民共和国自然资源部,政策法规库,Mnstyot Nstualsnorcn ot the,FospkirpuokotOk,个人信息保护法,2021年1

3、1月1,日起施行,密码法,2020年1月1日起施行,数据安全法,2021年9月1日起施行,网络安全法,2017年6月1日起施行,制定依据,日务,回 鸣,青曹,6 耳 动,血,公开,3,数据安全监管的垂直化趋势进一,步,显现,实战需求驱动数据保护,合,规要求夯实安全基线,护航自然资源数据安全,随着信息技术的快速发展，数据已,成为国家重要战略资源。自然,资源,领域的数据安全对于国家安全,、经,济发展和社会稳定具有重要意义。,期/7内容,(启原域握虚会,管虚办法),f,社律师事务所、宿磨源绩减教安全管建办油解,读汉事务所，评解读,(0者项教眉安公算,办法君含律事务所,继数据安全法施行为,各行各业的数

4、据,安全管理奠定法律基,础后，在网络安全,法数据安全法个人信息保护法,密码法搭建的基本法规体系框架下，,包括工业和信息化、,自然资源、银行保险,等相继发布本领域数,据安全管理规定和征,求意见稿，数据安全监管的垂直化趋势进,一步显现。,面对需求与合规要求，有必要充分,发挥监管的“指挥棒”作用，通过,强化政策要求，采取有效的措施规,范自然资源领域数据处理活动,，加,强数据安全管理，保障数据安全，,促进数据开发利用。,自然资源领域数据安全管理,办法制定背景,第三章数据全生命周期,安全管理,12.主体责任/工作体系,13.数据收集,14.数据存储,16.数据传输,17.数据提供,18.数据公开,20.

5、数据出境,21.数据转移,22.委托处理,第四章数据安全监测预警与应急管,理,24.风险监测机制,25.安全风险评估,26.风,险信息通报机制,第五章监督检查,28.监督检查和协助义务,29.数据安全审查,11.重要数据/核心数据目录,报备流程及内容,15.数据加工使用,19.数据销毁,23.日志留存/商用密,码保护,6,27.应急处置,30.保密要求,第六章法律责任,31.监管措施,32.法律责任,第七章附则,33.个人信息保护,34.涉密排除,35.行政许可,36.办法解释,37.施行日期,第一章总则,1.目的依据,2.适用范围,3.术语定义,4.监管机构,5.标准制定,6.数据开发利用,

6、7.宜传教育/人才培养,炼石整理：自然资源领域数据安全管理办法总结,构,自然资源领域数据安全管理办法,第二章数据分类分级管理,提出密码保护,、加密的,条,款,10.核心数据/重要改据,/,一般放据,炼石,CipherGatewoy,9.数据分类分级方法,8.分类分级工作要求,5,建立权责一致的工作机制,明确适用范围，界定自然资源领域,数据、,数据处理者及数据安全概念，构建“,部-地,方-企业”三级联动的防护体系，提出将,数,据安全纳入党委(党组,)国家安全责任制,按照“谁管业务，谁管数据，谁管数据,安全”原则，落实监管责任。,落实数据全生命周期安全管理,针对不同级别数据，,细化数据处理者,的主

7、体责任，围绕数据收集、存,储、,加工使用、传输、提供、公开、销毁,、出境、转移、委托处理、日志留存,等环节，规范安全管理和保护要求,，,明确使用商用密码技术进行保,护。,管理办法,共七章三十七条,，重点解,决自然资源领域数据安全,“谁来管、管什么、怎么管”,的问题，主要内容包括六,个方面：,细化数据分类分级管理,明确相关主体数据分类分级,的工作要,求,及,方,法,，细化重要数据识别指标，,要求建立重要数据和核心数,据目录及,报,备,机,制,。,规定了行业监管部门监督检查及数,据处理者协助义务、自然资源部数,据安全审查义务以及数据处理,者及,其委托的数据安全风险评估,机构保,密要求等内容。,加强

8、数据安全监测预警与应急管理,强化监督检查,法律责任,自然资源领域数据安全管理,办法主要内容,建立数据安全风险监测、风,险评估、风,险信息通报、应急处置等工作机制。,明确相关违法违规行,为的法律责任,和惩罚措施。,6,自然资源领域数据处理者,本办法所称自然资源领域数据处理者(以下简称数据处理者),是指开展自然资源领域数据处理活动的,自然资源行业各类单位。,数据安全,本办法所称数据安全,，是指通过采取必要措施，确保数据处于有 效保护和合法利用的状态，以及具备保,障持续安全状态的能力。,自然资源领域数据,本办法所称自然资源领域数据，在开展自然资源活动中收集,和产生的数据，主要包括基础地理信息、遥感影

9、像等,地理信,息数据,，土地、矿产、森林、草原、水、湿地、海域海岛等,自然资源调查监测数据,，总体规划、详细规划、专项规划等,国土空间规划数据,，用途管制、资产管理、耕地保护、生态,修复、开发利用、不动产登记等,自然资源管理数据,。,3.数据全生命周期,安全管理,术语定义,在中华人民共和国境内开展的，或在境外履,行自然资源部门职责过程中开展的自然资源领,域非涉密数据处理活动及其安,全监管，应当遵守相关法律法规和本办法的要求。,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,1,.,总则,适用范围,明确适用范围及术语定义,自然资源调查监测数据,自然资源管理数据,地理信息数

10、据,国土空间规划数据,2.数据分类分级管理,7,自然资源部,在国家数据安全工作协调机制,统筹协调下，自然资源部承,担自然资源行业、领域数据安,全监管职责，负责督促指导,各省、自治区、直辖市自然资源主管部门,、海洋主管部门,(以下统称地方行业监管,部门)开展数据安全监管。,国家林业和草原局,具体承担森林草原、湿地荒漠等数据安全监管职责，参照,本办法制定具体制度,。,地方行业监管部门,分别负责对本地区自然资源领域数据,处理活动和安全保护,进行监督管理。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,统称为行业监

11、管部门,行,业,监,管,部,门,将数据安全纳,入,党,委,(,党,组,),国,家,安,全,责,任制,按,照,“谁管业务，谁管数据,谁管数据安全”,原,则,落实本行业本地区本领域数,据安全指导监管责任,将数据安全,纳入党委(党组)国家安全,责任制，“谁管业务，谁管数据，谁管数据安全,炼石,标准制定,推,进 自,然,资,源,领域数据开发,利用和数据安,全,标准体系建,设,组,织,开,展,相,关,标准制修订及,推,广,应,用,erGotewo,8,1,.,总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,数据开发利用,鼓

12、励自然资源领域数据依,法共享开放和开发利用，,支持数据创新应用。,积极构建数据开发利用和,安全产业协调共进的发展,模 式,，不断提升数据安,全,保障能力，维护国家,安全,、社会稳定、组织和个人,权益。,宣传教育/人才培养,支持开展经常性的自然,资源领域数据安全宣传,教育。,采取多种方式培养数据,开发利用技术和数据安,全,专,业,人,才,，促进人才,交流。,鼓励自然资源领域数据开发利用，支持数据安全宣传教育及,人才培养,9,1.总则,相关主体,分类分级工作要求,上,报,10,2.数据分类分级管,理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附

13、则,自然资源部,组织制定自然资源领域,数据分类分级、,重要数据和核心数据识别认定、数据安,全保护等标准规范,，指导开展数据分类分级管理工作,，,编制行业重要数据和核,心数据目录,并实施动态管理。,国家林业和草原局,按照自然资源领域数据分类分级标准规范，结合工作需要编制林草领域数据安,全标准规范，指导开展林草数据分类分级工作，编制林草重要数据和核心数据,目录并实施动态管理。,地方行业监管部门,按照自然资源领域数据分类分级标准规范，分别组织开展,本地区,自然资源领域,数据分类分级管理及重要数据和核心数据识别审核工作,，,编制本地区自然资源,领域重要数据和核心数据,目录，并上报自然资源部，目录发生变

14、化的，应及时,上报更新。,数据处理者,应当,定期,按照自然资源领域数据分类分级标准规范,梳理,填报重要数据和核心数,据目录。,清晰划分自然资源领域相关主体数据分类分级职责，要求建立重要数据和核心数据,目录,2.数据分类分级管理,数据分类,数据分级,根据行业特点和业务应用，自然资源领域数据分类类,别包括但不限于：,地理信息,自然资源调查,监测,炼石,呼应数据安,全法和网安标委数据分类分级规则,给出自然资源数据分类分级方法,Clp,herGotewoy,通,过,对 自,然,资,源,领,域,数,据,重要性、精度、规模、,安全风险,数据价值、可用性、可共享性、可开放性,等进行综合分,析,国土空间规划,

15、自然资源管理,其他,具体参照自然资源领域数据,分类分级标准规范。,判断数据遭到篡改、破坏、泄露,或者非法获取、非法利用,后的,影响对象、影响,程度、影响范围,进行分级，分为：,一般数据,重要数据,核心数据,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,数据处理者可,在此基础上,细分数据,的类别和一般数据级别。,3.数据全生命周期,安全管理,1.总则,11,结合自然资源领域数据特点，满足以下两项(含)以,上参考指标的,为重要数据,。,1.,支撑党中央和国务院赋予的“两统一”职,责产生具有不可替代性和行业唯一性的，一旦发生数据篡改、,泄露或服务中断等安全事故，将影响自然资

16、源部门履行职责，对全国范围内服务对象产生重要影响的数,据。,2.,涉及国民经济和重要民生的，为其他行业、领域,提供自然资源基础数据支撑的，一旦发生数据安全事故,会对其他行业、领域造成重要影响的数据,。,3.,覆盖多个省份甚至全国，规模大、精,度高，且极具敏感性、重要性的数据。,4.,直接影响国家关键信息基础设施正常运行服务的数据。,5.,危害国家安全、国家经济竞争力、危害公众接受公共服务、危害公,民生存条件和安定工作生活环境、危,害公民的生命财产安,全和其他合法利益、导致社会恐慌等的数据。,6.,我国法律法规及规范性文件规定的其他自然资,源重要数据。,核心数据是指对领域、群体、区域具有较高,覆

17、,盖度或达到较高精度、较大规模、,一定深度的重要数据，,一,旦被非法使用或共享，可能直接影响政治安全。核心数据主要包括关系国家安全重点,领域的数据，关系国,民经济命脉、,重,要民生和重大公共利益的数据，,经国家有关部门评估确定的其他数据。,重要数据是指特定领域、特定群体、特定区域,或达到一定精度和规模，,一旦被泄露或篡改、损毁，可能直,接危害国家安全、经济运行,、社会稳定、公共健康和安全的数据。,一般数据是指除重要数据、核心数据以外的其他数,据。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,符合重要数据指

18、标，且关,系国家经济命脉、重要民,生和重大公共利益、影响,政治安全的数据为,核心,数,据,。,12,自然资源领域数据识别的参考指标,核 心,数据,重,要,数据,一般,数据,GB/T 43697-2024数据安全技术数据分类,分级规则一附录G重要数据识别指南,其中列举的重要数据识别考虑因素包括了涉及自然资源,领域数据的相关内容：,序号,重要数据识别考虑因素,a),直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据,；,b),可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，,如满足一定精,度指标的地理数据或与战略物资产能、储

19、备量有关的,数据；,j),反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文,观测结果、耕,地面积或质量变化情况的数据；,m),关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、,极地进行科学考,察、开发利用的数据，以及影响入员在上述领域安全进出的数据,。,汽车数据安全管理若干规定(试行),(,一,)军事管理区、国防科工单位以,及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数,据；,1.总则,2.数据分类分级管,理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,

20、7.附则,(拓展)涉及自然资源领域重要数据识别的其他法,律法规相关要求,第,三,条,(,部,分,),13,报备内容发生重大变化的,数据处理者应当在,发生,变化的三个月内履行变更,手续。,*重大变化是指,数据内容发,生变化导致原有级别不再,适,用的，或某类重要数,据和核,心数据规模变化30%以,上,的,，,等等。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,中华人民共和国自然,资源部,Ministry of Natural Resourtes of,the P,eoples,Republic ofChina

21、,国家林业和草原局,National Forestryand Grassland Administrat,ion,本地区行业监管部门,审核,中华人民共和国自然,资源部,Ministry of Natural Resources,of the,Pe,oples,Republc,of China,报备内容包括但不限于数据类别、级别、规模、精度、来源、载体、使用范围、对外共,享、,跨境,传输、安全情况及责任单位情况等，不包括数据内容本身。,报备本单位重要数据,和核心数据目录,报备本单位重要数据,和核心数据目录,报备本单位重要数据,和核心数据目录,自然资源部,所属的数据处理者,国家林业和草原局 所属的

22、数据处理者,其他数据处理者,不符合要求,符合要求,重要数据审核认定,(,20个工作日,完,成),自然资源领域重要数据,和核心数据报备,核心数据审核认定,国家数据安全工作协调机制,提交报备申请/,收到反馈后,15个工作日内,再提交,地方行业监管部门,及时反馈并说明理由,20个工作日内,完成,数据处理者,业,1.总则,数据处理者应当对数据处理活动安全负主体责任，对各类数据实行分级防护，不同级别数据同时被处,理且难以分别,采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利,用的状态。,落实制度要求,利用互联网等信息网络,开展数据处理活动时，,要落实网络安全等级,保,

23、护、关键信息基础设施,安全保护、密码保护和,保密等制度要求,。,开展教育培训,定期对从业人员开展数,据安全知识和技能相关,教,育,培,训,。,配备管理人员,根据需要配备数据安全,管理人员，,统,筹,负,责,数,据处理活动的安全监督,管理，协助行业监管部,门开展工作,。,制定应急预案,根据应对数据安全事件,的需要，制定应急预案,并开展应急演练,。,建立管理制度,建立数据安全管理制度，,针对不同级别数据，制,定,数据全生命周期各环节的,具体分级防护要求和操,作,规程,。,严格权限管理,合理确定数据处理活动,的操作权限，严格实施,人员权限管理。,采取技术措施,应当采取相应技术措施和,其他必要措施保障

24、数据,安,全,，防范数据被篡改、破,坏、泄露或者非法获取、,非法利用等风险。,其他措施,法律法规等规定的其他措,施。,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,自然资源领域数据处理者数据安,全保护的一般义务,7.附则,15,建立数据安全,工作体系,建立覆盖本单位相关部门,的数据安全工作体系,，,明,确数据安全负责人和管理,机构，建立常态化沟通与,协作机制,。,本单位法定代表人或主要,负责人是数据安全第一责,任人，领导班子中分管数,据安全班子成员是直接责,任,人,，,其他成员对职责范,围内的数据安全工作负,领,导责任，履行数

25、据安全,保,护义务，接受监督。,明确关键岗位和,岗位职责,明确数据处理关键岗位和岗,位职责，并要求关键岗位人,员签署数据安全责任书，责,任书内容包括但不限,于数据,安全岗位职责、义务、处罚,措施、注意事项等内容,。,应当按照业务工作需要和最,小授权原则，依据岗位职责,设定数据处理权限，控制重,要数据接触范围，人员变动,时应及时调整权限。,涉及核心数据相关关键岗位,人员、信息系统建设和运维,单位等，提交公安机关、国,家安全机关进行国家安全背,景审查。,涉重要数据信息系,统建设、运维要求,涉重要数据信息系统建设、,运维项目未经委托方批准不,得转包、分包。,建设运维人员未经委托方明,确授权，不得处理

26、委,托方的,重要数据。,在提供涉重要数据信,息系统,建设、运维过程中收集、产,生的数据，不得用于其他用,途，服务完成后按照与委托,方约定处理或及时删除。,人员和经费保障,应当加强人员和经费,保障,。,16,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,建立内部登记、,审批机制,建立内部登记、审批,机制，,对重要数据和核心数据的处,理活动进行严格管理并留存,记录不少于六个月,。,综合运用安全,技术手段,在数据全生命周期各环节，,应当,综合运用加密、,鉴权、,认证、脱敏、校验、,审计等,技术手段进行安全保护,，

27、并,按照法律法规和国家有关规,定要求使用商用密码进行保,护,。,自然资源领域重要数据与核心数据处理者数,据安全保护的特殊义务,重要数据和核心数据处理者，还应当：,炼石,CipherGotewoy,1.总则,数据收集,数据存储,数据处理,数据传输,数据提供,数据公开,数据销毁,其他情况,2.数据分类分级管理,关键词,详情,关键词,详情,基本,原则,数据处理者收集数据应当遵循,合法、正当,的原则，不得窃取或者以其他非法方式收,集数据。法律法规对收集,数据的目的、范,围有规定的，应当在法律法规,规定的目的,和范围内收集。,安,全,管,控,数据处理者应当依据法律法规规定,的方式和期限存储数据，可以从物

28、,理和环境安全、网络和通信安全,、,设备和计算安全、应用和数据安全,等方面，加强数据存储安全管控，,保障存储数据的完整性、保密性,、,真实性和可用性。,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,安全,措施,数据收集过程中，,应当根据数据安全级别,采取相应的安全措施,，加强重要数据和核,心数据收集生产人员、设备的管,理，并对,收集来源、时间、类型、数量、精度、区,域、频度、流向等进行记录。,5.监督检查,分级保护,存储重要数据的，要落实第三级及,以上网络安全等级保护要求。存储,核心数据的，要落实关键信息基础,设施安全保护要求或第四级网络安,全等级保护要求。,6.法律责任,其

29、他,情况,通过,间接途径,获取重要数据和核心数据的，,数据处理者,应当与数据提,供方通过签署相,关协议、承诺书等方式，明确双方法律责,7.附则,任。,17,需加强数据存储安全管控，保障存储数据的完整性、保密性、真,实性和可用性,数据公开,数据销毁,其他情况,V,通用安全要求,策,略,制,定,数据处理者,应当根据传输的数据类型、级,别和,应用场景，制定安全策略并采取保护措施。,其他情形安全要求,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,涉及重要数据和核心数据,传输重要数据和核心数据的，应,当采取校验技,术

30、、密,码,技术、安全传输,通,道或者安全传输协,议等措施。,18,安,全,管,控,数据处理者开展数据加工使用处理活,动,，应当采取访问控制、,数据防泄露,、,操作审计等管控措施，确保过程安,全、合规、可控、可溯源，,防范数据,关联挖掘、分析过程中有价值信息和,个人隐私泄露的安全风,险，明确数据,使用加工过程中的相关责任，保证数,据的正当加工使用。,涉及重要数据和核心数据,加工使用重要数据和核心数据,，还应,当实施严格的访问控制,，,建立,数据可,信可控、日志留存审计、风险监,测评,估、实时监控、应急处置、数据溯源,等相关技术和管理机制。,涉及自动化决策,涉及利用数据进行自动化决策的，应当,保证

31、决策的透明度和结果公平合理,。,数,据,收,集,数,据,存,储,数据处,理,数据传输,数,据,提,供,通用安全要求,分,级,保,护,加工使用过程中，,应当按照数据级别采,取相应的措施保护数据的安全性,，所使,用的数据必须是真实可靠的，数据,来源,、收集过程须经过审查和核实。,开展数据加工使用处理活动，应当,采取访问控制、数据防泄露、操作,审计等管控措施,其他情形安全要求,分类,关键词,详情,基础要求,明确信息,明确,提供的,范围、类别、,条件、程序等,最小范围,提供的数据应当,限于实现数据接收方处理目的的最小范,围,分级保护,告知数据接收方,按照对应级别进行分类分级保,护,安全保护,采取,必要

32、的安全保护措施,涉及,重要数据,签订协议,与数据接收方,签订数据安全协议,加强管控,重要数据在共享、调用过程,中,应当加强安全管控,定期监测,采取技术措施,定期监测数据共享、调用的情况,措施配备,配备,风险隔离、认证鉴权、威胁告警,等安全保,护措施,涉及提供、共享核,心数据,采取措施,应当,采取必要的安全保护措施,信息上报,上报自然资源部,风险评估,自本年度1月1日起可能累计达到总量,30%,及以上的，应当经自,然资源部报国家数据安全工作协,调机制,组织风险评估,注,：,涉及国家机关依法履职或单位内部流动的,除外,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急

33、管理,5.监督检查,6.法律责任,7.附则,数据收集,数据存储,数据处理,数,据传输,数据提供,数据公开 数据销毁,其他情况,数据处理者应当按照有关规定安全有序提供数据，具体如下表所示：,提供的数据应当限于实现数据接收方处理目的的最小范围,1.总则,),分类,关键词,详情,不得公开情形,数据公开,数据处理者应当在数据公开前分析研判可能对国家安全、公共,利益产生的影响，,存在显著,负面影响或风险的，不得公开,公开基本原则,政府机关部门应当遵守,公正、公平、便民,的原则，按照规定及,时、准确地公开政务数据，依法不予公开的除外,制度建立,数据处理者,应当建立数据销毁制度，,明确销毁对象、规则,、流,

34、程和技术等要求，对销毁活动进,行记录和留存,数据销毁,依据法律法规规定、合,同约定等请求销毁的，数据处理者应当,销毁情况,销毁相应数据,销毁重要数据和核心数据的，要采取必要的安全保护措施，,并,安全保护,事前向行业监管部门报告数据销毁方案,引起重要数据和核心数据目录变化的，应,当及时向行业监,管部,报备情况,门报备,，不得以任何理由、任何方式,对销毁数据进行恢复,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,数据处理者应当建立数据销毁制度，明确销毁对象、规则、,流程和技术等要求,数据收集 数据存储 数据处理

35、,数据传输,数据提供,数据公开,数据销毁,其他情况,20,1.总则,2.数据分类分级管理,其他情况,3.数据全生命周期,安全管理,境内数据,一般情况,数据处理者在中华人民共和国境内收集和产生的重要数据，应,当在境内存储,4.数据安全监测预警,与应急管理,确需向境外提供的,数据处理者应当落实国家网信部门数据出境安全评估有关规定,5.监督检查,一般情况,数据处理者因重组等原因需要转移数据的，应当,明确数据转移,方案,6.法律责任,7.附则,数据转移,涉及,重要数据,的,应当,采取必要的安全保护措施,，事前向行业监,管部门报告数据,转移方案。,应当,及时向行业监管部门报备,情况,场景说明,要求,数据

36、转移涉及重要数据的应当采取必要的安全,保护措施,引起,重要数据目录发生,变化的,21,情况,场,景,说,明,要求,委托处理,一般情况,数据处理者委托他人处理、与他人共同处理数据的，数据安全,责任不因委托而改变，应当通过签订合同协议等方式，明确委,托方与受托方的数据安全责任和义,务。,涉及,重要数据,的,委托方要把安全作为重要考虑因素，应当,对受,托方的数据安全,保护能力、资质进行评估或核实,，经过,严格的审批程序，明确,受托方的数据处理权限和保护责任，并监督受托方履行数据安,全保护义务。,涉及数据提供的,除法律法规等另有规定外，未经委托方同意，受托方不得将数,据提供给第三方。,日志记录,一般情

37、况,数据处理者应当在数据全生命周期处理过程中，记录数据处理,、,权限管理、人员操作等日志，,并采用商用密码技术保护日志,的,完整性,。,日志留存,一般数据的日志留存时间不少于,六个月,，涉及重要数据,安全事,件处置、溯源的，相关日志留存时间,不少于一年,；涉,及向他人,提供、委托处理、共同处理重要数据的，相关,日志留存时间,不,少于三年,。涉及核心数据安全事件处置、溯源的相关日志,留存,时间,不少于三年。,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,数据传输,数据提供,数据公开,数据销毁,其他,情况,数据处理者应当

38、采用商用密码技术保护日志的完整性,数据收集,数据存储,数据处理,1.总则,2,数据处理者应当开展数据安全风险,监测，及时排查安全隐患，,采,取必,要的措施防范数据安全风,险。,地方行业监管部门,分别建设本地区数据安全监测,预警机制,织开展本地区自然资源,领域数,据安全风险监测,按照有关规定及时发布预警信息，通知,本地区数据处理者及,时采取应对措施。,23,日,自然资源部门,按照国家相关标准和流程,组织建立自然资源领域数,据安,全风险监测机制,中,建立自然资源领域数据安全风,险监测预警体系，划分数据安,全风险和事件等级,国家林业和草原局,组织建立林草数据安全风险监,测预警机制,划分林草数据安全风

39、险和事件,等级,组织建设林草数据监测预警技,术手段,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预,警,与应急管理,5.监督检查,6.法律责任,建立自然资源领域数据安全风险监测机制,7.附则,h,重要数据处理者,评估周期,应当自行或委托第三方评估机构，每,年对其数据处理活动至,少开展一次风,险评估，及时整改风险问题，并向行业监管部门报送风险评估报告,。,报告内容,风险评估报告应当包括,处理的重要数据的类别、数量，开展数据处理活动,的情况，面临的数据安全风险、应对措施及其有效程度,等。,保留期限,数据处理者应当,保留风险评估报告至少三年,。核心数据处理者优先使用

40、,第,三方评估机构开展风险评估,。,国家林业和草原局,指导开展自然资源领域数,地方行业监管部门,负责组织开展本地区自然资源领域,数据安全风险评估工作,数据处理者,日志审计,数据处理者在组织重要数据安,全风险评估时，,应当对其数据,查询、下载、修改、,删除等重,点操作的日志开展审计分,析,，,发现违规或异常行为，应及时,采取相应处置措施。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预,警,与应急管理,5.监督检查,6.法律责任,7.附则,开展自然资源领域数据安全风险评估工,作,组织指导开展林草数据安,全风险评估等工作,据安全风险评估等工作,自,然,资,源,部,

41、门,数据处理者,及时将可能造成较大及以上安全,事件的风险向行业监管部门报告。,25,地方行业监管部门,汇总分析本地区自然资源领,域数,据安全风险，根据,数据安全风险,的发展态势、规模大小、关,联程,度、现实危害等综合研判,，及时,将可能造成重大及以上,安全事件,的风险向自然资源部,报告。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,自然资源部门,组织建立自然资源领域数据,安全风险信息通报机制,，统,一汇集、分析、研判、通报,数据安全风险信息,。,国家林业和草原局,组织建立,林草数据安全,风险信息通报机制,

42、。,建立自然资源领域数据安全风险,信息通报机制,数据处理者,日志审计,报,告,周,期,告,知,风,险,在数据安全事件发生后，应,当按照应急预,案，及时开展应急处,置，,涉及重要数据和,核心数据的安全事件，第一时间向行业监,管部门、属地公安部门报告，,事件处置完,成后一周内形成总结报告。,每年,向行业监管部门报告数,据安全事件处置情况。,数据处理者对发生的,可能损,害用户合法权益的数据安全,事件，应当及时告知用,户，,并提供减轻危害措施。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,自然资源部门,组织制定自

43、然资源领域数据安全,事件应急预案，组织,协调重要数,据和核心数据安全事,件应急处置,工作。,组织开展本地区自然资源,领域数据安,全事件应急处置工作,。,涉及重要数据 和核心数据的安全事件，应当立即报,自然资源部，并及时报告事件发,展和,处置情况。,组织建立林草数据安全事件,应 急预案，组织协调重要数据和,核心数据安全事件应,急处置工,作。,制定自然资源领域数据安全事件应急预案,地方行业监管部门,国家林业和草原局,6,保护个人信息、,商业秘密安全,数据处理者及其委托的数据,安全风险评估机构工作,人员,对在履行职责中知,悉的个人,信息、商业秘密等，应当严,格保密，不得泄露或者非法,向他人提供。,2

44、7,数据安全审查,在国家数据安全工作协调,机制统一组织下，自然,资 源部依法配合有关部,门，,对影响或者可能影响国家,安全的自然资源领域数据,处理活动开展数据安全审,查工作。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,监督检查,行业监管部门对数据处理,者,落实数据分类分级保护,及本办法要求的情况进行,监督检查。数据处理,者应,当对行业监管部门监督检,查予以配合。,各方落实监督检查、数据安全审查和保护个人信息、商业秘密安全责任,主体,行为,处罚,行业监管部门,在履行数据安全监督管理职责中，,发现数据处理活

45、动存在较大安全,风险的,可以按照规定权限和程序对数据处,理者进行约谈，并要求采取措施进,行整改，消除隐患。,依照中华人民共和国数据安,全法,及有关法律法规予以处理，根据情,对于违反有关规定的,节严重程度给与相应行政处罚,，,构,成犯罪的，依法追究刑事责任。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,落实各方法律责任,28,主体,行为,开展涉及,个人信息的,数据处理活动,应当遵守有关法律法规的规定。,涉及国家秘密信息或自然资源领域数据汇聚关联,应当符合国家及部相关保密规定,。,后属于国家秘密事项,的数据处

46、理活动,法律法规规定开展数据处理活动应当取得行政许,可的,数据处理者应当依法取得许可。,1.总则,2.数据分类分级管理,3.数据全生命周期,安全管理,4.数据安全监测预警,与应急管理,5.监督检查,6.法律责任,7.附则,本办法由自然资源部负责解释。,本办法自印发之日起施行。,29,其他重要要求,自然资源领域数据安全实践,30,自然资源数据保护技术实,践,基于产品与服务，事前,事中事后全防护,31,根,据,IBM,最新发布的2023年数据泄露成本报告,数据泄露的平均成本创下,4,45万美,元,的,历史新高,，,较过去,3,年均值,增长了15%。,某馏行被处商420万,银保监1号物单,538亿务

47、数露，0.17,7比特形,某反联网平台数面法露,同络安全法,个人信息保护法,数据安全法,密码法,查,金,护,是,O,要,全侧,阴,安,全,条,商用密得管理条例,等保,关保,数评,密评,信创,安全产业自身,数据安全产业的发展阶段性(历史是先发展再治理，今天已,到拐点)、,和自身特殊性(经济学外部效应带来的密集法律法规),形成市场非线,性增长驱动力。,数据入表,财政部企业数据资源相关会计处理暂行规,定,将,数据入财务报表并体,理其真实价值与业,务,责,献,，,对数据资源确认范围,和会计处理适用,准则等作出规定，2024年1月起施,行。,加快发展数字经济，促进数字,经济和实体经济深度融合，打造具有国

48、,际竞争力的数字产业集群。,健全国家安全体系，强化经,济,、重大基础设施、金融、网络、数据、生物、,资源、核、太空、海洋等安全保障体系建,设。,信息技术产业,国际形势变化带来的空前安全需求，重要性(数字,安全和几乎全部安全,领域相交)和长期性(未来几十年新常态)。,总体国家安全观,7,E,E,安全,需求：内在风险、外部合规、,增量价,值,外部合规：“五法一典”过程与结果双合规,经济学外部效应：,数据泄露给他人造成损害，对企业影响反而不大。解决,办法是通过立法，让“防数据泄露”成为公共安全产品，类似环保。,内在风险：数据风险如,影随形伴生数据处理,增量价值：“数据入表”让安全从成本走,向价值,现

49、在，过数报安全手段消风片，在新会,计准下可以让数据成为,企业实实在在的_,表内资户,过去，数通过提升运营效率问接为企业,而生俱定的风险证数银成为企业,不可部视的表外负值,二十大报告,国家安全机关破获段国首例,涉及高铁迅行安全,的危害国家安全类案件,2亿备中国公我数据,在暗网被公开售卖,炼,石,OpherGaom,画,数据外发,合规风险,数据安全建设面临“,两难”:,数据保护体现为,面向应用的功能,型安全需求，,要在应用中融,合实现，,但改造存量应用成本高、风险大、周期长，,新应用,的业务开发与安全排期也不匹配，,安全机制总是滞后或缺失,而数据保护不落实，则合规风险越来越大、因,泄露导致的业,务

50、风险会快速累积,身份鉴别,密,级标识,以网络为中心的安,全,数据分类,数据安全成为当前建设重点,零信任网络,SIEM,端点安全,IDS,防火墙,落地痛点：安全建设从网络到数据，安全和业务纽结缠绕难以改造,数据态势,解密细控,泄露检测,数据审计,数据鉴权,存储加密,通信加密,数据过量,访问风险,业务操作,身份风险,数据违规,外发风险,未授权的,数据访问风险,运维人员,内控风险,业务人员,越权访问风险,终端管控,移动安全,反病毒,沙箱检测,VPN,访问,审计,重要,数据,脱敏,以数据为中心的安全,风险,签名,数据访问,内控风险,33,平台主界面,产品体系：免改造平台灵活交付多重安全能力，易部署易扩