大理州数据治理工程数据存储管理规定

11-大理州数据治理工程数据存储管理规定第一章 总  则第一条

 编制依据。为建立健全责任明确、分级管理的决策、监管、运营一体化的数据存储管理体系，保障大理州数据安全存储，推进数据要素市场化配置改革，根据《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《大理州公共数据管理暂行办法》以及相关法律法规规定，结合大理州实际，制定本规定。第二条

 适用范围。本规定适用于大理州行政区域内各类主体数据存储及其相关管理活动。涉及国家秘密、商业秘密及其他不宜公开的数据存储及相关管理，按照相关保密法律法规的规定执行。第三条

 名词解释。本规定所称的数据金库，是指由州数据管理行政主管部门监管，统一标准、自主可控、安全可靠，存储核心数据、重要数据、敏感数据和数据元件的数据存储和管理基础设施。本规定所称的数据资源，是指由原始数据积累到一定规模，经过必要的加工清洗处理，且具有潜在使用价值的数据。本规定所称的核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的相关数据。重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的相关数据。本规定所称的数据元件，是指通过对数据脱敏处理后，根据需要由若干相关字段形成的数据集或由数据的关联字段通过建模形成的数据特征。本规定所称的数据金库运营商，是指通过州人民政府依法按有关程序授权，承担数据金库的建设、运营、维护、升级等工作的法人或者非法人组织。第四条

 存储安全。数据存储管理应当依法维护国家安全、公共安全、经济安全、社会稳定，保守国家秘密，保护商业秘密和个人隐私。第五条

 执行标准。数据存储管理应当执行国家标准、行业标准、地方标准，以及其他相关规范。第二章 存储管理职责与分工第六条

 州数据管理行政主管部门职责。州数据管理行政主管部门负责数据存储管理的组织协调、统筹推进，并主要承担下列责任：（一）组织重大公共数据存储关键基础设施建设，按照法律、法规、规章和标准，指导各类主体开展数据存储相关工作；（二）出台数据存储管理办法、数据存储操作指南、数据存储管理工作评价办法及考核细则等；（三）推进数据存储标准规范的制定工作；（四）数据金库存储管理监督，组织开展年度督查和专项检查，对数据金库的数据存储管理工作进行评价和考核，对相关项目进行审计监督和安全监督；（五）按照国家及行业网络安全事件应急预案，制定大理州数据存储应急预案，定期开展应急演练，按照规定处置、报告数据存储安全事件和重要事项；（六）贯彻执行国省数据存储方面政策、法律法规和重大决策部署。第七条

 数据运营服务中心职责。数据运营服务中心负责：（一）指导数据金库运营商开展数据金库建设、运营、维护、升级以及分类分级数据存储管理工作；（二）起草数据存储管理细则；（三）参与相关标准规范编制工作，与相关行业协会、学会、联盟机构等社会组织共同开展数据存储领域研究；（四）起草并组织落实数据存储相关平台系统的建设与升级的中长期规划与年度工作计划；（五）推动安全存储技术创新；（六）按照规定报告数据存储安全事件和重要事项；（七）组织开展数据存储领域的安全教育和培训,提升数据安全保障能力；（八）面向数据存储相关主体机构，组织开展数据存储安全第三方专业评估及自评估工作。第八条

 公共数据授权运营主体职责。公共数据授权运营主体在授权范围内参与和开展数据存储管理方面的工作。具体负责：（一）参与数据分类分级存储实施工作；（二）参与编制数据存储管理细则；（三）参与编制数据存储相关标准和规范；（四）参与编制数据存储相关平台系统的建设与升级的中长期规划与年度工作计划；（五）按照规定报告数据存储安全事件和重要事项。第九条

 数据金库运营商职责。数据金库运营商负责：（一）承担数据金库存储相关建设、运行、升级、维护等服务实施工作，开展相关技术方案编写工作；（二）参与编制数据金库存储相关标准和规范；（三）对数据金库存储相关工作人员开展严格审查，定期进行考核，并保持人员和岗位的相对稳定；（四）配合支持上级部门数据存储相关考核与督查工作；（五）按照规定报告数据金库中数据存储安全事件和重要事项。第十条

 各类主体职责。数据存储管理涉及的各类主体应当承担下列职责：（一）按照国家、省、州相关法律法规、标准规范以及有关规定的要求，制定内部数据存储管理制度，履行数据存储安全保护义务；（二）制定数据存储安全计划，实施数据存储安全技术防护；（三）明确数据存储安全管理责任；（四）定期开展数据存储安全风险评估；（五）制定数据存储安全事件应急预案，及时处置数据存储安全事件；（六）将核心数据和重要数据通过逻辑汇聚或物理汇聚到数据金库进行安全管理。第三章 建立核心数据和重要数据目录第十一条

 统一目录管理。州数据管理行政主管部门统筹推进大理州核心数据和重要数据目录建设，实行统一目录管理，明确数据的共享和开放属性、安全级别、使用要求、更新周期等，建立备案机制和更新机制。第十二条

 目录编制。州级行政机关、企事业单位和公共服务单位应当按照职责，梳理本部门、本单位核心数据和重要数据目录，将生产、采集和管理的重要数据按要求全量编目，动态更新目录和数据资源信息，并定期报送州数据管理行政主管部门备案。 县（市）人民政府负责组织、协调、指导和监督本县（市）各政务部门和公共服务单位核心数据和重要数据目录编制工作，汇总形成本地区核心数据和重要数据目录，并定期报送州数据管理行政主管部门备案。第十三条

 备案与审核。鼓励市场主体将本单位核心数据和重要数据目录向州数据管理行政主管部门备案，备案内容包括但不限于数据来源、数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，但不包括数据内容本身。州数据管理行政主管部门应当在各类主体提交备案申请的20个工作日内完成审核工作，备案内容符合要求的，予以备案，不符合要求的不予备案，并及时反馈备案申请人并说明理由。备案内容发生重大变化的，各类主体应当在发生变化的3个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，或者其它备案内容发生变化。第四章 数据资源存储第一节 一般性规定第十四条

 数据存储管理措施。各类主体应当依照数据分类分级制度，对不同数据资源采取不同的存储管理措施，包括但不限于选择与安全性能和防护级别相匹配的系统、介质、设施设备等。第十五条

 数据分类。按照数据来源将数据分为公共数据、企业数据、个人数据。第十六条

 去标识化处理。各类主体应当采取技术和管理措施对个人数据去标识化处理，将可用于恢复识别个人的信息与去标识化后的信息分开存储，并加强访问和使用权限管理。第二节 数据资源分级存储的特别规定第十七条

 数据分级。根据数据非法遭受篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将数据从低到高分为一般数据、重要数据和核心数据3级。数据金库所存储的数据资源仅包括影响国家及区域安全、影响国家长期发展战略、影响个人隐私的核心数据和重要数据，并实现分区存储。其中，重要数据区与其它区域和互联网采用物理隔离，核心数据区在重要数据区基础上实施更严格的存储管理和保护措施。不同级别数据难以分别存储的，应当按照其中最高级别存储。数据金库运营商应当指定专门的部门或者人员分别负责重要数据区、核心数据区的存储管理。第十八条

 灾备管理。各类主体应当对核心数据和重要数据实施数据容灾备份和存储介质安全管理。核心数据还应当实施异地容灾备份。第十九条

 日志管理。数据存储期间，各类主体应当记录权限管理、人员操作等日志,日志留存时间不少于6个月。定期进行安全审计，并形成审计报告。涉及重要数据的，应当至少每半年进行1次安全审计，涉及核心数据的，应当至少每季度进行1次安全审计。第五章 数据元件存储第一节 一般性规定第二十条

 数据元件存储管理措施。数据金库运营商应当基于数据元件分类分级制度，对数据金库中不同类别、级别的数据元件采取不同的存储管理措施，包括但不限于选择与安全性能和防护级别相匹配的系统、介质、设施设备等。第二十一条

 数据元件分类。数据元件的类别划分应优先继承其所拥有的数据资源的类别。数据元件种类是以数据元件所涉及的数据范围、元件形态作为基本分类依据，并在其分类依据内从数据来源、数据行业领域、数据主题领域、数据元件形态四个不同维度进行分类。第二节 数据元件分级存储的特别规定第二十二条

 数据元件分级。数据元件的分级应优先考虑继承数据元件所拥有的数据资源的分级，将数据元件从低到高分为一般数据元件、重要数据元件和核心数据元件3级。如果数据元件拥有多个级别的数据资源，应参照数据分类方法，依照就高从严原则，按照数据资源的最高级别对数据元件进行定级。三级数据元件在数据金库中实现分区存储。其中，一般数据元件区与公共网络采用逻辑隔离，重要数据元件区与其它区域和互联网采用物理隔离，核心数据元件区在重要数据元件区基础上实施更严格的存储管理和保护措施，其周边区域中设置开发或交付等过渡区域。重要数据元件区和核心数据元件区在与数据金库内相对应的元件开发区对接时，主要基于特定物理通道实现最小必要连接。针对重要数据元件区和核心数据元件区，数据金库运营商应当分别指定专门的部门或人员负责存储管理。第二十三条

 加密技术。存储重要数据元件和核心数据元件时，应采用校验技术、密码技术等措施进行安全存储。第二十四条

 灾备管理。数据金库运营商应当对重要数据元件和核心数据元件实施数据容灾备份和存储介质安全管理，核心数据元件还应实施异地容灾备份。第二十五条

 日志管理。数据元件存储期间，数据金库运营商应当记录权限管理、人员操作等日志,日志留存时间不少于1年。定期进行安全审计，并形成审计报告。涉及一般数据元件的，应当至少每年进行1次安全审计；涉及重要数据元件的，应当至少每半年进行1次；涉及核心数据元件的，应当至少每季度进行1次安全审计。第六章 存储备份和恢复管理第一节 数据备份管理第二十六条

 备份职责。各类主体应当明确数据备份和恢复管理工作岗位和人员，负责建立相应的制度流程并实施相关措施。第二十七条

 备份内容。数据金库运营商应当定期对数据金库内的数据、数据库结构、数据库配置定义文件等进行备份；定期对数据金库在采集、入库等过程中的配置策略进行备份。第二十八条

 备份方式。支持各类主体采用自动备份、全量备份、增量备份、差分备份、异步备份、同步备份、本地备份和异地备份等备份方式，提供卷镜像、快照和远程复制等方式提供数据备份与恢复功能。提供异地实时备份功能，将重要数据实时备份至备份场所。应提供重要数据处理系统的热冗余，保证系统的高可用性。第二十九条

 备份恢复策略。支持各类主体制定备份策略，支持对备份对象、备份介质、备份时间、备份数据保存时间和备份方式等策略进行管理，并支持对备份策略进行添加、删除、修改等操作。为满足灾备恢复策略的要求，应对恢复方案中关键技术应用的可行性进行验证测试，并记录和保存验证测试结果。第三十条

 备份监控。支持各类主体对备份作业装填和备份设备状态开展监控。支持高可用功能，当数据金库的存储系统发生故障时，业务自动切换到另一个备份。第三十一条

 备份保存。各类主体数据备份应至少保存2个副本，且至少1个副本异地存放，完全数据备份至少保证以1个月为周期的数据冗余。第二节数据恢复管理第三十二条

 数据恢复管理制度。各类主体应当明确数据恢复管理制度，以满足数据服务可靠性、可用性目标。明确数据恢复操作规程，明确定义数据恢复的范围、频率、工具、过程、日志记录、数据保存时长等。明确数据恢复的定期检查和更新工作程序，包括数据副本的更新频率、保存期限等。第三十三条

 口令密码。各类主体恢复及使用备份数据时需要提供相关口令密码，应当对口令密码解封后与数据备份介质一并妥善保管。第三十四条

 灾难恢复计划。各类主体应建立健全灾难恢复计划，恢复计划至少包括灾难恢复范围和目标、灾难切换规程、灾后重续操作指引、各系统灾难切换手册。第七章 存储设施安全管理第三十五条

 等保要求。各类主体应当对各自范围内的数据存储活动开展等级保护工作，数据金库的存储安全应当符合等保三级要求。第三十六条

 技术工具。支持各类主体建立管理数据存储系统安全配置技术工具，实现对安全配置情况的统一管理和控制。建立可伸缩数据存储架构，以满足数据量持续增长、数据分类分级存储等需求。第三十七条

 溯源管理。支持各类主体加强数据全生命周期溯源管理，对数据处理过程进行日志留存，保证结果的可追溯、可审计。第三十八条

 存储安全规则。支持各类主体明确数据分片和分布式存储安全规则，如数据存储完整性规则、多副本一致性管理规则、存储转移安全规则，以满足分布式存储下分片数据完整性、一致性和保密性保护要求。第三十九条

 安全隔离能力。数据金库运营商应当保障数据存储的稳定可靠，明确数据存储隔离授权与操作要求，确保具备多用户数据存储安全隔离能力。第四十条

 安全访问机制。支持各类主体制定数据安全访问机制，建立合法身份及访问授权机制，明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理的要求，确保存储数据不被非授权主体访问，不被非法篡改或破坏。第四十一条

 常规安全检查。数据金库运营商应当利用相关技术和工具对数据金库中数据存储系统扫描，定期进行常规安全检查，检查内容包括数据金库系统日常运行、系统漏洞和数据备份等，确保系统符合安全运行要求。第四十二条

 存储安全管理职责。各类主体设立统一负责存储安全管理的岗位和人员，明确数据存储安全管理要求，并推进相关要求的实施。明确各存储系统安全管理员，负责执行数据存储系统、存储设备安全管理和运维工作。第八章监测与应急管理第一节 监测管理第四十三条

 数据安全监测预警。各类主体应当加强数据安全监测预警，结合数据的流向以及账号权限等综合分析，实时动态追踪数据安全风险。第四十四条

 存储风险监控机制。各类主体应当建立数据存储风险监控机制，主动预防、发现和终止数据泄露异常行为，有效防范和化解风险。第四十五条

 态势感知系统。各类主体应当建立态势感知系统，有效感知内部数据安全风险并及时响应。第四十六条

 实时监测。支持各类主体使用自动化监控平台对存储设备运行状态进行实时监测，运维人员应每天定期查看、记录系统运行状况。第二节 应急管理第四十七条

 应急预案框架要求。州数据管理行政主管部门应当制定统一的数据存储应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容，业务处理系统应急预案的编制工作应当由相关业务部门共同完成。第四十八条

 应急预案。各类主体应当制定重要事件应急预案，包括应急处理流程、系统恢复流程等内容。第四十九条

 应急预案培训。数据金库运营商应当每年对数据金库存储系统相关人员进行应急预案培训。定期对原有应急预案重新评估，修订完善。建立重大安全时间的跨单位应急预案，并进行应急预案的演练。第五十条

 应急管理工作机制。各类主体应当建立统一领导应急管理工作机制，指挥、决策重大应急处置事宜，并协调应急资源，明确具体应急处置联络人。第五十一条

 值班制度。各类主体应当实施报告制度，启动应急预案的单位应实行重大突发事件24小时值班制度。第五十二条

 应急演练总结。应急演练结束后，各类主体应当撰写应急演练情况总结报告，总结报告包括但不限于内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。第九章存储监督管理第五十三条

 数据存储评估。州数据管理行政主管部门每年对数据存储情况