现将《钟楼区统计数据安全管理办法》予以公示，公开征求社会意见及建议。如有意见及建议，请于2023年8月10日前以书面或电话方式反馈至钟楼区统计局。 第三条 本办法所称统计数据，是指统计部门在开展统计工作过程中，采集、存储、使用、加工、传输、提供、公开的任何以电子或者其他方式对信息的记录（包括数字、图表、音频、视频等）。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 第四条 统计数据安全工作坚持总体国家安全观，按照“谁管业务，谁管业务数据，谁管数据安全”原则，坚持统一领导、分级负责，坚持谁生产谁负责、谁管理谁负责、谁使用谁负责。 第五条 统计数据安全纳入全区安全责任制，经开区、高新园（邹区镇）、各街道经发局主要负责同志是本单位数据安全工作第一责任人；其他班子成员根据工作分工对职责范围内的数据安全工作负领导责任；所有工作人员对岗位职责范围内的数据安全工作负直接责任。 第六条 区统计局设立数据安全工作领导小组。组长由局党组书记担任，副组长由局领导班子成员担任，成员由各科室主要负责人组成。 第七条 区统计局数据安全工作领导小组在局党组领导下，负责指导、监督统计部门数据安全管理工作。其主要职责是： （一）贯彻落实党和国家数据安全工作方针政策和法律法规，贯彻落实区局党组关于数据安全工作的各项工作部署； （三）合理确定数据处理活动的操作权限，严格实施人员权限管理；加强离岗离职人员数据安全管理，及时注销账号、清退数据载体、回收或删除所管理的数据等； （七）综合科负责全局性的数据处理信息系统的安全管理和数据安全风险评估工作； （一）组织统计数据处理信息系统的规划、建设和运维，保障数据处理信息系统满足统计数据安全管理要求，保障数据处理信息系统运行安全； （四）根据统计数据处理信息系统存储、处理数据的最高级别，按照国家有关标准采取相应的数据安全防护策略，保证信息系统具备数据安全主动防护和监测预警能力； （一）遵守数据安全相关法律法规，严禁非法采集、存储、使用、加工、传输或销毁统计数据，严禁未经批准修改、复制或导出统计数据； （二）严格执行数据安全各项规章制度和保护方案，不得擅自改变或简化数据安全保护有关工作流程或操作步骤，不得擅自修改系统安全配置； 基层数据是指通过各种方式，从党政机关、企业事业单位、其他组织以及个体工商户、住户和个人等统计调查对象获取的各种电子或其他方式的统计资料，包括个人数据、分户数据、企业（单位）数据、项目数据和其他基层数据。 综合数据是指对基层数据进行整理、汇总、推算等加工处理形成的总量、结构、速度、比例、均值、指数等数据，包括国民经济核算数据，国民经济各行业生产经营数据，以及人口、投资、能源、科技等经济社会重点领域的统计数据。 第十四条 根据统计数据的重要性、精度、规模、安全风险等关键要素，将统计数据安全等级从高到低划分为核心、重要、一般三个级别。 第十五条 核心统计数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要统计数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害政治安全。区级及以下统计部门暂不管理核心级别统计数据。 第十六条 重要统计数据是指特定领域、特定群体、特定区域或达到一定精度和规模的统计数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。主要包括： （一）涉及粮食、资源、能源、科技等重要领域和国家级重大工程、重大项目的有关基层数据和公开发布前的综合数据； （二）涉及少数民族、妇女、儿童、老年人、残疾人等特定区域、特定群体的有关基层数据和公开发布前的综合数据； 第十九条 统计数据安全实行分类分级防护，不同安全级别数据同时被处理且难以分别采取保护措施的，应当按照其中安全级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。 第二十条 统计数据处理信息系统应对数据采集、传输、存储、加工等环节采取有效的数据安全防护措施。采用数据防泄露技术对终端、网络等关键数据出口进行监控和防护；记录数据处理、权限管理、人员操作等日志，部署监控工具对数据异常访问和操作进行告警和审计。日志保存时长不少于6个月。 第二十一条 与互联网连接的统计数据处理信息系统，要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等要求，存储处理重要统计数据的要落实二级及以上等级保护要求。 第二十三条 统计数据处理信息系统应采用身份鉴别与访问控制策略，严格权限管理。建立数据权限申请和变更审批流程，按照最少够用、职权分离原则为不同账户分配所需权限，严格控制接触数据的范围。及时删除或停用多余的、过期的账户和权限。 统计数据处理信息系统运维人员的权限分配应仅满足运维管理需要，确有其他需要的，须进行严格的权限审批。系统最高权限应由信息系统建设运行单位审批和管理。 第二十四条 统计数据处理信息系统账号应采用实名制注册，设置强口令并定期修改，不得使用默认口令或弱口令，相关人员仅能使用本人实名注册的账号登录系统进行操作，不得使用明文传输或存储账号信息和口令。 第二十六条 委托企业、专业机构等参与统计数据处理信息系统建设、数据处理活动，委托单位对外包服务的数据安全负主体责任。委托单位应当通过签订合同、安全保密协议、旁站等方式，明确并督促、检查、监督被委托单位履行相关数据安全义务和责任。 第二十七条 统计数据的采集、存储、使用、加工、传输、提供、公开、归档、销毁等各阶段，应当根据数据的安全级别，采取相应的安全防护措施，保障统计数据的保密性、完整性和真实性，确保统计数据不被泄露、篡改或破坏。 第二十八条 采集统计数据，应当在统计调查制度和相关管理规范中明确数据采集的目的、用途、方式、范围、来源、渠道等。加强重要统计数据收集人员、设备的管理。 第二十九条 存储统计数据，应当依据法律法规规定的方式和期限存储。重要统计数据应当存储在境内，采用符合国家相关标准规定的校验技术、密码技术等措施进行安全存储。 存储重要统计数据的介质（硬盘、光盘、优盘、纸介质等）应当安全存放保管，并记录存储内容、交接和使用过程，防止被不相干人员读取，防范数据损坏、丢失和泄露。 第三十条 对统计数据进行汇总加工、开展分析决策等，应确保数据处理环境按数据安全级别有相应的安全措施，明确数据的使用规范，加强访问控制。 第三十一条 传输统计数据，应当根据数据类型、级别和应用场景，采取相应的安全策略和保护措施。在线传输重要统计数据，应当采取符合国家相关标准规定的校验技术、密码技术、脱敏去标识化技术、安全传输通道或者安全传输协议等措施，并对接入的传输终端采取认证措施。 使用移动存储介质离线传输重要统计数据时，应采取必要的保护措施，不应使介质离开相关责任人，不应在无人监管情况下通过第三方进行传递，确保介质安全和数据传输安全。 对外提供重要统计数据，必要时可通过签署相关协议或承诺书的方式，要求数据获取方对所提供数据采取安全保护措施，且数据使用范围符合相关法律法规。 在统计数据发布后，应对发布数据的网站等信息系统加以保护，进行实时安全监测，保护信息系统不被非法越权访问，保护信息系统内的发布数据和信息系统自身配置信息、运行管理日志等信息不被篡改。 第三十四条 统计部门的公共数据，是指通过官方媒体向社会公布的各类统计资料（包括但不限于统计年鉴、统计公报及各类进度数据等）中涉及到的综合数据。应当按照公共数据共享供需对接机制，根据公共数据资源目录和共享需求形成供需目录清单，配合公共数据主管部门，依法、安全、有序向公民、法人和其他组织开放。 第三十五条 统计调查任务结束后，调查任务承担单位应按照统计调查制度实际要求及时进行统计数据归档保存。数据归档系统应满足数据安全分级保护要求，以保证基础数据的安全可用。 第三十六条 按规定需要销毁的数据，应根据数据的安全级别以及存储设备的类别，确定销毁办法、销毁方式和销毁要求，按规范流程进行销毁，对审批和销毁过程进行记录和留存。 重要统计数据存储介质的销毁，应严格执行审批流程。存储介质的登记、审批、交接等过程应以文字、影像、照片等形式完整、准确地记录，并长期保存，用于审计备查。 第三十九条 统计数据处理信息系统应具备满足数据安全管理要求的日志审计监测和抽查分析功能。信息系统建设、运维单位和数据处理单位应共同开展常态化日志抽样审计，每年至少组织开展一次全量日志审计。审计内容包括但不限于对数据的非授权访问、破坏、篡改、复制等操作行为。 各科室发生涉及重要统计数据的安全事件，应当第一时间上报区局数据安全工作领导小组办公室，并及时报告事件发展和处置情况。 统计数据安全风险评估报告应及时向区局数据安全工作领导小组报送，内容应当包括处理的重要统计数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。 第四十二条 各科室应当接受对数据安全工作的投诉、举报并及时依法处理，对投诉、举报人的相关信息予以保密。 第四十三条 区局数据安全工作领导小组在履行统计数据安全监督管理职责中，发现统计数据处理活动存在安全风险或隐患的，可以按照规定权限和程序约谈相关单位，并要求采取措施整改到位。 第四十四条 违反本办法造成危害或不良后果的，依规依纪依法对直接负责的主管人员和其他直接责任人员追究责任，并对负有领导责任的人员进行问责；构成犯罪的，依法追究刑事责任。 第四十六条 开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。 第四十九条 经开区、高新园（邹区镇）、各街道经发局组织开展本地区本系统的统计数据分类分级管理及重要统计数据识别工作，并将重要统计数据目录报送区局数据安全工作领导小组办公室。重要统计数据目录内容发生变化的，应当在发生变化的一个月内报送上级审核。 根据《中华人民共和国数据安全法》《中华人民共和国统计法》《统计数据安全管理办法》《统计数据分类分级标准规范（2022）》《江苏省公共数据管理办法》《常州市公共数据管理办法》等法律法规及有关规定，制定本办法。统计数据安全工作坚持总体国家安全观，按照“谁管业务，谁管业务数据，谁管数据安全”原则，坚持统一领导、分级负责，坚持谁生产谁负责、谁管理谁负责、谁使用谁负责。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 （一）职责分工。区统计局设立数据安全工作领导小组。组长由局党组书记担任，副组长由局领导班子成员担任，成员由各科室主要负责人组成。 （二）统计数据分类分级管理。根据统计数据的重要性、精度、规模、安全风险等关键要素，将统计数据安全等级从高到低划分为核心、重要、一般三个级别。 （四）统计数据处理全流程安全管理。统计数据的采集、存储、使用、加工、传输、提供、公开、归档、销毁等各阶段，应当根据数据的安全级别，采取相应的安全防护措施，保障统计数据的保密性、完整性和真实性，确保统计数据不被泄露、篡改或破坏。