☆☆☆数据安全管理规范与细则.docx

《☆☆☆数据安全管理规范与细则.docx》由会员分享，可在线阅读，更多相关《☆☆☆数据安全管理规范与细则.docx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX局数据治理及技术标准咨询项目数据安全管理细则2021年10月标准的要求，可能影响国家安全的，应当通过国家安全审查。审查范围包括核心网 络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品 和服务；（6） 数据项责任部门应预判该产品和服务投入使用后可能带来的数据安全风 险，采购、使用的网络关键设备和网络安全专用产品应通过国家规定的检测认证， 优先采购安全可信的网络产品和服务，产品规格标准可参考附件一；（7） 发现使用的网络产品、服务存在安全缺陷、漏洞等风险时，及时采取措施 消除风险隐患，涉及重大风

2、险的应当按规定向数据安全管理部门报告；（8） 采购网络产品和服务时，数据项责任部门应要求提供者做出必要安全承诺, 并签订安全保密协议，协议内容应包括安全职责、保密内容、有效期等。6.6数据安全风险管理6. 6.1安全风险识别数据安全管理部门负责发起风险评估，数据项责任部门的数据安全专员负责实施本 部门的安全风险识别并上报，识别内容包括：（1） 识别数据资产并分析其重要程度；（2） 识别数据应用场景中安全威胁，并判断安全威胁发生可能性；（3） 识别数据应用场景中脆弱性，与具体安全措施关联分析后，判断脆弱性可 利用程度和脆弱性对数据资产影响的严重程度。6. 6.2风险分析与评估（1） 数据安全风险

3、评估包括全局整体数据安全评估和重点业务数据安全合规性 评估，原则上每年至少开展一次。（2） 数据项责任部门负责根据数据威胁与脆弱性利用管理根据安全事件发生的 可能性以及安全事件影响严重程度，判断风险值；（3） 数据安全决策部门根据业务发展、成本效益等因素，判定风险容忍度；（4） 数据安全管理部门根据风险容忍度制定风险处置计划，数据项责任部门根 据风险处置计划落实处置措施；（5） 具体实施流程见XXXX局数据安全风险治理流程。6. 6.3数据安全事件管理(1) 数据安全事件包括：a)数据泄露；b)数据破坏；c)数据篡改；d)数据丢失；c)其他影响数据机密性、完整性、可用性的安全事件。(2) 数据

4、安全管理部门负责制定应急响应与事件处置规范，建立完善的应急响 应与事件处置和问责机制，做好应急预案，组织应急演练，确保在紧急情况下重要 信息资源的可用性；依据国家及行业主管部门规定、事件性质、影响范围等，对安 全事件进行分级管理，数据安全事件的级别定义参考附件二；(3) 数据项责任部门根据XXXX局数据安全事件处置流程对不同级别的安全 事件进行相应处置，重大事件发生后应及时启动应急响应机制；并上报数据安全事 件及其处置情况；(4) 事件处置结束后，数据安全管理部门和受到事件影响的数据项责任部门应 分析和总结原因和存在的问题，形成调查记录和事件清单，调整数据安全策略，避 免事件再次发生，并形成总

5、结报告。二级以上数据安全事件应及时上报数据安全决 策部门。6.7数据出境（1） 数据出境安全评估应遵循公正、客观、有效的原则，保障重要数据的安全, 促进XX数据依法有序自由流动；（2） 业务管理过程中收集和产生数据，应当在境内存储。因业务需要，确需向境 外提供的，应当依据国家相关规定进行安全评估，并及时报数据安全决策部门或监 管部门；（3） 数据出境安全评估由数据安全管理部门负责，数据出境安全评估应重点评估 以下内容：a)数据出境的必要性；b)涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及 个人信息主体是否同意其个人信息出境等；c)涉及三级数据的情况，包括数据的数量、范围、类

6、型及其敏感程度等；d）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安 全环境等；e）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；f）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益 带来的风险；g）其他需要评估的重要事项。（4） 出境数据存在以下情况之一的，应报请行业主管或监管部门组织安全评估:a）数据量超过1000GB；b）包含涉及军事情报、关键基础设施工程建设、敏感的地理坐标位置等信息 的数据等；c）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；d）包含三级敏感数据（如航班计划数据、事件调查表以及机场跑道状态信息 等）；e）其他可能影响国家

7、安全和社会公共利益，行业主管或监管部门认为应该评 估的。（5） 当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化, 数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估；（6） 境外执法机构要求调取存储于中华人民共和国境内的数据的，应当由数据安 全决策部门负责向有关主管机关报告，获得批准后方可提供。7相关记录8附件8.1附件一：网络关键设备和网络安全专用产品目录设备或产品类别范围网络关键设备1.路由器整系统吞吐量（双向）12Tbps 整系统路由表容量N55万条2 .交换机整系统吞吐量（双向）30Tbps 整系统包转发率NlOGpps3.服务器（机架式）CPU数量及个

8、 单CPU内核数214个 内存容量2256GB4.可编程逻辑控制器（PLC设备）控制器指令执行时间S0.08微秒网络安全 专用产品5.数据备份一体机备份容量N20T 备份速度次OMB/s 备份时间间隔口小时6.防火墙（硬件）整机吞吐量N80Gbps最大并发连接数N300万 每秒新建连接数N25万7.WEB应用防火墙（WAF）整机应用吞吐量N6Gbps最大HTTP并发连接数2200万8.入侵检测系统（IDS）满检速率215Gbps最大并发连接数N500万9.入侵防御系统（IPS）满检速率N20Gbps最大并发连接数2500万10.安全隔离与信息交换产品（网闸）吞吐量NlGbps 系统延时05ms

9、11 .反垃圾邮件产品连接处理速率（连接/秒）10。平均延迟时间100ms12 .网络综合审计系统抓包速度25Gbps记录事件能力25万条/秒13.网络脆弱性扫描产品最大并行扫描IP数量*0个14.安全数据库系统TPC-E tpsE （每秒可交易数量）N4500个15.网站恢复产品（硬件）恢复时间 发生数据安全事件，已经或可能对国家和行业造成影响。 发生数据安全事件,严重影响重要信息系统的正常运行，出现主要业务中断、 系统瘫痪、关键数据丢失或核心信息失窃等，已经或可能造成一个或多个管 制单位XX运行停止或能力丧失，或多个管制单位XX运行部分功能丧失。其他需要XX局或管理局统一指挥的网络安全事件

10、。n级数据 安全事件 （重大）达到以下标准之一的，认定为本级数据安全事件： 发生信息内容安全事件，如系统页面、网页被篡改等。 发生数据安全事件,严重影响重要信息系统的正常运行，出现主要业务中断、系统瘫痪、关键数据丢失或核心信息失窃等，已经或可能造成XXX、XXX 服务能力严重下降；发生数据安全事件，已经或可能造成重大社会影响或对我局声誉产生重大影响。Ill级数据 安全事件 徽大）达到以下标准之一的，认定为本级数据安全事件： 重要信息系统发生数据被篡改、破坏、丢失、泄露事件，已经或可能对系统 的正常运行造成影响的。 发生数据安全事件，造成XX、XX、XX、XX服务能力降低的。 发生数据安全事件，

11、对行政办公、安防等工作的正常开展造成影响的。 发生数据安全事件，已经或可能造成社会影响和对上海地区事发单位或事发 分局声誉产生影响。XX地区事发单位或事发分局能够指挥应对的其他数据安全事件。IV级数据 安全事件 （一般）除I、n、in级数据安全事件以外的一般数据安全事件。数据分级流程敏橹主管业务部门岫据安全管理磊门数据费产管理委员会编 号类型节点名称后续节 点编号节定 续判果 后点结部门岗位输入信息信供 入提门 输息部输出信息输出信 息使用 部门需要的系 统、设备、 工具前置条件：无前序流程：无10任 务提交数据分级需求20据责部数项任门全员 安专数据资产数据分级 申请安理 据管门 数全数据治

12、理平 台20任 务确认数据分级申请并持 续对分级工作进行监督 管理30据全理1 数安管部数据资产 分级申请数据治理平 台30任 务确定定级对象40据责部 数项任门全、务 员家 安专业专数据治理平 台40任 务确定受侵害客体50据责部 数项任门全 、务家 安专员业专数据治理平 台50任 务确定对客体的侵害程度60据责部 数项任门全、务 员家 安专业专数据治理平 台60任 务从可用性和机密性两方 面评定安全等级并上报70,数据 项责安全 专员、数据定级 报告数据安 全管理数据治理平 台任部 门业务 专家部门70任务进行定级审核留档并上 报80据全理1 数安管部数据定级 报告数据定级 报告安策 据决

13、门 数全部数据平台80任 务审核数据分级工作成果 并发布据全策1 数安决朝数据定级 报告数据定级 报告数据交互平 台后续流程：无8.4附件四：XXXX局数据安全风险评估流程编 号类型节点名称后续节 点编号节定 续判果 后点结部门岗位输入信息信供 入提门 输息部输出信息信用 出使门 输息部需要的系 统、设备、 工具前置条件：无前序流程：无10任 务发起风险评估20据全理数据治理平 台20任 务进行资产识别、威胁识 别、脆弱性识别30据责部 氏页壬据全员 数安专数据资产 清单项部 据任 数责门数据威胁 报告、脆 弱性报告安理数全部 据管安策 数全韵据决门数据治理平 台30任 务对已有的安全措施进行

14、 确认40据责部 数项任门据全、 数安专数据治理平 台40任务进行风险计算并提交处 置建议50据责部 数项任门据全昌、 数安专风险计算 结果、处 置建议数据治理平 台50任 务确认适当的安全措施并 初步评估风险60据全理1_ 数安管朝风险计算 结果、处 置建议数据治理平 台60判是否接受风险70, 90数据数据治理平数据安全管理规定版本2021A/0文件编号ECATMB/QMS/XXAVI/005修改号编写审核批准生效日期01目的随着数据的应用，大量数据集中，新技术不断涌现和应用，使数据面临新的安全风 险。同时，随着大数据的应用和分析，数据价值不断提升，安全受到高度重视。为指导XXX局（以下简

15、称XXXX局）做好数据的安全管理、风险评估等工作，有效、 安全地应用大数据，采用有效技术和管理措施保障数据安全，特制定本规定。2范围本规定适用于XXXX局信息系统的数据安全管理工作,各分局的信息系统也应遵照 执行,但与XX控制,调度指挥等相关生产控制系统可参考执行。3规范性引用文件中华人民共和国网络安全法（主席令第五十三号）中华人民共和国数据安全法（主席令第八十四号）国家网络安全事件应急预案（工信部网安发281号）大数据安全管理指南（GBT 37973-2019）工业互联网数据安全保护要求（YDT 3865-2021）金融数据安全数据生命周期安全规范（JRT0223-2021）中国银保监会关于

16、印发监管数据安全管理办法（银保监发43号）网络数据处理安全规范（征求意见稿）信息安全技术数据出境安全评估指南（征求意见稿）信息安全技术关键信息基础设施网络安全保护基本要求（征求意见稿）个人信息和重要数据出境安全评估办法（征求意见稿）数据出境安全评估办法（征求意见稿）断全策1 安决韵白、70任 务进行风险管理80N据全理1 数安管朝数据治理平 台80任 务实施风险管理措施90据责部 数项任门据全、 数安专数据治理平 台90任 务出具风险评估报告100Y据全理1 数安管附风险评估 报告安策 据决门 数全部数据治理平 台100任 务审核风险评估报告并发 布据全策1_ 数安决包风险评估 报告风险评估

17、报告数据治理平 台后续流程：无8.5附件五：XXXX局数据安全事件处置流程编 号类型节点名称后续节 点编号节定 续判果 后点结部门岗位输入信息信供 入提门 输息部输出信息信用 出使门 输息部需要的系 统、设备、 工具前置条件：无前序流程：无10任 务先期处置，研判事件级别20据责部 数项任门据全 数安数据安全 事件级别 及情况安理 据管门 数全部数据治理平 台20任 务确认详细情况与安全事 件级别并上报30据全理1 数安管期数据安全 事件级别 及情况项部 据任 数责门数据安全 事件级别安策 据决门 数全部数据治理平 台30任 务统一领导、指挥、协调事 件的应急处理和保障工 作，研究部署应对措施

18、40,据全策1_ 数安决JPL数据安全 事件级别 及情况安理 据管门 数全部应对措施数据项 责任部 门数据治理平 台40任 务检查主管范围内受到事 件影响的情况并通知其 他受影响部门50据责部 数项任门安策 据决门 数全的数据安全 事件情况安理 据管门 数全部数据治理平 台50任 务收集、汇总、协同事态发 展变化情况与处置进展 并上报60据全理1 数安管朝数据安全 事件影响 情况项部 据任 数责门数据安全 事件进展安策 据决门 数全部数据治理平 台60任 务组织有关部门和单位、专 家队伍、技术队伍和第三 方机构等研究对策，对应70,据全策 数安决数据安全 事件进展安理 一 据管门 数全的数据安

19、全 事件处置 决策项部 据任 数责门数据治理平 台对工作进行决策部署部门70任 务组织实施控制措施，保留 相关记录并上报80据责部 数项任门数据安全 事件处置 决策安策 据决门 数全部数据安全 事件相关 记录安理据管门 数全部数据治理平 台80任 务出具安全事件处置报告并 上报90据全理1_ 数安管_M数据安全 事件相关 记录项部 据任 数责H数据安全 事件处置 报告安策 据决门 数全部数据治理平 台90任 务审核安全事件处置报告并 发布据全策1 数安决韵数据安全 事件处置 报告安理 据管门 数全的数据安全 事件处置 报告数据治理平 台后续流程：无4 术语及定义4.1 数据处理数据操作的系统执

20、行。4.2 保密性使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。4.3 完整性保卫资产准确和完整的特性。4.4 可用性已授权实体按需要可访问和使用数据和资源的特性。4.5 数据出境将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给 境外机构、组织、个人的一次性活动或连续性活动。4.6 关键信息基础设施关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、 电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者 数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。5 职责5.1 数据安全决策部门

21、数据资产管理委员会是数据管理的安全决策部门，主要履行以下职责：（1） 负责落实上级数据安全政策和工作部署；（2） 综合考虑相关的法律法规、政策标准、所处行业特殊性，综合评估数据安 全，制定全局数据政策；（3） 建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性；（4） 指导数据安全管理过程，并对外部相关方（如：国家安全的主管部门、数 据主体等）负责；（5） 建立数据安全管理和支撑保障机制，明确数据安全管理部门组成，以及各 数据项责任部门的安全负责人，落实安全管理职责；（6） 负责决策数据安全管理过程中的重大事项。5.2 数据安全管理部门数据安全管理部门由XXX部牵头，协同机关各部（室

22、）以及数字化专项办公室， 主要履行以下职责：（1） 落实数据安全决策部门各项数据安全管理工作；（2） 负责根据数据安全决策部门要求，结合XXXX局实际情况，制定数据安全管理制度、标准规范、数据规划和工作计划；（3） 负责相关授权共享数据使用申请审批；（4） 组织开展数据安全管理工作的监督、检查与考核；（5） 组织开展数据安全教育培训工作；（6） 建立数据安全审计制度，规定审计工作流程，定期进行安全审计分析；5.3 数据安全工作实施部门数据项责任部门负责执行实施数据安全工作，主要履行以下职责：（1） 至少指定一名数据安全专员负责本部门数据安全工作组织和实施。数据安全 专员专业能力要求：a）数据分

23、析、计算机、信息安全及相关专业，掌握信息安全、IT治理、访问 权限管理等方面的专业知识；b）理解数据安全合规要求，熟悉数据安全及个人隐私相关法律法规；c）熟悉主流数据安全产品、工具及设备；了解各种系统（主机、网络、数据库、 应用、数据等）的安全加固方法；d） 了解数据安全保护方法论和相关技术，如DLP、加密、脱敏等，有一定的编 程能力；e）熟悉本部门业务和数据详情。（2） 执行本部门数据的分级工作，并对数据生命周期进行脱敏，加密等保护；（3） 根据管理要求制定施行本部门访问控制策略，采取授权访问、身份认证等技 术措施；（4） 按数据安全决策部门和数据安全管理部门要求实施本部门的其他数据安全 管

24、理工作。6管理内容及要求6.1 数据安全管理原则6.1.1 职责明确原则(1) 参考数据安全相关法律法规、政策标准、XXXX局组织架构等因素，从决策、 管理、实施三个等级成立层级分明、职责全面覆盖的安全管理架构；(2) 明确不同角色的数据安全管理职责、明确数据生命周期各活动的实施主体 及安全责任。6.1.2 意图合规原则对数据的收集、使用需给予法律依据。制定相关流程确保数据的收集和使用方式没 有违反任何法律义务，包括法律法规、合同条款等。6.1.3 1.3最小授权原则在保证业务功能完整实现的基础上赋予数据活动中各角色最小的操作权限，确保非 法用户或异常操作所造成的损失最。6.1.4 数据保护原

25、则(1) 应对数据进行分级，对不同的安全级别的数据实施恰当的安全保护措施；(2) 保护数据的完整性、保密性和可用性，确保数据在整个生命周期里，免遭 诸如未授权访问、破坏、篡改、泄露或丢失等风险；(3) 解决风险评估和安全检查中所发现的数据安全风险。6. 1.5可审计原则在数据的不同生命周期阶段，对数据进行修改、查询、到处、删除等操作时，应记 录相应的操作，记录应可追溯可审查。6.2 数据安全组织保障6.2.1 人才及文化建设(1) 数据安全决策部门应指导开展的数据处理活动以及研究开发数据新技术， 有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理；建立主流价值观, 避免非法获取笫三方平台

26、数据、侵犯商业秘密等不正当行为；(2) 数据安全管理部门定期、常态化的网络安全与数据合规培训活动。数据合 规培训应有针对性的分别面向领导层、业务人员、技术人员、安全管理人员等。培 训内容包括数据保护意识培训、制度实操演练培训等，旨在加强民事、行政及刑事风险意识及内控措施。6.2.2 监督考评（1） 数据安全决策部门负责对数据项责任部门建立考核制度，明确数据安全管 理考核指标和问责机制，对重要岗位人员的履职情况进行考核；（2） 数据安全管理部门负责定期开展数据管理检查与考核工作，检查内容包括 数据管理体系建设、数据采集、数据存储、数据传输、数据使用、数据共享等过程 中安全要求的执行情况，检查结果

27、纳入年度工作考核；（3） 实行数据管理日常监督与通报机制，日常通报纳入年度工作考核；（4） 数据安全管理部门应定期对各业务部门开展监管数据安全管理评估检查工 作。数据安全工作实施部门应按照监管数据安全工作规则定期开展自查工作；（5） 数据安全管理部门负责对各系统的数据管理进行日常监督、发送通报、督 促整改、跟踪复查、记录过程并保存处置结果；（6） 违反规定，有下列情形之一的，给予批评教育；情节严重的，按照有关规 定追究相关部门与人员责任：a）未按数据采集要求创建数据的；b）未按要求归集共享数据的；c）未按规定使用数据的；d）未按数据保护等级保护数据的；e）因工作疏忽导致数据安全事件，或没有按照

28、规定尽到及时上报、处置义务 的；D其他违反规定的。6.3 数据分级管理（1） 数据分级应客观且可被检验；（2） 应按照就高从严原则确定数据级别；（3） 应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素;（4） 数据集的级别应根据下属数据项的最高级来定级；（5） 应结合具体应用场景定级；（6） 数据项责任部门的数据安全专员负责组织本部门业务专家对本部门数据资产实施分级工作并上报，数据安全管理部门审核通过后进行发布和留档;（7） 数据分级对象在产生之时由所在数据项责任部门进行定级，在不同系统流 转过程中，数据级别不随所处系统不同发生改变；（8） 数据安全定级完成后，出现下列情形之一

29、时，宜对相关数据的安全级别进 行重新判定：a)数据内容发生变化，导致原有数据的安全级别不适用变化后的数据，如数 据脱敏、删除关键字段等；b)数据内容未发生变化，但因数据时效性、数据规模、数据应用场景、数据 加工处理方式等发生变化，导致原定的数据级别不再适用；c)因数据汇聚融合，导致原定的数据级别不再适用；d)因国家或行业主管部门要求，导致原有的数据级别不再适用；e)需要对数据级别进行变更的其他情况。（9） 具体分级方法参考XXXX局数据分级原则、XXXX局数据分级流程。 6.4数据生命周期安全保护6. 4. 1数据采集(1) 数据项责任部门根据业务需要，应定义采集数据的目的和用途，明确数据 源

30、，采集数据范围、采集频率、采集渠道、质量规范等内容；(2) 数据安全管理部门负责对各数据项责任部门数据采集的数据源、数据使用 需求、处理逻辑进行监督审核，确保数据采集目的和处理操作的正当性；(3) 数据采集时，数据项责任部门应进行合规性评估，确保数据采集的合法性、 正当性和必要性，并依据数据分级原则对数据资产进行定级，针对2级及以上 级别的数据给出脱敏意见；(4) 数据项责任部门可利用数据三平台的数据安全管理模块或其他技术手段保 证3级数据在采集过程中不被泄漏。6. 4.2数据使用(1) 数据安全管理部门负责明确数据使用过程的安全规范，明确数据获取方式、 访问接口、授权机制、处理逻辑等内容；(

31、2) 数据项责任部门依据合规要求建立相应强度或粒度的访问控制机制，限定 用户可访问数据范围，不同级别数据的访问控制要求可参考XXXX局数据访问控 制与权限管理基线；(3) 数据项责任部门根据数据采集阶段的定级结果，采用加密等技术手段以降 低3级数据使用过程中的敏感信息泄漏风险；(4) 数据安全管理部门负责利用数据三平台的数据安全管理模块对数据项操作 部门的对于3级数据处理行为进行必要的监控审计措施。6. 4.3数据存储(1) XXXX局数字平台相关系统、应用的数据资产应通过数据平台进行存储；(2) 数据安全管理部门责明确存储方式和使用的安全规范；宜为3级数据建立 异地灾难备份中心，提供异地实时

32、备份能力；(3) 数据项责任部门根据数据的使用频度、系统性能要求等因素，确定数据存 储策略，应对数据存储区域进行规划，将不同级别的数据分开存储，并采取物理或 逻辑隔离机制，对不同区域之间的数据流动进行安全管控。(4) 数据项责任部门应通过校验技术对2级及以上数据在存储过程中完整性进 行保护，通过加密技术对3级数据在存储过程中的机密性进行保护；6. 4.4数据传输(1) XXXX局数字平台相关系统、应用的数据资产应通过数据交互平台进行数据 传输；(2) 数据安全管理部门负责明确数据交互平台设置的数据传输安全管理规范及 安全技术要求；(3) 数据项责任部门负责对数据传输的安全管理规范及安全技术要求

33、进行实 现，应通过校验技术对2级及以上数据在传输过程中完整性进行保护，通过加密技 术对3级数据在传输过程中的机密性进行保护；(4) 数据项责任部门应保障数据的迁移或导出具有详细操作记录，留存时间不 少于6个月；(5) 3级数据确需对外进行传输或是线下导出的，除符合上述要求外，数据项责任部门还应负责上报申请数据安全管理部门批准；(6) 涉及跨网交换的数据安全管理要求可参考民用航空跨网数据交换安全技 术要求。6. 4.5数据共享(1) 数据安全管理部门负责明确数据对外共享的基本原则，包括必要性，合规性，安全性等；(2) 数据对单位外共享时，数据项责任部门应与数据接收方通过合同协议等方 式，明确双方

34、在数据安全方面的责任及义务，并约定共享数据的内容和用途、使用 范围等；(3) 对于2级及以上级别的数据，数据项责任部门负责对共享数据的使用目的、 内容、传输方式、使用时间、技术防护措施、数据使用后的处置方式等进行安全影 响评估，留存相关记录，对于3级数据，还需将评估结果交数据安全管理部门批准;(4) 数据项责任部门配套建立应急响应机制，必要时能及时切断数据共享；(5) 数据安全管理部门负责定期对共享的数据进行安全审计。6. 4.6数据销毁(1) 数据安全管理部门负责按国家相关法律和标准制定数据销毁处置规范，建 立规范的数据销毁流程和审批机制。(2) 数据安全管理部门定期对数据销毁效果进行抽样认

35、定，通过数据恢复工具 或数据发现工具进行数据的尝试恢复及检查，验证数据删除结果。(3) 数据项责任部门应配置必要的数据销毁技术手段与管控措施，对于3级数 据的销毁，应确保以不可逆方式销毁敏感数据及其副本内容，并对销毁过程进行记 录控制。6.5供应链安全管理为提高数据安全可控水平，防范第三方网络产品和服务引入的安全风险，应建立供 应链安全管理机制，保障网络产品和服务的安全性、可控性。(1) 数据安全管理部门负责监督指导各数据项责任部门的供应链安全管理工 作，保证数据安全管理工具的设计、研发、交付、使用、废弃等各阶段的供应链安 全风险基本可控；(2) 在安全系统、设备和服务的采购过程中选择有保障的供应商，防范出现因 政治、外交、贸易等非技术因素导致产品和服务供应中断的风险；(3) 在能提供相同产品的多个不同供应商中做选择，以防范供应商锁定风险；(4) 要求供应商承诺不非法获取用户数据、控制和操纵用户系统和设备，或利 用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代；(5) 采购、使用的网络产品和服务，应符合法律、行政法规的规定和相关国家