区安康码数据安全管理办法

1、区安康码数据安全管理办法第一章总则第一条为规范区安康码数据安全管理工作，提高数据安全防护水平，有效防范和处理数据安全隐患，根据中华人民共和国网络安全法、中华人民共和国保守国家秘密法、市政务数据资源共享开放管理办法及其他相关法律法规对数据安全的相关规定，制定本管理办法。第二条本办法所指数据安全管理工作是指保护安康码数据的完整性、保密性和可用性，确保数据在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险而开展的工作。第三条安康码数据生命周期安全包括数据采集、存储、传输、处理、使用交换、销毁等各环节。第二章管理职责第四条按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则落实安康码

2、数据安全责任。第三章工作机制第五条为了推进各部门高效协调落实安康码数据安全管理工作要求，健全“评估考核”、监督检查”、“会商议事”、“问题追责”四个机制。(一)评估考核：将安康码数据安全工作，纳入对各部门数据资源工作年度考核中。(二)监督检查：落实安康码数据安全责任，明确相关责任人，开展安康码数据安全自查整改工作。每年组织一次安康码数据安全工作落实情况抽检。(三)会商议事：通报安康码数据安全重点工作落实进展，部署协调推进安康码数据安全相关工作，沟通决策安康码数据安全重要事项等。(四)问题追责：为了进一步抓好安康码数据安全管理工作，督促各部门及人员认真履行职责，按相关管理规定追究相关责任。第四章

3、基本要求第六条对安康码数据从其采集、存储、传输、处理、使用交换、销毁全过程实施安全管理。以授权、审查、审计等手段来保障，防止安康码数据泄露、滥用、丢失、被篡改、被损毁。第七条在区安康码管理使用时，应做到数据安全管理要求与配套措施同步。第八条保障安康码数据的可用性、完整性、机密性，落实数据安全风险监测、事件溯源能力，防范数据丢失，防范未脱敏数据泄露，防止第三方合作中的数据泄露，防止外部攻击造成数据泄漏。第九条安康码数据从采集到销毁的各环节应定期开展审查。审查内容包括但不限于：未经审批授权访问敏感数据；未采用规定的安全手段访问敏感数据；已经审批的账号违规操作；系统帐号授权管理与安全手段落实情况；系

4、统审计及日志情况等。第十条明确核心权限账号的申请、授权、使用、审计、注销等全生命周期安全管理流程。通过加强账号权限管控，避免权限滥用、误用等造成的安康码数据泄露风险。第十一条严格控制能够直接接触安康码数据的人员范围和数量，并禁用长期未用账号。第十二条安康码数据对外接口应遵循接口依据清晰、接口清单明确的原则，实现接口安全闭环管理。明确接口对接系统名称、IP、接口用途、使用单位和负责人等。第十三条定期对数据接口清单进行审核，及时关闭不再使用的接口。第十四条安康码数据接口应具备接口日志，定期对接口日志进行审计，并具有详细的审计执行记录。定期对数据接口进行安全评估，如进行漏洞检查、配置检查，及时发现接

5、口安全隐患并整改。第十五条对安康码数据的访问操作过程，特别是修改、删除动作应予以检验、确认和记录，其中涉及重要数据的访问操作过程应可以单独查询。日志记录至少保留6个月，保证可溯源、可预警。第五章数据采集安全第十六条涉及到安康码用户个人信息的采集，应遵循国家关于个人信息保护管理办法相关要求。第十七条采集数据过程中，应明确采集数据的目的和用途，确保满足数据源的真实性、有效性和最少够用原则要求，并明确数据采集渠道、规范数据格式以及相关的流程和方式，从而保证数据采集的合规性、正当性、一致性；数据采集安全应按照数据的类型、数据的重要程度、网络的安全状况等综合因素，对数据的采集采取不同的安全保护。第六章数

6、据传输安全第十八条应采用适当的数据加密保护措施，保证传输通道、传输节点和传输数据的安全，防止传输过程中的数据泄露。利用加密、签名、鉴别和认证机制对数据传输进行安全管理，防止数据丢失、泄露、篡改。第十九条重要安康码数据应采用加密或其他保护措施实现存储保密性、完整性并能够进行备份及恢复。在传输时必须经过加密处理，加密可以采用软件加密或者网络通道加密等方式进行。第二十条关键安康码数据应用应考虑数据传输可靠性和可用性需求，对关键数据网络传输链路和设备节点实行冗余建设。第七章数据存储安全第二十一条对安康码数据存储设备及基础设施，应重点做好安全防护，包括落实数据存储设备的操作终端安全管控措施及接入鉴权机制

7、、设置访问控制策略、定期实施安全风险评估、部署必要的安全存储技术手段等，防止对存储数据的不当使用引发数据泄漏风险。第二十二条未经审批，严禁使用安康码数据资产进行存储管理、加工处理或分析挖掘。第二十三条建立完备的安康码数据存储容灾备份和恢复机制，提供完整性校验机制，保障数据的可用性和完整性。做好安康码数据存储容灾措施，一旦发生数据丢失或破坏，可及时检测及恢复数据，保障数据资产安全、用户权益及业务连续性。第八章数据处理安全第二十四条安康码数据处理应根据数据的类型、数据的处理方式、数据的安全性要求、与其它接口有关的敏感等级、数据相关业务应用的重要性程度来进行数据处理过程的安全性设计。根据相关法律法规

8、、标准的要求以及业务需求对安康码敏感数据进行脱敏处理，保护国家秘密、商业秘密、个人隐私；在数据导入导出过程中对数据的安全性进行管理，保障数据可用性和完整性，降低数据泄露风险。第二十五条安康码综合服务平台和承载数据产品与应用开发的平台，按照数据保护等级采取相适应的安全防护措施和手段，保障全过程安全，防止数据泄露，做好数据操作日志留存，并定期开展审计。第九章数据使用安全第二十六条安康码数据调用原则上通过接口方式对外提供，除特殊必需要求，并通过省、市两级安康码数据管理部门审核。加强对外数据接口的安全管理，防范数据在接口调用过程中的安全风险。第二十七条相关内部人员查询数据，应基于工作需要，非工作需要的

9、，禁止无关查询和操作。第二十八条安康码数据接口对外提供前，应审核评估接入系统可能带来的安全风险，按照国家相关法规要求合法合规提供数据。第二十九条不得向未授权机构与人员提供安康码敏感数据。第十章数据销毁安全第三十条安康码数据销毁应采用粉碎、覆写、磁盘消磁、物理破坏等手段完成，并做好销毁过程的登记、审批、交接与审计工作，防止因存储媒介丢失、失窃或未授权的访问与数据恢复而导致的数据泄露风险。第十一章应急响应第三十一条根据网络安全法等要求，建立安康码数据安全事件的分级管理以及应急响应机制，制定安康码数据安全突发事件应急预案，应急预案原则上应每年评估一次，根据实际情况适时进行修订。第三十二条安康码数据安

10、全事件发生后，各部门应在第一时间响应，初步收集事件情况，评估数据安全风险，逐级上报事件。事件上报的内容包括：事件发生的单位、部门、联系人员；事件的发生时间；事件的基本描述；初步估计的事件等级、危害以及影响；已经采取的处理方法、处理进展以及其他有关信息。第三十三条安康码数据安全事件上报制度：(一)对于涉敏且评估产生较大影响的，应在事件发生1小时内报告主要领导，24小时内出具简要处理报告，在事件处理完毕后5日内出具专题处理报告。(二)对于涉敏且评估产生一定影响的，应在事件发生后4小时内报告主要领导，48小时内出具简要处理报告，在事件处理完毕后10日内出具专题处理报告。第三十四条安康码数据安全事件处

11、理完毕后，由相关责任部门督查事后的隐患排查与治理等整改工作，并对数据安全事件进行总结，对数据安全事件处理的及时性、合理性等进行检查或抽查。第三十五条加强安康码数据安全应急演练与保障，确保保障有效、响应迅速、处置及时妥当。每年应组织完成安康码数据安全应急预案演练，并根据演练情况及时对预案进行修订和完善。重大节日等重要保障前，应根据需要及时启动应急演练并报备。第十二章人员管理第三十六条设置专人负责安康码数据安全管理工作，并明确岗位职责。加强人员安全管理，将安康码数据安全工作内容和要求纳入各部门日常人员管理环节，在员工入职上岗、在岗、转岗、离岗、离职等环节建立规范安康码数据安全控制流程。第三十七条明

12、确安康码数据安全工作岗位的网络与信息安全职责，与关键岗位人员签署网络与信息安全岗位责任书，将安全责任落实到岗到人。第三十八条应明确安康码系统各岗位网络与信息安全职责并进行准确的系统授权；在岗员工应提高数据安全与保密意识，遵守安全管理规定；员工转岗、离岗、离职应告知保密与安全职责，签订保密承诺书并及时关闭系统权限。第三十九条定期组织开展安康码数据安全培训，内容包括但不限于国家网络与信息安全相关法律法规、网络与信息安全意识、安康码数据安全管理规定、安全知识与技术技能等。培训形成记录并对培训效果进行评价。第四十条应与安康码业务系统相关的产品供应方、合作方、系统集成方、外部支撑方(以下简称“四方”)签订保密协议，明确数据安全与保密责任。未签订保密协议之前，不得接受“四方”提供的产品和服务。第四十一条应严控“四方”