圖解自然資源部《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》

《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》自然資發(fā)〔2024〕57號2024年6月圖解自然資源部自然資源調(diào)變監(jiān)測

數(shù)據(jù)地理信

息致?lián)蹲匀毁Y源領(lǐng)域數(shù)據(jù)安全管理辦法》2024年3月22日，自然資源部印發(fā)《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法

》,旨在規(guī)范自然資源領(lǐng)域數(shù)據(jù)處理活動，加強數(shù)據(jù)安全管理，

保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權(quán)益，

維護國家安全和發(fā)展利益?！掇k法》是促進自然資源領(lǐng)域數(shù)據(jù)安全管理、重要數(shù)據(jù)管理制度落地的部門規(guī)章s.閑

區(qū)

，

像

費

編

貴

土

營

部(

1

.

尸

調(diào)

調(diào)

用，上海相海，即凈與油周、山原省海

.

廠器tsa

區(qū)，國林0源，4@地消壹地發(fā)其他直單位，各酒出機模，機關(guān)H8

據(jù)要工作調(diào)

t,

項同度，理再《項

安全情理辦d》日發(fā)帽你0.請錯骨際認肅嘲執(zhí)行?？跒橹?/p>

707447月78時件日想

域

顏

支

會

理

力法aocs

a

于

m

p

a

n

設(shè)

士

留

h

a

h白sn

(t2467號t時間

4cnx

存

機

Rn力

0其文4士

s

a

8

t

酒

辦

es止記時

凝n《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》中華人民共和國自然資源部

政策法規(guī)庫MnstyotNstualsnorcnottheFospkirpuokotOk個人信息保護法2021年11月1日起施行密碼法2020年1月1日起施行數(shù)據(jù)安全法2021年9月1日起施行網(wǎng)絡(luò)安全法2017年6月1日起施行制定依據(jù)日務(wù)回鳴青曹6耳動血公開3數(shù)據(jù)安全監(jiān)管的垂直化趨勢進一步顯現(xiàn)實戰(zhàn)需求驅(qū)動數(shù)據(jù)保護

合規(guī)要求夯實安全基線

護航自然資源數(shù)據(jù)安全隨著信息技術(shù)的快速發(fā)展，數(shù)據(jù)已成為國家重要戰(zhàn)略資源。自然資源

領(lǐng)域的數(shù)據(jù)安全對于國家安全、經(jīng)

濟發(fā)展和社會穩(wěn)定具有重要意義。期/7內(nèi)容

(啟原域握虛會管虛辦法)f

社律師事務(wù)所、《宿磨源績減教安全管建辦油》解讀漢事務(wù)所，評解讀(0者項教眉安公算

辦法》君含律事務(wù)所繼《數(shù)據(jù)安全法》施行為各行各業(yè)的數(shù)據(jù)

安全管理奠定法律基礎(chǔ)后，在《網(wǎng)絡(luò)安全

法》《數(shù)據(jù)安全法》《個人信息保護法》

《密碼法》搭建的基本法規(guī)體系框架下，

包括工業(yè)和信息化、自然資源、銀行保險

等相繼發(fā)布本領(lǐng)域數(shù)據(jù)安全管理規(guī)定和征

求意見稿，數(shù)據(jù)安全監(jiān)管的垂直化趨勢進

一步顯現(xiàn)。面對需求與合規(guī)要求，有必要充分發(fā)揮監(jiān)管的“指揮棒”作用，通過

強化政策要求，采取有效的措施規(guī)

范自然資源領(lǐng)域數(shù)據(jù)處理活動，加

強數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，

促進數(shù)據(jù)開發(fā)利用?！蹲匀毁Y源領(lǐng)域數(shù)據(jù)安全管理辦法》制定背景第三章數(shù)據(jù)全生命周期安全管理12.主體責(zé)任/工作體系

13.數(shù)據(jù)收集

14.數(shù)據(jù)存儲16.數(shù)據(jù)傳輸

17.數(shù)據(jù)提供

18.數(shù)據(jù)公開20.數(shù)據(jù)出境

21.數(shù)據(jù)轉(zhuǎn)移

22.委托處理第四章數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理24.風(fēng)險監(jiān)測機制

25.安全風(fēng)險評估

26.風(fēng)險信息通報機制第五章監(jiān)督檢查28.監(jiān)督檢查和協(xié)助義務(wù)

29.數(shù)據(jù)安全審查11.重要數(shù)據(jù)/核心數(shù)據(jù)目錄報備流程及內(nèi)容15.數(shù)據(jù)加工使用19.數(shù)據(jù)銷毀23.日志留存/商用密碼保護

627.應(yīng)急處置30.保密要求第六章法律責(zé)任31.監(jiān)管措施

32.法律責(zé)任第七章附則33.個人信息保護34.涉密排除35.行政許可36.辦法解釋

37.施行日期第一章總則1.目的依據(jù)2.適用范圍3.術(shù)語定義4.監(jiān)管機構(gòu)5.標準制定6.數(shù)據(jù)開發(fā)利用7.宜傳教育/人才培養(yǎng)整理：《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》總結(jié)構(gòu)自然資源領(lǐng)域數(shù)據(jù)安全管理辦法第二章數(shù)據(jù)分類分級管理

提出密碼保護、加密的條款10.核心數(shù)據(jù)/重要改據(jù)/一般放據(jù)9.數(shù)據(jù)分類分級方法8.分類分級工作要求5建立權(quán)責(zé)一致的工作機制明確適用范圍，界定自然資源領(lǐng)域數(shù)據(jù)、

數(shù)據(jù)處理者及數(shù)據(jù)安全概念，構(gòu)建“部-地

方-企業(yè)”三級聯(lián)動的防護體系，提出將

數(shù)

據(jù)安全納入黨委(黨組)國家安全責(zé)任制

,按照“誰管業(yè)務(wù)，誰管數(shù)據(jù)，誰管數(shù)據(jù)

安全”原則，落實監(jiān)管責(zé)任。落實數(shù)據(jù)全生命周期安全管理針對不同級別數(shù)據(jù)，細化數(shù)據(jù)處理者

的主體責(zé)任，圍繞數(shù)據(jù)收集、存儲、

加工使用、傳輸、提供、公開、銷毀

、出境、轉(zhuǎn)移、委托處理、日志留存

等環(huán)節(jié)，規(guī)范安全管理和保護要求，

明確使用商用密碼技術(shù)進行保護?！豆芾磙k法》共七章三十七條，重點解決自然資源領(lǐng)域數(shù)據(jù)安全

“誰來管、管什么、怎么管”的問題，主要內(nèi)容包括六個方面：細化數(shù)據(jù)分類分級管理明確相關(guān)主體數(shù)據(jù)分類分級的工作要

求

及

方

法

，細化重要數(shù)據(jù)識別指標，

要求建立重要數(shù)據(jù)和核心數(shù)據(jù)目錄及

報

備

機

制

。規(guī)定了行業(yè)監(jiān)管部門監(jiān)督檢查及數(shù)

據(jù)處理者協(xié)助義務(wù)、自然資源部數(shù)

據(jù)安全審查義務(wù)以及數(shù)據(jù)處理者及

其委托的數(shù)據(jù)安全風(fēng)險評估機構(gòu)保

密要求等內(nèi)容。加強數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理

強化監(jiān)督檢查

法律責(zé)任《自然資源領(lǐng)域數(shù)據(jù)安全管理辦法》主要內(nèi)容建立數(shù)據(jù)安全風(fēng)險監(jiān)測、風(fēng)險評估、風(fēng)

險信息通報、應(yīng)急處置等工作機制。明確相關(guān)違法違規(guī)行為的法律責(zé)任

和懲罰措施。6自然資源領(lǐng)域數(shù)據(jù)處理者本辦法所稱自然資源領(lǐng)域數(shù)據(jù)處理者(以下簡稱數(shù)據(jù)處理者),

是指開展自然資源領(lǐng)域數(shù)據(jù)處理活動的自然資源行業(yè)各類單位。數(shù)據(jù)安全本辦法所稱數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。自然資源領(lǐng)域數(shù)據(jù)本辦法所稱自然資源領(lǐng)域數(shù)據(jù)，在開展自然資源活動中收集

和產(chǎn)生的數(shù)據(jù)，主要包括基礎(chǔ)地理信息、遙感影像等地理信

息數(shù)據(jù)，土地、礦產(chǎn)、森林、草原、水、濕地、海域海島等

自然資源調(diào)查監(jiān)測數(shù)據(jù)，總體規(guī)劃、詳細規(guī)劃、專項規(guī)劃等

國土空間規(guī)劃數(shù)據(jù)，用途管制、資產(chǎn)管理、耕地保護、生態(tài)

修復(fù)、開發(fā)利用、不動產(chǎn)登記等自然資源管理數(shù)據(jù)。3.數(shù)據(jù)全生命周期安全管理術(shù)語定義在中華人民共和國境內(nèi)開展的，或在境外履行自然資源部門職責(zé)過程中開展的自然資源領(lǐng)

域非涉密數(shù)據(jù)處理活動及其安全監(jiān)管，應(yīng)當遵守相關(guān)法律法規(guī)和本辦法的要求。4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則1

.

總則

適用范圍明確適用范圍及術(shù)語定義自然資源調(diào)查監(jiān)測數(shù)據(jù)自然資源管理數(shù)據(jù)地理信息數(shù)據(jù)

國土空間規(guī)劃數(shù)據(jù)2.數(shù)據(jù)分類分級管理7自然資源部在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下，自然資源部承

擔(dān)自然資源行業(yè)、領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)，負責(zé)督促指導(dǎo)各省、自治區(qū)、直轄市自然資源主管部門、海洋主管部門

(以下統(tǒng)稱地方行業(yè)監(jiān)管部門)開展數(shù)據(jù)安全監(jiān)管。國家林業(yè)和草原局具體承擔(dān)森林草原、濕地荒漠等數(shù)據(jù)安全監(jiān)管職責(zé)，參照本辦法制定具體制度。地方行業(yè)監(jiān)管部門分別負責(zé)對本地區(qū)自然資源領(lǐng)域數(shù)據(jù)處理活動和安全保護

進行監(jiān)督管理。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期

安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則統(tǒng)稱為行業(yè)監(jiān)管部門·

行

業(yè)

監(jiān)

管

部

門將數(shù)據(jù)安全納

入

黨

委

(

黨

組

)

國

家

安

全

責(zé)

任制·

按

照

“誰管業(yè)務(wù)，誰管數(shù)據(jù)

,誰管數(shù)據(jù)安全”原

則·

落實本行業(yè)本地區(qū)本領(lǐng)域數(shù)

據(jù)安全指導(dǎo)監(jiān)管責(zé)任將數(shù)據(jù)安全納入黨委(黨組)國家安全責(zé)任制，“誰管業(yè)務(wù)，誰管數(shù)據(jù)，誰管數(shù)據(jù)安全標準制定·

推

進自

然

資

源

領(lǐng)域數(shù)據(jù)開發(fā)

利用和數(shù)據(jù)安

全標準體系建

設(shè)·

組

織

開

展

相

關(guān)標準制修訂及推

廣

應(yīng)

用81

.

總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則數(shù)據(jù)開發(fā)利用·

鼓勵自然資源領(lǐng)域數(shù)據(jù)依法共享開放和開發(fā)利用，支持數(shù)據(jù)創(chuàng)新應(yīng)用。·

積極構(gòu)建數(shù)據(jù)開發(fā)利用和安全產(chǎn)業(yè)協(xié)調(diào)共進的發(fā)展

模式

，不斷提升數(shù)據(jù)安全

保障能力，維護國家安全、社會穩(wěn)定、組織和個人

權(quán)益。宣傳教育/人才培養(yǎng)·

支持開展經(jīng)常性的自然

資源領(lǐng)域數(shù)據(jù)安全宣傳

教育?！?/p>

采取多種方式培養(yǎng)數(shù)據(jù)

開發(fā)利用技術(shù)和數(shù)據(jù)安

全

專

業(yè)

人

才

，促進人才

交流。鼓勵自然資源領(lǐng)域數(shù)據(jù)開發(fā)利用，支持數(shù)據(jù)安全宣傳教育及人才培養(yǎng)91.總則相關(guān)主體

分類分級工作要求上

報102.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則自然資源部組織制定自然資源領(lǐng)域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定、數(shù)據(jù)安

全保護等標準規(guī)范，指導(dǎo)開展數(shù)據(jù)分類分級管理工作，編制行業(yè)重要數(shù)據(jù)和核

心數(shù)據(jù)目錄并實施動態(tài)管理。國家林業(yè)和草原局按照自然資源領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范，結(jié)合工作需要編制林草領(lǐng)域數(shù)據(jù)安全標準規(guī)范，指導(dǎo)開展林草數(shù)據(jù)分類分級工作，編制林草重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實施動態(tài)管理。地方行業(yè)監(jiān)管部門按照自然資源領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范，分別組織開展本地區(qū)自然資源領(lǐng)域

數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別審核工作，編制本地區(qū)自然資源領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并上報自然資源部，目錄發(fā)生變化的，應(yīng)及時

上報更新。數(shù)據(jù)處理者應(yīng)當定期按照自然資源領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范梳理填報重要數(shù)據(jù)和核心數(shù)據(jù)目錄。清晰劃分自然資源領(lǐng)域相關(guān)主體數(shù)據(jù)分類分級職責(zé)，要求建立重要數(shù)據(jù)和核心數(shù)據(jù)目錄2.數(shù)據(jù)分類分級管理數(shù)據(jù)分類數(shù)據(jù)分級根據(jù)行業(yè)特點和業(yè)務(wù)應(yīng)用，自然資源領(lǐng)域數(shù)據(jù)分類類別包括但不限于：地理信息

自然資源調(diào)查監(jiān)測呼應(yīng)《數(shù)據(jù)安全法》和網(wǎng)安標委《數(shù)據(jù)分類分級規(guī)則》,給出自然資源數(shù)據(jù)分類分級方法·

通

過

對自

然

資

源

領(lǐng)

域

數(shù)

據(jù)重要性、精度、規(guī)模、安全風(fēng)險·

數(shù)據(jù)價值、可用性、可共享性、可開放性等進行綜合分析國土空間規(guī)劃

自然資源管理

其他具體參照自然資源領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范?！づ袛鄶?shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用

后的影響對象、影響程度、影響范圍進行分級，分為：一般數(shù)據(jù)

重要數(shù)據(jù)

核心數(shù)據(jù)4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則數(shù)據(jù)處理者可在此基礎(chǔ)上細分數(shù)據(jù)的類別和一般數(shù)據(jù)級別。3.數(shù)據(jù)全生命周期安全管理1.總則11結(jié)合自然資源領(lǐng)域數(shù)據(jù)特點，滿足以下兩項(含)以上參考指標的為重要數(shù)據(jù)。1.

支撐黨中央和國務(wù)院賦予的“兩統(tǒng)一”職責(zé)產(chǎn)生具有不可替代性和行業(yè)唯一性的，一旦發(fā)生數(shù)據(jù)篡改、

泄露或服務(wù)中斷等安全事故，將影響自然資源部門履行職責(zé)，對全國范圍內(nèi)服務(wù)對象產(chǎn)生重要影響的數(shù)

據(jù)。2.

涉及國民經(jīng)濟和重要民生的，為其他行業(yè)、領(lǐng)域提供自然資源基礎(chǔ)數(shù)據(jù)支撐的，一旦發(fā)生數(shù)據(jù)安全事故

會對其他行業(yè)、領(lǐng)域造成重要影響的數(shù)據(jù)。3.

覆蓋多個省份甚至全國，規(guī)模大、精度高，且極具敏感性、重要性的數(shù)據(jù)。4.

直接影響國家關(guān)鍵信息基礎(chǔ)設(shè)施正常運行服務(wù)的數(shù)據(jù)。5.

危害國家安全、國家經(jīng)濟競爭力、危害公眾接受公共服務(wù)、危害公民生存條件和安定工作生活環(huán)境、危

害公民的生命財產(chǎn)安全和其他合法利益、導(dǎo)致社會恐慌等的數(shù)據(jù)。6.

我國法律法規(guī)及規(guī)范性文件規(guī)定的其他自然資源重要數(shù)據(jù)。核心數(shù)據(jù)是指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、

一定深度的重要數(shù)據(jù)，

一旦被非法使用或共享，可能直接影響政治安全。核心數(shù)據(jù)主要包括關(guān)系國家安全重點領(lǐng)域的數(shù)據(jù)，關(guān)系國

民經(jīng)濟命脈、重要民生和重大公共利益的數(shù)據(jù)，經(jīng)國家有關(guān)部門評估確定的其他數(shù)據(jù)。重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模，

一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。一般數(shù)據(jù)是指除重要數(shù)據(jù)、核心數(shù)據(jù)以外的其他數(shù)據(jù)。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則符合重要數(shù)據(jù)指標，且關(guān)

系國家經(jīng)濟命脈、重要民

生和重大公共利益、影響

政治安全的數(shù)據(jù)為核心數(shù)

據(jù)

。12自然資源領(lǐng)域數(shù)據(jù)識別的參考指標核心

數(shù)據(jù)重

要數(shù)據(jù)一般數(shù)據(jù)GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》一附錄G《重要數(shù)據(jù)識別指南》其中列舉的重要數(shù)據(jù)識別考慮因素包括了涉及自然資源領(lǐng)域數(shù)據(jù)的相關(guān)內(nèi)容：序號重要數(shù)據(jù)識別考慮因素a)直接影響領(lǐng)土安全和國家統(tǒng)一，或反映國家自然資源基礎(chǔ)情況，如未公開的領(lǐng)陸、領(lǐng)水、領(lǐng)空數(shù)據(jù)；b)可被其他國家或組織利用發(fā)起對我國的軍事打擊，或反映我國戰(zhàn)略儲備、應(yīng)急動員、作戰(zhàn)等能力，如滿足一定精度指標的地理數(shù)據(jù)或與戰(zhàn)略物資產(chǎn)能、儲備量有關(guān)的數(shù)據(jù)；j)反映水資源、能源資源、土地資源、礦產(chǎn)資源等資源儲備和開發(fā)、供給情況，如未公開的描述水文觀測結(jié)果、耕

地面積或質(zhì)量變化情況的數(shù)據(jù)；m)關(guān)系我國在太空、深海、極地等戰(zhàn)略新疆域的現(xiàn)實或潛在利益，如未公開的涉及對太空、深海、極地進行科學(xué)考察、開發(fā)利用的數(shù)據(jù)，以及影響入員在上述領(lǐng)域安全進出的數(shù)據(jù)?！镀嚁?shù)據(jù)安全管理若干規(guī)定(試行)》(

一

)軍事管理區(qū)、國防科工單位以及縣級以上黨政機關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則(拓展)涉及自然資源領(lǐng)域重要數(shù)據(jù)識別的其他法律法規(guī)相關(guān)要求第

三

條

(

部

分

)13報備內(nèi)容發(fā)生重大變化的

,數(shù)據(jù)處理者應(yīng)當在發(fā)生

變化的三個月內(nèi)履行變更

手續(xù)。*重大變化是指數(shù)據(jù)內(nèi)容發(fā)生變化導(dǎo)致原有級別不再適

用的，或某類重要數(shù)據(jù)和核

心數(shù)據(jù)規(guī)模變化30%以上

的

，等等。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期

安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則中華人民共和國自然資源部MinistryofNaturalResourtesof

thePeople's

RepublicofChina國家林業(yè)和草原局NationalForestryandGrasslandAdministration本地區(qū)行業(yè)監(jiān)管部門審核中華人民共和國自然資源部MinistryofNaturalResources

ofthe

People's

Republc

ofChina報備內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、精度、來源、載體、使用范圍、對外共享、

跨境傳輸、安全情況及責(zé)任單位情況等，不包括數(shù)據(jù)內(nèi)容本身。報備本單位重要數(shù)據(jù)

和核心數(shù)據(jù)目錄報備本單位重要數(shù)據(jù)

和核心數(shù)據(jù)目錄報備本單位重要數(shù)據(jù)

和核心數(shù)據(jù)目錄自然資源部所屬的數(shù)據(jù)處理者國家林業(yè)和草原局所屬的數(shù)據(jù)處理者其他數(shù)據(jù)處理者不符合要求符合要求重要數(shù)據(jù)審核認定

(

20個工作日完成)自然資源領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)報備核心數(shù)據(jù)審核認定國家數(shù)據(jù)安全工作協(xié)調(diào)機制提交報備申請/收到反饋后15個工作日內(nèi)再提交地方行業(yè)監(jiān)管部門及時反饋并說明理由20個工作日內(nèi)完成數(shù)據(jù)處理者業(yè)1.總則

數(shù)據(jù)處理者應(yīng)當對數(shù)據(jù)處理活動安全負主體責(zé)任，對各類數(shù)據(jù)實行分級防護，不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的，應(yīng)當按照其中級別最高的要求實施保護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)。落實制度要求利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)

開展數(shù)據(jù)處理活動時，要落實網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、密碼保護和

保密等制度要求。開展教育培訓(xùn)定期對從業(yè)人員開展數(shù)據(jù)安全知識和技能相關(guān)教

育

培

訓(xùn)。配備管理人員根據(jù)需要配備數(shù)據(jù)安全

管理人員，統(tǒng)

籌

負

責(zé)

數(shù)

據(jù)處理活動的安全監(jiān)督

管理，協(xié)助行業(yè)監(jiān)管部

門開展工作。制定應(yīng)急預(yù)案根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案

并開展應(yīng)急演練。建立管理制度建立數(shù)據(jù)安全管理制度，針對不同級別數(shù)據(jù)，制定

數(shù)據(jù)全生命周期各環(huán)節(jié)的

具體分級防護要求和操作

規(guī)程。嚴格權(quán)限管理合理確定數(shù)據(jù)處理活動的操作權(quán)限，嚴格實施

人員權(quán)限管理。采取技術(shù)措施應(yīng)當采取相應(yīng)技術(shù)措施和

其他必要措施保障數(shù)據(jù)安全，防范數(shù)據(jù)被篡改、破

壞、泄露或者非法獲取、非法利用等風(fēng)險。其他措施法律法規(guī)等規(guī)定的其他措

施。2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任自然資源領(lǐng)域數(shù)據(jù)處理者數(shù)據(jù)安全保護的一般義務(wù)7.附則15建立數(shù)據(jù)安全工作體系·建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，

明

確數(shù)據(jù)安全負責(zé)人和管理

機構(gòu)，建立常態(tài)化溝通與

協(xié)作機制?！け締挝环ǘù砣嘶蛑饕?/p>

負責(zé)人是數(shù)據(jù)安全第一責(zé)

任人，領(lǐng)導(dǎo)班子中分管數(shù)

據(jù)安全班子成員是直接責(zé)

任

人

，其他成員對職責(zé)范

圍內(nèi)的數(shù)據(jù)安全工作負領(lǐng)

導(dǎo)責(zé)任，履行數(shù)據(jù)安全保

護義務(wù)，接受監(jiān)督。明確關(guān)鍵崗位和

崗位職責(zé)·

明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人

員簽署數(shù)據(jù)安全責(zé)任書，責(zé)

任書內(nèi)容包括但不限于數(shù)據(jù)

安全崗位職責(zé)、義務(wù)、處罰

措施、注意事項等內(nèi)容?！?yīng)當按照業(yè)務(wù)工作需要和最

小授權(quán)原則，依據(jù)崗位職責(zé)

設(shè)定數(shù)據(jù)處理權(quán)限，控制重

要數(shù)據(jù)接觸范圍，人員變動

時應(yīng)及時調(diào)整權(quán)限?！ど婕昂诵臄?shù)據(jù)相關(guān)關(guān)鍵崗位

人員、信息系統(tǒng)建設(shè)和運維

單位等，提交公安機關(guān)、國

家安全機關(guān)進行國家安全背

景審查。涉重要數(shù)據(jù)信息系統(tǒng)建設(shè)、運維要求·涉重要數(shù)據(jù)信息系統(tǒng)建設(shè)、

運維項目未經(jīng)委托方批準不

得轉(zhuǎn)包、分包?！そㄔO(shè)運維人員未經(jīng)委托方明

確授權(quán)，不得處理委托方的

重要數(shù)據(jù)?！ぴ谔峁┥嬷匾獢?shù)據(jù)信息系統(tǒng)

建設(shè)、運維過程中收集、產(chǎn)生的數(shù)據(jù)，不得用于其他用

途，服務(wù)完成后按照與委托

方約定處理或及時刪除。人員和經(jīng)費保障

應(yīng)當加強人員和經(jīng)費保障。161.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則建立內(nèi)部登記、

審批機制·建立內(nèi)部登記、審批機制，對重要數(shù)據(jù)和核心數(shù)據(jù)的處

理活動進行嚴格管理并留存

記錄不少于六個月。綜合運用安全技術(shù)手段·在數(shù)據(jù)全生命周期各環(huán)節(jié)，

應(yīng)當綜合運用加密、鑒權(quán)、

認證、脫敏、校驗、審計等

技術(shù)手段進行安全保護，并

按照法律法規(guī)和國家有關(guān)規(guī)

定要求使用商用密碼進行保

護

。自然資源領(lǐng)域重要數(shù)據(jù)與核心數(shù)據(jù)處理者數(shù)據(jù)安全保護的特殊義務(wù)重要數(shù)據(jù)和核心數(shù)據(jù)處理者，還應(yīng)當：1.總則數(shù)據(jù)收集

數(shù)據(jù)存儲數(shù)據(jù)處理

數(shù)據(jù)傳輸數(shù)據(jù)提供數(shù)據(jù)公開數(shù)據(jù)銷毀

其他情況2.數(shù)據(jù)分類分級管理關(guān)鍵詞詳情關(guān)鍵詞詳情基本原則數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當遵循合法、正當

的原則，不得竊取或者以其他非法方式收

集數(shù)據(jù)。法律法規(guī)對收集數(shù)據(jù)的目的、范

圍有規(guī)定的，應(yīng)當在法律法規(guī)規(guī)定的目的

和范圍內(nèi)收集。安

全

管

控數(shù)據(jù)處理者應(yīng)當依據(jù)法律法規(guī)規(guī)定的方式和期限存儲數(shù)據(jù)，可以從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等方面，加強數(shù)據(jù)存儲安全管控，保障存儲數(shù)據(jù)的完整性、保密性、真實性和可用性。3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理安全措施數(shù)據(jù)收集過程中，應(yīng)當根據(jù)數(shù)據(jù)安全級別

采取相應(yīng)的安全措施，加強重要數(shù)據(jù)和核

心數(shù)據(jù)收集生產(chǎn)人員、設(shè)備的管理，并對

收集來源、時間、類型、數(shù)量、精度、區(qū)

域、頻度、流向等進行記錄。5.監(jiān)督檢查分級保護存儲重要數(shù)據(jù)的，要落實第三級及

以上網(wǎng)絡(luò)安全等級保護要求。存儲

核心數(shù)據(jù)的，要落實關(guān)鍵信息基礎(chǔ)

設(shè)施安全保護要求或第四級網(wǎng)絡(luò)安

全等級保護要求。6.法律責(zé)任其他情況通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，

數(shù)據(jù)處理者應(yīng)當與數(shù)據(jù)提供方通過簽署相

關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)7.附則任。17需加強數(shù)據(jù)存儲安全管控，保障存儲數(shù)據(jù)的完整性、保密性、真實性和可用性數(shù)據(jù)公開

數(shù)據(jù)銷毀

其他情況V通用安全要求策

略

制

定數(shù)據(jù)處理者應(yīng)當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和

應(yīng)用場景，制定安全策略并采取保護措施。其他情形安全要求1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則涉及重要數(shù)據(jù)和核心數(shù)據(jù)傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。18安

全

管

控數(shù)據(jù)處理者開展數(shù)據(jù)加工使用處理活

動，應(yīng)當采取訪問控制、數(shù)據(jù)防泄露

、操作審計等管控措施，確保過程安

全、合規(guī)、可控、可溯源，防范數(shù)據(jù)

關(guān)聯(lián)挖掘、分析過程中有價值信息和

個人隱私泄露的安全風(fēng)險，明確數(shù)據(jù)

使用加工過程中的相關(guān)責(zé)任，保證數(shù)

據(jù)的正當加工使用。涉及重要數(shù)據(jù)和核心數(shù)據(jù)加工使用重要數(shù)據(jù)和核心數(shù)據(jù)，還應(yīng)

當實施嚴格的訪問控制，建立數(shù)據(jù)可

信可控、日志留存審計、風(fēng)險監(jiān)測評估、實時監(jiān)控、應(yīng)急處置、數(shù)據(jù)溯源等相關(guān)技術(shù)和管理機制。涉及自動化決策涉及利用數(shù)據(jù)進行自動化決策的，應(yīng)當保證決策的透明度和結(jié)果公平合理。數(shù)

據(jù)

收

集

數(shù)

據(jù)

存

儲

數(shù)據(jù)處理

數(shù)據(jù)傳輸

數(shù)

據(jù)

提

供通用安全要求分

級

保

護加工使用過程中，應(yīng)當按照數(shù)據(jù)級別采

取相應(yīng)的措施保護數(shù)據(jù)的安全性，所使

用的數(shù)據(jù)必須是真實可靠的，數(shù)據(jù)來源

、收集過程須經(jīng)過審查和核實。開展數(shù)據(jù)加工使用處理活動，應(yīng)當采取訪問控制、數(shù)據(jù)防泄露、操作審計等管控措施其他情形安全要求分類關(guān)鍵詞詳情基礎(chǔ)要求明確信息明確提供的范圍、類別、條件、程序等最小范圍提供的數(shù)據(jù)應(yīng)當限于實現(xiàn)數(shù)據(jù)接收方處理目的的最小范圍分級保護告知數(shù)據(jù)接收方按照對應(yīng)級別進行分類分級保護安全保護采取必要的安全保護措施涉及重要數(shù)據(jù)簽訂協(xié)議與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全協(xié)議加強管控重要數(shù)據(jù)在共享、調(diào)用過程中應(yīng)當加強安全管控定期監(jiān)測采取技術(shù)措施定期監(jiān)測數(shù)據(jù)共享、調(diào)用的情況措施配備配備風(fēng)險隔離、認證鑒權(quán)、威脅告警等安全保護措施涉及提供、共享核心數(shù)據(jù)采取措施應(yīng)當采取必要的安全保護措施信息上報上報自然資源部風(fēng)險評估自本年度1月1日起可能累計達到總量30%及以上的，應(yīng)當經(jīng)自

然資源部報國家數(shù)據(jù)安全工作協(xié)調(diào)機制組織風(fēng)險評估注

：涉及國家機關(guān)依法履職或單位內(nèi)部流動的除外2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則數(shù)據(jù)收集

數(shù)據(jù)存儲

數(shù)據(jù)處理

數(shù)據(jù)傳輸

數(shù)據(jù)提供

數(shù)據(jù)公開數(shù)據(jù)銷毀其他情況數(shù)據(jù)處理者應(yīng)當按照有關(guān)規(guī)定安全有序提供數(shù)據(jù)，具體如下表所示：提供的數(shù)據(jù)應(yīng)當限于實現(xiàn)數(shù)據(jù)接收方處理目的的最小范圍1.總則)分類

關(guān)鍵詞

詳情不得公開情形數(shù)據(jù)公開數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)公開前分析研判可能對國家安全、公共

利益產(chǎn)生的影響，存在顯著負面影響或風(fēng)險的，不得公開公開基本原則政府機關(guān)部門應(yīng)當遵守公正、公平、便民的原則，按照規(guī)定及時、準確地公開政務(wù)數(shù)據(jù)，依法不予公開的除外制度建立數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求，對銷毀活動進行記錄和留存數(shù)據(jù)銷毀依據(jù)法律法規(guī)規(guī)定、合同約定等請求銷毀的，數(shù)據(jù)處理者應(yīng)當銷毀情況銷毀相應(yīng)數(shù)據(jù)銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，要采取必要的安全保護措施，并安全保護事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)銷毀方案引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄變化的，應(yīng)當及時向行業(yè)監(jiān)管部報備情況

門報備，不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復(fù)1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求

數(shù)據(jù)收集數(shù)據(jù)存儲數(shù)據(jù)處理

數(shù)據(jù)傳輸數(shù)據(jù)提供

數(shù)據(jù)公開

數(shù)據(jù)銷毀其他情況201.總則2.數(shù)據(jù)分類分級管理其他情況3.數(shù)據(jù)全生命周期安全管理境內(nèi)數(shù)據(jù)一般情況數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)當在境內(nèi)存儲4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理確需向境外提供的數(shù)據(jù)處理者應(yīng)當落實國家網(wǎng)信部門數(shù)據(jù)出境安全評估有關(guān)規(guī)定5.監(jiān)督檢查一般情況數(shù)據(jù)處理者因重組等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當明確數(shù)據(jù)轉(zhuǎn)移

方案6.法律責(zé)任7.附則數(shù)據(jù)轉(zhuǎn)移涉及重要數(shù)據(jù)的應(yīng)當采取必要的安全保護措施，事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)

轉(zhuǎn)移方案。應(yīng)當及時向行業(yè)監(jiān)管部門報備情況場景說明要求數(shù)據(jù)轉(zhuǎn)移涉及重要數(shù)據(jù)的應(yīng)當采取必要的安全保護措施引起重要數(shù)據(jù)目錄發(fā)生

變化的21情況場

景

說

明要求委托處理一般情況數(shù)據(jù)處理者委托他人處理、與他人共同處理數(shù)據(jù)的，數(shù)據(jù)安全責(zé)任不因委托而改變，應(yīng)當通過簽訂合同協(xié)議等方式，明確委

托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)。涉及重要數(shù)據(jù)的委托方要把安全作為重要考慮因素，應(yīng)當對受托方的數(shù)據(jù)安全保護能力、資質(zhì)進行評估或核實，經(jīng)過嚴格的審批程序，明確受托方的數(shù)據(jù)處理權(quán)限和保護責(zé)任，并監(jiān)督受托方履行數(shù)據(jù)安

全保護義務(wù)。涉及數(shù)據(jù)提供的除法律法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，受托方不得將數(shù)

據(jù)提供給第三方。日志記錄一般情況數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志，并采用商用密碼技術(shù)保護日志的

完整性。日志留存一般數(shù)據(jù)的日志留存時間不少于六個月，涉及重要數(shù)據(jù)安全事件處置、溯源的，相關(guān)日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的，相關(guān)日志留存時間不少于三年。涉及核心數(shù)據(jù)安全事件處置、溯源的相關(guān)日志留存

時間不少于三年。2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則數(shù)據(jù)傳輸

數(shù)據(jù)提供

數(shù)據(jù)公開

數(shù)據(jù)銷毀

其他情況數(shù)據(jù)處理者應(yīng)當采用商用密碼技術(shù)保護日志的完整性數(shù)據(jù)收集

數(shù)據(jù)存儲

數(shù)據(jù)處理1.總則2數(shù)據(jù)處理者應(yīng)當開展數(shù)據(jù)安全風(fēng)險

監(jiān)測，及時排查安全隱患，采取必

要的措施防范數(shù)據(jù)安全風(fēng)險。地方行業(yè)監(jiān)管部門分別建設(shè)本地區(qū)數(shù)據(jù)安全監(jiān)測預(yù)警機制織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測按照有關(guān)規(guī)定及時發(fā)布預(yù)警信息，通知本地區(qū)數(shù)據(jù)處理者及時采取應(yīng)對措施。23日自然資源部門按照國家相關(guān)標準和流程組織建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測機制中建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警體系，劃分數(shù)據(jù)安全風(fēng)險和事件等級國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全風(fēng)險監(jiān)

測預(yù)警機制劃分林草數(shù)據(jù)安全風(fēng)險和事件

等級組織建設(shè)林草數(shù)據(jù)監(jiān)測預(yù)警技術(shù)手段1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險監(jiān)測機制7.附則h重要數(shù)據(jù)處理者評估周期應(yīng)當自行或委托第三方評估機構(gòu)，每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險評估，及時整改風(fēng)險問題，并向行業(yè)監(jiān)管部門報送風(fēng)險評估報告。報告內(nèi)容風(fēng)險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的類別、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險、應(yīng)對措施及其有效程度等。保留期限數(shù)據(jù)處理者應(yīng)當保留風(fēng)險評估報告至少三年。核心數(shù)據(jù)處理者優(yōu)先使用第三方評估機構(gòu)開展風(fēng)險評估。國家林業(yè)和草原局指導(dǎo)開展自然資源領(lǐng)域數(shù)地方行業(yè)監(jiān)管部門負責(zé)組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險評估工作數(shù)據(jù)處理者日志審計數(shù)據(jù)處理者在組織重要數(shù)據(jù)安

全風(fēng)險評估時，應(yīng)當對其數(shù)據(jù)

查詢、下載、修改、刪除等重

點操作的日志開展審計分析，

發(fā)現(xiàn)違規(guī)或異常行為，應(yīng)及時

采取相應(yīng)處置措施。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期

安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則開展自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險評估工作組織指導(dǎo)開展林草數(shù)據(jù)安全風(fēng)險評估等工作據(jù)安全風(fēng)險評估等工作自

然

資

源

部

門數(shù)據(jù)處理者及時將可能造成較大及以上安全事件的風(fēng)險向行業(yè)監(jiān)管部門報告。25地方行業(yè)監(jiān)管部門匯總分析本地區(qū)自然資源領(lǐng)域數(shù)

據(jù)安全風(fēng)險，根據(jù)數(shù)據(jù)安全風(fēng)險

的發(fā)展態(tài)勢、規(guī)模大小、關(guān)聯(lián)程度、現(xiàn)實危害等綜合研判，及時

將可能造成重大及以上安全事件的風(fēng)險向自然資源部報告。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則自然資源部門組織建立自然資源領(lǐng)域數(shù)據(jù)

安全風(fēng)險信息通報機制，統(tǒng)一匯集、分析、研判、通報數(shù)據(jù)安全風(fēng)險信息。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全

風(fēng)險信息通報機制。建立自然資源領(lǐng)域數(shù)據(jù)安全風(fēng)險信息通報機制數(shù)據(jù)處理者日志審計

報

告

周

期

告

知

風(fēng)

險在數(shù)據(jù)安全事件發(fā)生后，應(yīng)當按照應(yīng)急預(yù)案，及時開展應(yīng)急處置，涉及重要數(shù)據(jù)和

核心數(shù)據(jù)的安全事件，第一時間向行業(yè)監(jiān)管部門、屬地公安部門報告，事件處置完成后一周內(nèi)形成總結(jié)報告。每年向行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當及時告知用戶，并提供減輕危害措施。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則自然資源部門組織制定自然資源領(lǐng)域數(shù)據(jù)安全

事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)

據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置

工作。組織開展本地區(qū)自然資源領(lǐng)域數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當立即報

自然資源部，并及時報告事件發(fā)展和

處置情況。組織建立林草數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)據(jù)和

核心數(shù)據(jù)安全事件應(yīng)急處置工

作。制定自然資源領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案地方行業(yè)監(jiān)管部門國家林業(yè)和草原局6保護個人信息、商業(yè)秘密安全數(shù)據(jù)處理者及其委托的數(shù)據(jù)

安全風(fēng)險評估機構(gòu)工作人員

對在履行職責(zé)中知悉的個人

信息、商業(yè)秘密等，應(yīng)當嚴

格保密，不得泄露或者非法

向他人提供。27數(shù)據(jù)安全審查在國家數(shù)據(jù)安全工作協(xié)調(diào)

機制統(tǒng)一組織下，自然資源部依法配合有關(guān)部門，對影響或者可能影響國家安全的自然資源領(lǐng)域數(shù)據(jù)處理活動開展數(shù)據(jù)安全審查工作。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則監(jiān)督檢查行業(yè)監(jiān)管部門對數(shù)據(jù)處理

者落實數(shù)據(jù)分類分級保護

及本辦法要求的情況進行

監(jiān)督檢查。數(shù)據(jù)處理者應(yīng)當對行業(yè)監(jiān)管部門監(jiān)督檢

查予以配合。各方落實監(jiān)督檢查、數(shù)據(jù)安全審查和保護個人信息、商業(yè)秘密安全責(zé)任主體行為處罰行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中，

發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全

風(fēng)險的可以按照規(guī)定權(quán)限和程序?qū)?shù)據(jù)處

理者進行約談，并要求采取措施進

行整改，消除隱患。依照《中華人民共和國數(shù)據(jù)安全法》及有關(guān)法律法規(guī)予以處理，根據(jù)情對于違反有關(guān)規(guī)定的節(jié)嚴重程度給與相應(yīng)行政處罰，構(gòu)成犯罪的，依法追究刑事責(zé)任。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期

安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警

與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則落實各方法律責(zé)任28主體行為開展涉及個人信息的數(shù)據(jù)處理活動應(yīng)當遵守有關(guān)法律法規(guī)的規(guī)定。涉及國家秘密信息或自然資源領(lǐng)域數(shù)據(jù)匯聚關(guān)聯(lián)應(yīng)當符合國家及部相關(guān)保密規(guī)定。后屬于國家秘密事項的數(shù)據(jù)處理活動法律法規(guī)規(guī)定開展數(shù)據(jù)處理活動應(yīng)當取得行政許

可的數(shù)據(jù)處理者應(yīng)當依法取得許可。1.總則2.數(shù)據(jù)分類分級管理3.數(shù)據(jù)全生命周期安全管理4.數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理5.監(jiān)督檢查6.法律責(zé)任7.附則

本辦法由自然資源部負責(zé)解釋。

本辦法自印發(fā)之日起施行。29其他重要要求自然資源領(lǐng)域數(shù)據(jù)安全實踐30自然資源數(shù)據(jù)保護技術(shù)實踐基于產(chǎn)品與服務(wù)，事前事中事后全防護31根

據(jù)IBM最新發(fā)布的《2023年數(shù)據(jù)泄露成本報告》,數(shù)據(jù)泄露的平均成本創(chuàng)下445萬美

元

的歷史新高，較過去3年均值增長了15%。某餾行被處商420萬

銀保監(jiān)1號物單538億務(wù)數(shù)露，0.177比特形

某反聯(lián)網(wǎng)平臺數(shù)面法露同絡(luò)安全法個人信息保護法數(shù)據(jù)安全法密碼法查

金

護

是O

要

全側(cè)陰

安

全

條商用密得管理條例等保關(guān)保數(shù)評密評信創(chuàng)安全產(chǎn)業(yè)自身數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展階段性(歷史是先發(fā)展再治理，今天已到拐點)、

和自身特殊性(經(jīng)濟學(xué)外部效應(yīng)帶來的密集法律法規(guī)),形成市場非線

性增長驅(qū)動力。數(shù)據(jù)入表財政部《企業(yè)數(shù)據(jù)資源相關(guān)會計處理暫行規(guī)定

》,將數(shù)據(jù)入財務(wù)報表并體理其真實價值與業(yè)

務(wù)

責(zé)

獻

，對數(shù)據(jù)資源確認范圍和會計處理適用

準則等作出規(guī)定，2024年1月起施行。加快發(fā)展數(shù)字經(jīng)濟，促進數(shù)字經(jīng)濟和實體經(jīng)濟深度融合，打造具有國

際競爭力的數(shù)字產(chǎn)業(yè)集群。健全國家安全體系，強化經(jīng)濟、重大基礎(chǔ)設(shè)施、金融、網(wǎng)絡(luò)、數(shù)據(jù)、生物、

資源、核、太空、海洋等安全保障體系建設(shè)。信息技術(shù)產(chǎn)業(yè)國際形勢變化帶來的空前安全需求，重要性(數(shù)字安全和幾乎全部安全

領(lǐng)域相交)和長期性(未來幾十年新常態(tài))?？傮w國家安全觀7EE安全需求：內(nèi)在風(fēng)險、外部合規(guī)、增量價值外部合規(guī)：“五法一典”過程與結(jié)果雙合規(guī)經(jīng)濟學(xué)外部效應(yīng)：數(shù)據(jù)泄露給他人造成損害，對企業(yè)影響反而不大。解決

辦法是通過立法，讓“防數(shù)據(jù)泄露”成為公共安全產(chǎn)品，類似環(huán)保。內(nèi)在風(fēng)險：數(shù)據(jù)風(fēng)險如影隨形伴生數(shù)據(jù)處理增量價值：“數(shù)據(jù)入表”讓安全從成本走向價值現(xiàn)在，過數(shù)報安全手段消風(fēng)片，在新會

計準下可以讓數(shù)據(jù)成為企業(yè)實實在在的_

表內(nèi)資戶"過去，數(shù)通過提升運營效率問接為企業(yè),而生俱定的風(fēng)險證數(shù)銀成為企業(yè)

不可部視的表外負值二十大報告國家安全機關(guān)破獲段國首例涉及高鐵迅行安全

的危害國家安全類案件2億備中國公我數(shù)據(jù)在暗網(wǎng)被公開售賣畫

數(shù)據(jù)外發(fā)合規(guī)風(fēng)險數(shù)據(jù)安全建設(shè)面臨“兩難”:·

數(shù)據(jù)保護體現(xiàn)為面向應(yīng)用的功能型安全需求，要在應(yīng)用中融合實現(xiàn)，但改造存量應(yīng)用成本高、風(fēng)險大、周期長，新應(yīng)用的業(yè)務(wù)開發(fā)與安全排期也不匹配，安全機制總是滯后或缺失·

而數(shù)據(jù)保護不落實，則合規(guī)風(fēng)險越來越大、因泄露導(dǎo)致的業(yè)務(wù)風(fēng)險會快速累積身份鑒別密級標識

以網(wǎng)絡(luò)為中心的安全數(shù)據(jù)分類數(shù)據(jù)安全成為當前建設(shè)重點零信任網(wǎng)絡(luò)SIEM端點安全IDS防火墻落地痛點：安全建設(shè)從網(wǎng)絡(luò)到數(shù)據(jù)，安全和業(yè)務(wù)紐結(jié)纏繞難以改造數(shù)據(jù)態(tài)勢解密細控泄露檢測

數(shù)據(jù)審計

數(shù)據(jù)鑒權(quán)

存儲加密通信加密數(shù)據(jù)過量訪問風(fēng)險業(yè)務(wù)操作身份風(fēng)險數(shù)據(jù)違規(guī)外發(fā)風(fēng)險未授權(quán)的數(shù)據(jù)訪問風(fēng)險運維人員

內(nèi)控風(fēng)險業(yè)務(wù)人員越權(quán)訪問風(fēng)險終端管控移動安全反病毒沙箱檢測VPN訪問審計重要

數(shù)據(jù)脫敏以數(shù)據(jù)為中心的安全風(fēng)險簽名數(shù)據(jù)訪問內(nèi)控風(fēng)險33平臺主界面產(chǎn)品體系：免改造平臺靈活交付多重安全能力，易部署易擴展數(shù)據(jù)審計追溯系統(tǒng)數(shù)據(jù)安全合規(guī)系統(tǒng)管理：合規(guī)內(nèi)控、治理評估、迎接檢查技術(shù)：滿足數(shù)掘處理活動認證要求數(shù)據(jù)安全主平臺控制面安全度略

集中式管控、分布式保護

密鑰管理數(shù)據(jù)脫敏系統(tǒng)收擊行為識B收擊特征溪化安全告臂申計分級分類處理響應(yīng)處理聯(lián)動檢到響應(yīng)可視化數(shù)據(jù)資原識別數(shù)據(jù)樣本抽取敏感數(shù)據(jù)識別資產(chǎn)風(fēng)險評估數(shù)據(jù)分類分級岐感資產(chǎn)可視免改造密碼機面向密評密改合規(guī)場景數(shù)據(jù)安全網(wǎng)關(guān)面向數(shù)據(jù)安全實戰(zhàn)防護產(chǎn)品形態(tài)數(shù)據(jù)檢測響應(yīng)系統(tǒng)數(shù)據(jù)詩問儲存

共事接口審計數(shù)掘?qū)С鏊?/p>

文件下醒水印數(shù)據(jù)資產(chǎn)管理系統(tǒng)數(shù)據(jù)加密系統(tǒng)動態(tài)脫敏的態(tài)稅破營露進騰身份喜陰存律加密輻點解出解密損權(quán)99梁數(shù)據(jù)安全SDK集成安全能力前臺系統(tǒng)

后臺系統(tǒng)

CipherSuite序非結(jié)構(gòu)化數(shù)據(jù)應(yīng)用代理AOE

插件模塊

保護結(jié)構(gòu)化數(shù)據(jù)數(shù)據(jù)安全管理平臺用戶提供用戶訪問傳輸加工敏捷部署：旁路平臺結(jié)合主路控制面，免改造應(yīng)用攔截數(shù)據(jù)施加保護數(shù)據(jù)資產(chǎn)管理系統(tǒng)使用存儲數(shù)據(jù)審計追溯系統(tǒng)KMS密管系統(tǒng)收集MySQL

文件系統(tǒng)/數(shù)據(jù)庫結(jié)構(gòu)化數(shù)據(jù)訪問

DBDB

代理AOE代理模塊保護結(jié)構(gòu)化數(shù)據(jù)TDE/UDF

模

塊保護結(jié)構(gòu)化數(shù)據(jù)TFE/FDE模

塊保護非結(jié)構(gòu)化數(shù)據(jù)

CRM

應(yīng)用公開35TFE文件安全模塊

FDE全磁盤加密密文應(yīng)

用程序1未授權(quán)進程只能讀密文FE安全模塊讀取文件明文數(shù)據(jù)安全管理平臺

os密

文磁盤存儲密文密鑰管理系統(tǒng)模15田nl_8000215000231211400025412095000002173807032198769D5yL118htn

0

業(yè)3/4071j2Yh0/s/Mmnyet1Ba2/10024075662916066550413304994219T

144貿(mào)e26640

十戶

020王"

86馬

”

se0

非常有

020.024000ogG常容N8OWkdylyOo813570417164菲常容u

1mgp9914735816218非?？?vBzWU9gmS4e10250726110非覺容391vtoguH313156901590非堂容0s4WUBamgG+11965283955非堂客4GWVSVo2yT常容”urs·的

8

·

owanuLj1eTs?010910051091000000109100010910000109100010V400150n421100000021950210000084387700002190159謂

理

氣

者

即

里

帝

里

等

事430041…096事

毒

告

事

事

柔

壹

音

:存儲

使用

加工

傳輸

提供域內(nèi)數(shù)據(jù)：存儲加密、使用解密/脫敏不影響業(yè)務(wù)人員使用、不影響DBA

運維支持ABAC

的訪問控制策略，實

現(xiàn)用戶與字段文檔級防護結(jié)構(gòu)化數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)應(yīng)用服務(wù)器AOE插件主體到人細粒度

訪問控制國峰5217A林21047中量樹大街面向用戶側(cè)動態(tài)脫敏1-jfn371n41lda43面向服務(wù)側(cè)存儲加密密鑰管理系統(tǒng)數(shù)據(jù)安全管理平臺皮用

應(yīng)用程序2

程序3用戶態(tài)DBA工具查看脫敏數(shù)據(jù)應(yīng)用查看脫敏后數(shù)據(jù)DBA

工具查看密文應(yīng)用看到密文DE安全模塊內(nèi)核態(tài)應(yīng)

用

程序2用戶志AOE代理客體到字段授權(quán)進程可

讀取文件明文數(shù)據(jù)庫應(yīng)用

程序3竊取數(shù)據(jù)磁盤存

儲密文掛載磁盤或卷后可用戶3密文內(nèi)核態(tài)程序1明文明文os控防數(shù)據(jù)持有者/提供方防無關(guān)方源數(shù)據(jù)庫

共享數(shù)據(jù)管理系統(tǒng)

共享數(shù)據(jù)庫數(shù)據(jù)受控共享平臺專屬密鑰加密密文共享數(shù)據(jù)庫D.檢測數(shù)據(jù)接收方密文專用加解密模塊應(yīng)用系統(tǒng)專用DBA工具P.

防

護有限明文客戶訪問端1.識別數(shù)據(jù)已成為企業(yè)間可以交易的商品，但交易后存在“數(shù)據(jù)失控”問題困擾著數(shù)據(jù)持有者：·

數(shù)據(jù)的接收方有沒有對數(shù)據(jù)進行濫用?·

對方有沒有再次將數(shù)據(jù)外發(fā)給第三方?·

這些數(shù)據(jù)在接收方的有效期如何控制?公開/刪

除提供傳輸加工使用存儲收集數(shù)據(jù)持有方數(shù)據(jù)受控共享平臺共享數(shù)據(jù)管理系統(tǒng)共享數(shù)據(jù)庫密文存儲

使用

加工

傳輸

提供專屬安全環(huán)境業(yè)

務(wù)

查

詢

環(huán)境專屬安全環(huán)境業(yè)

務(wù)

查

詢

環(huán)境跨域數(shù)據(jù)：輕改造落地“數(shù)據(jù)可見不可轉(zhuǎn)”業(yè)務(wù)部門下屬部門

業(yè)務(wù)合作機構(gòu)外協(xié)治理團隊

外協(xié)運維團隊

網(wǎng)絡(luò)黑客組織R響應(yīng)

R.恢復(fù)

C.反制

372.在線場景：實現(xiàn)數(shù)據(jù)可查不可數(shù)據(jù)查詢方數(shù)據(jù)查詢方1.離線場景：實現(xiàn)數(shù)據(jù)可見不可轉(zhuǎn)相關(guān)方8指標免開發(fā)改造的本方案(以加密為例)改造應(yīng)用方案(以加密為例)數(shù)據(jù)庫外掛安全方案(以加密為例)實施成本實施工作量小，免改造應(yīng)用代碼實施工作量大，需改造應(yīng)用代碼，集成加密機客戶端SDK實施工作量中，需針對目標數(shù)據(jù)庫的每個版本做適配可靠性可靠性高，插件成為應(yīng)用程序的一部分，不單獨啟進程，插件可靠性取決于應(yīng)用自身可靠性可靠性中，數(shù)據(jù)需要傳輸給集中部署的加密機進行加解密，

形成性能瓶頸和單點故障風(fēng)險可靠性低，外掛模塊需要在數(shù)據(jù)庫服務(wù)器單獨啟進程，增

加了單點故障風(fēng)險，同時需要對數(shù)據(jù)庫改表名、加規(guī)則性能性能高，基于高性能國密算法、脫敏算法性能中，需要將數(shù)據(jù)傳入傳出加密機，額外增加網(wǎng)絡(luò)延時性能低，針對字段添加觸發(fā)器和多層視圖兼容性支持絕大多數(shù)數(shù)據(jù)庫，與數(shù)據(jù)庫解耦支持絕大多數(shù)數(shù)據(jù)庫，取決于SDK編程語言類型僅支持Oracle等部分數(shù)據(jù)庫，對國產(chǎn)數(shù)據(jù)庫、NoSQL、

乃至DB2、SQL

Server等兼容性差數(shù)據(jù)流不改變原數(shù)據(jù)流轉(zhuǎn)路徑和網(wǎng)絡(luò)拓撲，免改造模塊

原地加解密數(shù)據(jù)、脫敏數(shù)據(jù)改變數(shù)據(jù)流轉(zhuǎn)路徑，明文先經(jīng)過SDK傳入到加密機，加密

后將密文返回SDK,最終存入數(shù)據(jù)庫改變數(shù)據(jù)流轉(zhuǎn)路徑，明文先經(jīng)過外掛模塊傳入到加密機，加密后將密文返回外掛模塊，最終存入數(shù)據(jù)庫擴展性可靈活擴展，統(tǒng)一可視化策略管理，橫向覆蓋更

多應(yīng)用，不影響已部署應(yīng)用的加解密性能擴展成本高，加密策略需要通過硬代碼實現(xiàn)，任何策略改

動，都需要改動代碼，不靈活而且風(fēng)險大擴展成本中，需適配新數(shù)據(jù)庫及改表名，對集中式加密資

源增加壓力，會分攤到已部署數(shù)據(jù)庫的加解密算力應(yīng)用升級影響不影響應(yīng)用升級，加解密等功能與應(yīng)用輕耦合應(yīng)用升級需要維護加密代碼，加解密與應(yīng)用代碼緊耦合應(yīng)用升級要評估數(shù)據(jù)庫，占用數(shù)據(jù)庫服務(wù)器寶貴性能資源應(yīng)用系加密機用戶

應(yīng)用系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)庫運維端管理平臺+KMS用戶

應(yīng)用系統(tǒng)技術(shù)對比：“主路型數(shù)據(jù)安全”典型路線數(shù)據(jù)庫38應(yīng)用服務(wù)端數(shù)據(jù)庫用戶端脫敏后數(shù)據(jù)免改造數(shù)據(jù)安全模塊非授權(quán)用戶無法獲取明文GBASE達夢數(shù)據(jù)庫SQLServerFanset

redis

用戶端數(shù)據(jù)安全管理平臺

密鑰管理系統(tǒng)數(shù)據(jù)庫

管理員覆蓋事前事中事后的

防繞過保護機制方案優(yōu)勢：兼容多、交付快、防護好免改造應(yīng)用敏捷實施sQLiteORACLEDATABASEteradata.Grenplum適應(yīng)大多數(shù)企業(yè)應(yīng)用架構(gòu)Java/C/Python等應(yīng)用服務(wù)數(shù)據(jù)錨點解密

強制細控消除數(shù)據(jù)庫側(cè)

安全威脅基于屬性的

訪問控制南大通用數(shù)據(jù)庫39主平臺：對流動數(shù)據(jù)的高覆蓋率識別與控制免改造交付多重安全能力，易部署易擴展，實現(xiàn)安全與業(yè)務(wù)有機融合關(guān)系型數(shù)據(jù)率線收集離線收集

NoSQLSQL

HDFS數(shù)據(jù)安全態(tài)勢感知數(shù)據(jù)安全主平臺ClpherGatewoy統(tǒng)一策略管理加密脫敏模塊結(jié)構(gòu)化數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)半結(jié)構(gòu)化數(shù)據(jù)OLTP離線計算白單機存儲全文檢索引擎任務(wù)調(diào)度系統(tǒng)HOLAPMOLAP實時收集

關(guān)系型數(shù)據(jù)庫自分布式存儲可視化工具

網(wǎng)頁數(shù)據(jù)實時收集數(shù)據(jù)庫對庫同步可視化平臺中間件傳輸接口傳輸數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)集成文件傳輸可視化庫實時收集實時計算資源管理日志數(shù)據(jù)日志數(shù)據(jù)數(shù)據(jù)清洗ROLAP40HW攻防演練網(wǎng)絡(luò)攻破后數(shù)據(jù)不泄露結(jié)果合規(guī)數(shù)據(jù)安全風(fēng)險評估

數(shù)據(jù)安全管理認證

個人信息保護認證數(shù)據(jù)安全能力成熟度認證將偶發(fā)的、高技術(shù)水平的對抗風(fēng)險，轉(zhuǎn)化成常態(tài)的、可重復(fù)驗證的非對抗風(fēng)險過程合規(guī)形成實戰(zhàn)

最佳實踐

對抗免改造數(shù)據(jù)安全實現(xiàn)“

一

實戰(zhàn)、雙合規(guī)”實戰(zhàn)之三體密

評商用密碼應(yīng)用安全性評估：

合規(guī)、正確、有效敏捷交付國密合規(guī)改造實戰(zhàn)是檢驗安全能力的唯一標準實戰(zhàn)對抗41自然資源數(shù)據(jù)保護國密合規(guī)實踐一站式密改套餐敏捷交付42《密碼法》第二十七條規(guī)定：運營者應(yīng)當自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等保測評制度相銜接，避免重復(fù)評估、測評?！睹艽a法》第三十七條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者未按照要求使用商用密碼，或者未按照要求開展商用密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責(zé)的主管人員處一萬元以上十萬

元以下罰款?！丁笆奈濉睌?shù)字經(jīng)濟發(fā)展規(guī)劃》,明確提出支持開展常態(tài)化安全風(fēng)險評估，加強網(wǎng)絡(luò)安全等級保護和密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估，指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合

規(guī)

性

、

正

確

性

、

有

效

性

進行評估。中華人民共和國

密

碼

法含草案說明中國法制出版社密評合規(guī)提供安全基線計劃

(Plan)密碼應(yīng)用方案制定實施(Do)

檢查(Check)改進(Act)改

進信息系統(tǒng)運行監(jiān)

控密碼應(yīng)用方案

建設(shè)實施初次/

定期/

應(yīng)急評估方

案

評

估整

改43·“十四五”時期，是數(shù)字化引領(lǐng)密評高質(zhì)量發(fā)展

重要機遇期，密評加速推廣發(fā)展。本階段，密評

在金融、政務(wù)、教育、電信、水利等行業(yè)將實現(xiàn)

規(guī)?；季?，在評估機制、試點機構(gòu)規(guī)模、技術(shù)

自主創(chuàng)新能力、檢測認證和標準支撐體系、產(chǎn)業(yè)

生態(tài)環(huán)境、產(chǎn)融合作試點、人才隊伍建設(shè)等方面

將形成較強綜合競爭力，為數(shù)字經(jīng)濟高速發(fā)展構(gòu)

建安全屏障。2016.9-2017.4再次集結(jié)期·

國密局成立密評領(lǐng)導(dǎo)小組，確定密評體系總體架構(gòu)，

起草14項制度文件?！?017年9月27日，國密局印發(fā)《商用密碼應(yīng)用安全性測評機構(gòu)管理辦法(試行)》等，密評制度體系初步

建立?！?/p>

國密局成立起草小組，起草《商用密碼應(yīng)用安全性評

估管理辦法(試行)》?！?017年4月22日，國密局印發(fā)《關(guān)于開展密碼應(yīng)用安

全性評估試點工作的通知》(國密局(2017)138號

文)在七省五行業(yè)開展密評試點。體系建設(shè)期2017.5-2017.92016-2021試點建設(shè)期·2017年10月，商用密碼應(yīng)用安全性評估試點工作開展；2018年2月，

國密局經(jīng)過評審，第一批共有10家測評機構(gòu)符合測評機構(gòu)能力要求。.2019年上半年，對第一批密評試點做了評審總結(jié)，對參與試點的27家

機構(gòu)進行能力再評審，擇優(yōu)選出16家擴大試點，對另11家機構(gòu)給予6

個月的能力提升整改期?！?019年10月，開啟第二批密評試點工作；2020年7月，評估試點機構(gòu)

增至24家。·2021年6月，國家密碼管理局第42號公告，發(fā)布最新的《商用密碼應(yīng)

用安全性評估試點機構(gòu)目錄》,明確48家商用密碼應(yīng)用安全性評估試

點機構(gòu)。·

2

0

0

7

年

1

1

月

2

7日

，國家密碼管理局印發(fā)11號文

件《信息安全等級保護商用密碼管理辦法》,要

求信息安全等級保護商用密碼測評工作由國家密

碼管理局指定的測評機構(gòu)承擔(dān)?！?/p>

2009年12月15日，國家密碼管理局印發(fā)管理辦

法

實

施

意

見

，明確與密碼測評有關(guān)的要求。推廣發(fā)展期2021年起制度奠基期2007.11-2016.8密評發(fā)展歷程2017.10-2021試點開展期44商用密碼應(yīng)用安全性評估管理辦法(試行)國家密碼管理局，2017年發(fā)布信息安全等級保護商用密碼管理辦法國家密碼管理局，2007年11月27日發(fā)布信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南GBI42072023信息系統(tǒng)密碼應(yīng)用測評過程指南GM/T0116-2021,國家密碼管理局發(fā)布商用密碼應(yīng)用安全性測評機構(gòu)管理辦法

(試行)國家密碼管理局，2017年9月27日發(fā)布商用密碼檢測機構(gòu)管理辦法國家密碼管理局_

2023年6月9日發(fā)布_信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求GB/T43206-2023密碼術(shù)語GM/T0001-2013,國家密碼管

理局發(fā)布商用密碼管理條例(2023年正式稿)國務(wù)院，2023年7月1日藍行_促進商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的若干措施國家密碼管理局，2021年發(fā)布信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GBT39786-2021,國家市場監(jiān)督管理總局、國家標準化

管理委員會發(fā)布信息系統(tǒng)密碼應(yīng)用基本要求GM/T0054-2018,國家密碼管理局發(fā)布信息系統(tǒng)密碼應(yīng)用方案評估規(guī)范T/GDCCA0001-2022,廣東省商用密碼協(xié)會發(fā)布商用密碼應(yīng)用安全性測評機構(gòu)能力評審實

施細則(試行)國家密碼管理局，2017年9月27日發(fā)布_商用密碼應(yīng)用安全性評估管理辦法國家密碼管理局，2

023年6

月9日發(fā)布注：虛線框中文件是2023年新發(fā)布的版本測

評政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工

作指南在評聯(lián)委會，

2020年9月24日發(fā)布商用密碼應(yīng)用安全性評估報告模板(2023版)評金，2023年1月20日發(fā)市信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引中國在碼學(xué)會密評聯(lián)委會，2021年12月17日發(fā)布人

員密碼技術(shù)應(yīng)用員國家職業(yè)技能標準人力資源社會保障部辦公廳和國家密碼管理局辦公室，2022年7月6日發(fā)布實

施信息安全等級保護商用密碼技術(shù)實施要求國家密碼管理局，2009年發(fā)布信息系統(tǒng)密碼應(yīng)用實施指南(報批稿)機構(gòu)商用密碼應(yīng)用安全性評估機構(gòu)能力要求和評價規(guī)范(報批稿)商用密碼應(yīng)用安全性評估監(jiān)督檢查規(guī)范(

送

審

稿)管理信息系統(tǒng)密碼安全管理體系(送審稿)工業(yè)控制系統(tǒng)密碼應(yīng)用技木要求(送審稿)商用密碼應(yīng)用安全性評估行業(yè)自律公約密評聯(lián)重金，2021年發(fā)布商用密碼應(yīng)用安全性評估量化評估規(guī)則(2023版)密評聯(lián)委會，2023年7月17日發(fā)布商用密碼應(yīng)用安全性評估FAQ

(

第

三

版)密評聯(lián)委會，2023年10月26日發(fā)布法規(guī)政策國標行標-團

標

-網(wǎng)絡(luò)安全法第十二屆全國人民代表大會常務(wù)委員會第二十四次

會議通過，2017年6月1日起施行_密

碼

法第十三屆全國人民代表大會常務(wù)委員會第十四次會

議通過，2020年1月1日起施行商密有關(guān)法律法規(guī)信息系統(tǒng)密碼應(yīng)用方案評估過程指南I/GDCCA0002-2022,廣東省商用密碼協(xié)會發(fā)布個人信息保護法數(shù)據(jù)安全法第十三屆全國人民代表大會常務(wù)委員會第三十次會

議通過，2021年11月1日起施行第十三屆全國人民代表大會常務(wù)委員會第二十九次

會議通過，2021年9月1日起施行指導(dǎo)性文件法律

一第

一

章總則1.立法目的2.密碼定義3.堅持總體國家安全觀4.統(tǒng)一領(lǐng)導(dǎo)5.分級負責(zé)6.分類管理7核心密碼、普通密碼管理8.商用密碼管理9.創(chuàng)新發(fā)展、人才建設(shè)10.密碼安全教育11.納入規(guī)劃和經(jīng)費預(yù)算上

.禁止行為13.管理原則16.工作監(jiān)督檢查19.提供免檢便利21.管理原則24.標準法律效力27.關(guān)基使用要求30.行業(yè)協(xié)會職責(zé)第四章法律責(zé)任32.從事密碼違法活動追責(zé)33.核心、普通密碼違法使用處罰34.核心、普通密碼泄密等處罰35.商用密碼檢測、認證違法處罰36.商用密碼市場準入違法處罰37.關(guān)基運營者處罰38.進出口處罰39.電子政務(wù)電子認證服務(wù)處罰40.密碼管理部門工作人員處罰41.刑事責(zé)任、民事責(zé)任44.施行時間密碼法第二章核心密碼、普通密碼14.使用要求17.安全協(xié)作機制和問題查處20.建立安全審查制度第三章商用密碼22.標準體系25.檢測認證28.進口許可和出口管制31.事中事后監(jiān)管和保密義務(wù)第五章附則43.解放軍和武警部隊密碼立法15.安全保密管理18.工作機構(gòu)和人員管理23.國際標準化26.產(chǎn)品和服務(wù)市場準入管理29.電子政務(wù)電子認證服務(wù)《密碼法》總結(jié)構(gòu)42.密碼管理規(guī)章4650.未經(jīng)認定的商密檢測

或電子認證服務(wù)處罰54.電子認證服務(wù)機構(gòu)違反法律

和密碼技術(shù)規(guī)范的處罰58.進出口商密的處罰62.網(wǎng)絡(luò)運營者處罰

66.刑事責(zé)任、民事責(zé)任51.商密檢視機構(gòu)涯為處罰55.電子政務(wù)電子認證服務(wù)機構(gòu)處罰59.竊取加棗信息、非法入侵商密系統(tǒng)等違法活動的處罰63.阻撓商密監(jiān)督管理的處罰52.商密認證機構(gòu)違法行為處罰56.電子政務(wù)電子認證服務(wù)機構(gòu)無法自證的承擔(dān)賠償責(zé)任60關(guān)基運營者違法處罰64.國家機關(guān)違法行為的處罰53.銷售/振供未經(jīng)檢測認證或不合格的產(chǎn)品服務(wù)處罰57.政務(wù)活動中不合規(guī)的電子認證處罰全審查的產(chǎn)品/服務(wù)的處65私碼理部門和工作人員的處罰第

三

章

檢

測

認

證12.商密檢測認13.商密檢測機14.檢測資質(zhì)取證體系

構(gòu)資質(zhì)認定

得條件質(zhì)申請流程

施要求

17.商密認證制度18.商密認證機19.商密認證實

20.網(wǎng)絡(luò)關(guān)健設(shè)備和兩絡(luò)構(gòu)能力要求

施要求

安全專用產(chǎn)品日錄

21.網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品使用要求第四章電子認證24.服務(wù)機構(gòu)資

質(zhì)認定第一章總則1.

目的2.適用范圍和關(guān)鍵定義3.監(jiān)管機構(gòu)4.人才培養(yǎng)5.宜傳教育6.學(xué)術(shù)和行業(yè)自律政府支持第二章科技創(chuàng)新與標準化7創(chuàng)新促進機制知識產(chǎn)權(quán)保護/鼓勵外商沒資合作8.成果轉(zhuǎn)化機制9.審查鑒定機制10.標準制定11.強制性和推薦性標準第九章附則67.條例施行日期第六章

應(yīng)用促進35.鼓勵各主體依法使用商密36.支持網(wǎng)絡(luò)產(chǎn)品7服務(wù)便用商密應(yīng)

用37.應(yīng)用促進協(xié)調(diào)機制38.關(guān)基密評要求39.關(guān)基商密產(chǎn)品/服務(wù)使用要求40.關(guān)基運三者采煙商密產(chǎn)品和服務(wù)的安全審查機制41.網(wǎng)絡(luò)運營者等保遵循7制足網(wǎng)絡(luò)安全等級保護密碼標準規(guī)范42.密評、關(guān)基檢測、等保加強

銜接避免重復(fù)評估25.認證資質(zhì)取得條件28.電子以務(wù)電子認證機構(gòu)服務(wù)

要求26

.

電于以分電于認證服務(wù)機構(gòu)資質(zhì)

申請流程29.電子認證信

任機制27.外商投資安

全審查30.電子簽名法

律效力46信用記錄、監(jiān)官、惡

戒、修復(fù)機制47.保密義務(wù)48.商密監(jiān)督管理49.舉報機制《商用密碼管理條例》總結(jié)構(gòu)第七章監(jiān)督管理43.監(jiān)督檢查職責(zé)44.監(jiān)督管理協(xié)作機制33.報關(guān)要求34.進出口許可申請材料及流程31.商用密碼進口許可、出口管制清單商用密碼管理條例32.進出口許可證45.監(jiān)督檢查職權(quán)15檢測機構(gòu)資16.商密檢測實0關(guān)基道言

宋

變第八章法律責(zé)任第五章進出口23.密碼使用要求22.能力要求國密合規(guī)改造方案適用于政務(wù)、金融、交通、運營商、醫(yī)療、教育、工業(yè)、能源、水利等多行業(yè)客戶開展商用密碼應(yīng)用安全性評估工作，支持關(guān)基、等保三級、政務(wù)等重要網(wǎng)絡(luò)與信息系統(tǒng)“三同步、

一評估”。②

密碼合規(guī)整改交付形態(tài)：

集成服務(wù)方案；密碼產(chǎn)品；密評工具箱a)結(jié)合GM/T0054和GB/T39786中實現(xiàn)要求，為客

戶提供完整的密評方案，確?？蛻魝?cè)密評和等保

工作同步；b)

可為客戶提供高性能加密組件，結(jié)構(gòu)化數(shù)據(jù)AOE

模

塊，非結(jié)構(gòu)化數(shù)據(jù)TFE模塊；③

密碼測評協(xié)同交付形態(tài)：

技術(shù)支持服務(wù)結(jié)合客戶側(cè)已部署密碼設(shè)施情況和密碼應(yīng)用

情況，協(xié)助客戶建立全生命周期密鑰管理，以及配套

的密碼管理制度、人員培訓(xùn)、技能提升等。網(wǎng)絡(luò)接入?yún)^(qū)安壘基礎(chǔ)設(shè)施區(qū)同關(guān)①

密碼方案咨詢

交付形態(tài)：