规章制度
中国港口协会数据信息安全管理办法
中国港口协会数据信息安全管理办法
第一条 总则
鉴于中国港口协会(简称协会)所开展的部分业务与行业信息数据密切相关,为保证这些数据信息的安全及合法使用,根据《中华人民共和国网络安全法》等法律法规,以及协会《网络及新媒体平台管理办法》《信息发布管理办法》等制度的相关规定,制定本办法。
第二条 适用范围
本办法适用于协会各职能部门及分支机构。
本办法适用于管理保存于计算机及备件、移动终端或存贮器具、互联网系统等数据信息。
本办法适用于数据信息的收集、加工、存贮保管、阅读、传送分发、修订等应用过程。
第三条 数据信息基本范围包括:
(一)会员信息;
(二)财务信息;
(三)涉及协会工作的文档(文件、协议、报告、其他过程资料等);
(四)协会组织的相关活动收集的企业及个人信息(各类统计、调研、信用体系建设等);
(五)购置或项目合作中协会具有权限管理的信息;
(六)其他与协会工作相关的数据信息。
第四条 数据信息所有权
凡以协会及其分支机构名义采集、统计、汇总、制定的数据信息其所有权归本协会,由协会相关职能部门负责管理,并在政策、法律框架内依规合理使用。任何机构或个人不得擅自扣留、调取、使用或对外扩散。
第五条 数据信息分级管理和使用
(一) 数据信息实行两级分级管理:内部信息、公开信息。
(二) 内部信息是指协会不得对外公开发布传送、阅读,仅限于协会领导、相关部门或相关分支机构阅读和执行的数据信息。包括并不限于以下信息:
1. 人事档案资料;
2. 财务会计信息;
3. 会议纪要、内部文件函件和报告(不含标注为公开信息);
4. 协会业务中采集或加工的数据信息(不含标注为公开信息);
5. 协议、合同的正本、副本和附件内容;
6. 业务工作中的过程文件、函件和报告,公开征求意见稿除外;
7. 会员信息资料的详细内容(会员单位名称和地址信息除外);
8. 协会接收的国家部委并标注机密、内部传阅的文件、通知、报告等,以及向国家有关部委上报、提交的协会文件资料;
9. 协会认定或标注为内部的其他信息。
(三) 公开信息是指可公开发布传送和不限制他人阅读的协会信息。
1. 协会面向会员单位或行业发布的信息。包括协会章程、组织架构、相关制度,会员代表大会、理事会的会议通知和会议公告,协会各类活动通知,行业统计分析报告等;
2. 转发的相关部委的文件等;
3. 对外宣传资料;
4. 会员名录(单位名称和地址);
5. 协会制定的团体标准;
6. 官网、公众号等发布的信息;
7. 协会认定为可公开发布的其他信息。
(四) 数据信息按照其项目类别由协会各职能部门负责管理,数据信息的调用应由使用者向职能部门提出申请,明确其用途、范围、时限等,经部门审核后提交协会主管领导审批。
(五)内部信息仅针对特定对象进行传送分发,禁止以微信群或其他即时信息群方式进行非特定对象的传送分发。
第六条 数据信息的安全性要求
(一) 各部门及分支机构对本部门数据信息的完整性和安全性负责,防止数据信息丢失。个人电脑的数据信息应定期备份;网站服务器上的相关信息也应制定备份方案;
(二) 数据信息应建立信息安全机制,遵循技术经济条件综合因素之下,选择实施包括并不限于物理隔离、按等级加密和定期备份数据保存、分级登录和密码管理、防攻击和应急处理机制、灾备、日志信息等,信息安全机制的内容需由信息管理部门向协会办公室进行备案,实行部门/分支机构负责,责任到人。
(三) 加强网站服务器的安全防范措施,监测、防御、处置来源于境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用。
(四) 发生信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,应当立即采取补救措施,并及时告知协会。
(五)一旦发生数据信息安全事故,且造成恶劣影响的,协会将根据实际情况对当事人及所在部门和分支机构进行处罚;涉及泄露国家秘密信息的数据活动,按照国家有关规定执行。
第七条 数据信息的项目管理要求
(一) 各部门及分支机构负责人为本单位数据信息安全第一责任人,对本部门或机构数据安全负责;
(二) 相关人员,包括业务(项目)执行人员,后台维护管理人员,应对本人所负责的相关业务或项目的数据信息安全负责;
(三) 各部门、分支机构经批准或授权开展、参与协会信息数据相关业务的,应与协会签署《信息数据安全管理责任书》。
(四) 涉及与协会相关的数据活动的项目,在项目启动前由协会与数据活动合作方之间签定相关的合同协议,内容中应明确数据信息安全责任。
涉及重要数据信息的项目应另行签署保密协议,明确数据信息使用规范,对数据调取修改查阅存贮等重要功能性配置和使用,要制定明确的涉及责任人的安全性责任、量化信息接触人和权限管理制度,并及时上报备案登记,分级管理责任到人;
(五) 公开收集的企业数据、行业数据或个人敏感信息的,应当明确数据安全责任人,并明确具体的目的、种类、数量、频度、方式、使用范围等;
(六) 各部门应提升工作人员数据信息安全风险防范责任意识,向外界传递相关数据信息前,应评估可能带来的安全风险;
公开信息发布需经部门负责人同意;
内部信息发布需报协会负责人批准;
转发的信息应对信息的来源、完整性和安全性承担责任。
(七) 数据信息的发布应遵循本协会《信息发布管理办法》相关规定。
第八条 本办法自中国港口协会会长办公会会议审议通过后施行。
附件:中国港口协会信息数据安全管理责任书
中国港口协会信息数据安全管理责任书
项目名称 | |||
承办单位 | 责任人 | ||
起止时间 | |||
项目负责内容 | |||
承诺责任: 一、遵守中国港口协会《数据信息安全管理办法》的各项要求。 二、严格按照项目权限和计划开展业务,认真履行职责。 三、做好与项目相关数据信息的日常监督管理,责任到人。 四、对数据信息的采集、使用、发布等严格按照本办法规定的流程执行。 五、充分重视数据信息风险防范工作,制定相关制度和措施。当计算机、网络系统出现安全事故,数据信息可能发生损毁、泄露时,将立即采取修补防范措施;发展重大安全事故将立即报告协会和国家网监管理部门。 六、若发生违反国家相关法律法规及本办法相关规定的安全责任事故,且造成协会名誉和利益损失的,本单位将承担相应法律责任和赔偿责任,并接受协会处罚。
| |||
本单位将严格执行协会颁布的《数据信息安全管理办法》各项规定,遵守上述承诺。
责任人:(签章) 年 月 日 |
关注官方微信
沪公网安备31022102000209号 沪ICP备05056019号