信息安全技术数据出境安全指引-全国信息安全标准化技术委员会.pdf

资源描述

《信息安全技术数据出境安全指引-全国信息安全标准化技术委员会.pdf》由会员分享，可在线阅读，更多相关《信息安全技术数据出境安全指引-全国信息安全标准化技术委员会.pdf（28页珍藏版）》请在三一文库上搜索。

1、中华人民共和国国家标准 GB/T XXXX XXXX 信息安全技术数据出境安全评估指南 Information Security Technology- Guidelines for Data Cross-Border Transfer Security Assessment （草案） XXXX - XX- XX发布 XXXX - XX- XX实施附件: ICS 35.040 L80 GB/T XXXX XXXX I 目次前言 . II 引言 III 信息安全技术数据出境安全评估指南. 1 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 评估流程 2 4.1 自评估启动 .

2、2 4.2 制定数据出境计划. 2 4.3 评估数据出境计划的合法正当和风险可控. 3 4.4 评估要点及方法. 3 4.5 评估报告 . 3 4.6检查修正 3 5 评估要点 3 5.1 合法正当 . 3 5.2 风险可控 . 4 5.2.1 概述 4 5.2.2 个人信息属性评估要点 4 5.2.3 重要数据属性评估要点 4 5.2.4 发送方数据出境的技术和管理能力 5 5.2.5 数据接收方的安全保护能力 6 5.2.6 数据接收方所在国家或区域的政治法律环境 7 附录 A 重要数据识别指南 8 附录 B 个人信息和重要数据出境安全风险评估方法 . 19 参考文献. 23 II 前

3、言本标准按照 GB/T 1.1-2009 的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260 ）提出并归口。本标准起草单位：本标准主要起草人： III 引言近年来，随着互联网的蓬勃发展，数据流动无处不在。数据流动所产生的经济价值和社会价值凸显，这一过程中的安全风险也随之增加，国家安全、社会公共利益、个人隐私受到严重威胁，防范数据泄露和滥用所产生的风险日益紧迫。本标准规定了数据出境安全评估流程、评估要点、评估方法等内容，网络运营者按照本指南对其向境外提供的个人信息和重要数据进行安全评估，发现存在的安全问题和风险，及时采取措施，防止个人信息未经用户同意向

4、境外提供，损害个人信息主体合法利益，防止国家重要数据未经安全评估和相应主管部门批准存储在境外，给国家安全造成不利影响。 GB/T XXXX XXXX 1 信息安全技术数据出境安全评估指南 1 范围本标准对个人信息和重要数据出境安全评估的工作要求、方法流程、评估内容和结果判定进行了规范。本标准适用于网络运营者开展的个人信息和重要数据出境安全评估工作，也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估，可参考本标准。 2 规范性引用文件下列文件对于本文件的应用是必不可

5、少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术术语 GB/T AAAA 信息安全技术个人信息安全规范 3 术语和定义下列术语和定义适用于本文件。 3.1 网络运营者 network operator 本标准所指网络运营者，是指网络的所有者、管理者和网络服务提供者。 3.2 数据 data 本标准中所称数据是网络运营者在中华人民共和国境内运营中收集和产生的电子形式的个人信息和重要数据。 3.3 个人信息 personal information 以电子或者其他方式记录

6、的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置和行为信息等。 3.4 个人敏感信息sensitive personal information 一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。 3.5 重要数据important data 与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照附录A。 3.6 GB/T XXXX XXXX 2 数据出境 data cross-

7、boder transfer 将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。注：境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。 3.7 数据出境安全风险 risk of data cross-borders transfer 数据出境及再转移后被泄露、毁损、篡改、滥用等可能对国家安全、社会公共利益、个人合法利益带来的风险。 3.8 提供 provide 网络运营者主动向境外机构、组织或个人提供数据，或通过其他途径发布数据的行为，包括其用户使用网络运营者提供的产品或服务的功能，向境外机构、

8、组织或个人提供数据的行为。注：网络运营者提供已经被依法公开披露的数据除外。 3.9 自评估 self assessment 网络运营者依照国家法律法规和有关标准的规定，对数据出境组织开展安全评估活动。 3.10 数据脱敏处理 data desensitization 网络运营者对某些敏感数据通过脱敏规则进行数据变形处理，实现对敏感隐私数据的可靠保护。 3.11 数据保护能力 data protection capability 网络运营者在数据的存储、处理、传输过程中确保数据安全的能力。 4 评估流程 4.1 自评估启动网络运营者应在如下情况启动自评估： a）产品或服务涉及向境外机构、组织

9、或个人提供数据的； b）已完成数据出境安全评估的产品或业务所涉及的数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。 4.2 制定数据出境计划网络运营者应首先制定数据出境计划，计划的内容包括但不限于： a)数据出境目的、范围、类型、规模； b)涉及的信息系统； c)中转国家和地区（如存在）； d)数据接收方及其所在的国家或地区的基本情况； e)安全控制措施等。 GB/T XXXX XXXX 3 4.3 评估数据出境计划的合法正当和风险可控数据出境安全评估首先评估数据出境计划的合法性和正当性；数据出境活动不具有合法性和正当性，不得出境。在此基础上再

10、评估数据出境计划是否风险可控，有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。具体流程如图1。图 1 数据出境安全评估原理 4.4 评估要点及方法网络运营者需按照本标准第5章中的评估要点进行自评估，评估方法参考附录B；经评估，出境安全风险为极高或高的，个人信息和重要数据不得出境。 4.5 评估报告网络运营者在完成对数据出境计划的评估后，应形成评估报告，评估报告应至少保存5年。 4.6检查修正如数据出境计划不满足合法正当要求，或经评估后不满足风险可控的要求，网络运营者可修正数据出境计划，或采用相关措施降低数据出境风险，并重新开展自评估。注：可用于降低数据出境安全风险的措

11、施包括但不限于：精简出境数据内容、使用技术措施处理数据降低敏感程度、提升数据发送方安全保障能力、限定数据接收方的处理活动、更换数据保护水平更高的接收方、选择政治法律环境保障能力较高地区的数据接收方等。在进行相应调整后，可重新对数据出境进行安全风险评估。 5 评估要点 5.1 合法正当数据出境计划应同时满足合法性和正当性的要求： a)合法性包括： 1）不属于法律法规明令禁止的； 2）符合我国政府与其他国家、地区签署的关于数据出境条约、协议的； 3）个人信息主体已授权同意的，危及公民生命财产安全的紧急情况除外； 4）不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的

12、。 b)正当性包括： 1）网络运营者在合法的经营范围内从事正常业务活动所必需的； 2）履行合同义务所必需的； 3）履行我国法律义务要求的； GB/T XXXX XXXX 4 4）司法协助需要的； 5）其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的。 5.2 风险可控 5.2.1 概述评估数据出境计划的风险可控，应综合考虑出境数据的属性和数据出境发生安全事件的可能性： a)数据属性： 1）个人信息的属性，包括数量、范围、类型、敏感程度和技术处理情况等； 2）重要数据的属性，包括数量、范围、类型和技术处理情况等。 b)数据出境发生安全事件的可能性: 1）发送

13、方数据出境的技术和管理能力； 2）数据接收方的安全保护能力、采取的措施； 3）数据接收方所在国家或区域的政治法律环境。 5.2.2 个人信息属性评估要点 5.2.2.1 类型和敏感程度应识别个人信息中所包含的信息类型，并判断其涉及的个人敏感信息的数量。 5.2.2.2 数量应评估所涉及的个人信息主体数量以及所涉及的主要人群的群体特征，当数据出境涉及的个人信息主体数量达到或超过一定量级，或涉及某一特定群体时，个人信息会出现数据汇集后的衍生价值。 5.2.2.3 范围应评估出境个人信息范围是否符合最小化原则： a)向境外传输的个人信息应与出境目的相关的业务功能有直接关联。直接关联是指没

14、有该信息的参与，相应功能无法实现； b)向境外自动传输的个人信息频率应是与数据出境目的相关的业务功能所必需的最低频率； c)向境外传输的个人信息数量应是与数据出境目的相关的业务功能所必需的最低数量。 5.2.2.4 技术处理情况应对个人信息技术处理情况进行评估，具体包括： a)是否使用技术措施对个人信息进行了脱敏处理； b)脱敏效果是否有效可靠，达到了合理程度的不可逆。 5.2.3 重要数据属性评估要点 5.2.3.1 类型应评估重要数据类型，评估是否包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据、关键信息基础设施的系统漏洞、安全防护等

15、网络安全信息等出境后出现泄露或滥用等情形，将对国家安全和社会公共利益产生严重的影响的重要数据。 5.2.3.2 数量应评估重要数据出境数量，重要数据数量响其所蕴含的社会、经济价值，数量越大，发生泄漏、披露或滥用时，造成的国家安全危害和社会公共利益风险越大。 GB/T XXXX XXXX 5 5.2.3.3 范围重要数据范围应符合最小化原则： a)向境外传输的数据应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与，相应功能无法实现； b)向境外自动传输的数据频率应是与数据出境目的相关的业务功能所必需的最低频率； c)向境外传输的数据数量应是与数据出境目的相关的业务功能所

16、必需的最低数量。 5.2.3.4 技术处理情况应对重要数据技术处理情况进行评估，具体包括： a)是否使用技术措施对重要数据进行了脱敏处理； b)脱敏效果是否有效可靠，达到了合理程度的不可逆。 5.2.4 发送方数据出境的技术和管理能力 5.2.4.1 管理制度保障能力 a)安全管理制度: 1）具备数据出境安全管理体系，包括安全策略、管理制度、出境操作流程等； 2）安全策略管理文件中包含总体目标、重要数据的范围、出境原则、出境安全总体框架等； 3）各项数据出境安全管理制度中，应该覆盖数据的数量、范围、类型及其敏感程度的等内容； 4）对个人信息应体现分级的数据出境安全操作流程，包括出境流

17、程、后续安全保障等； 5）对重要数据实施严格的出境安全操作流程，包括出境流程、后续安全保障等。 b)人员管理机制: 1）指定专职人员，应在组织内部指定专门的数据出境安全管理人员，并确保其履行相应职责，包括但不限于：数据出境转移的审计、合规管理、评估报告的编写与提交、配合主管部门监督检查、处理有关纠纷等； 2）建立人员培训机制，应在组织内部建立人员培训机制，确保被培训人员达到培训要求，可以进行数据出境转移相关工作。 c)与数据接收方签订合同，内容应包括： 1）建立数据安全审计机制，制定审计要求，按照审计要求开展审计工作； 2）配合网络运营者或个人信息主体对数据出境活动进行合理调

18、查； 3）除法律规定外，在未获得网络运营者的授权以及个人信息主体知晓并同意前提下，数据接收方不得对数据进行处理、披露及再转移； 4）采用适当的技术安全措施以保障数据的保密性和完整性。 d)审计机制： 1）对数据出境保护策略和规程、处理、安全保护措施的有效性进行审计，并形成审计结果，审计结果应能支持事件的处置、应急响应和事后调查； 2）审计时应采用安全措施，防止非授权访问、篡改或删除。 e)应急预案： 1）当数据出境可能对数据主体权益产生危害时，应立即终止数据出境传输，并立即启动应急预案机制，采取相关措施保护数据主体的权益； 2）应立即将对数据主体权益产生威胁的行为、原因以及紧

19、急处置措施等相关信息上报给数据监管机构； 3）在数据监管机构判定紧急处置不合理或不必要时，网络运营者应立即按要求进行更正。 f)投诉与处置策略： 1）确保相关数据主体均可通过该机制对数据出境转移过程中的行为进行申诉； 2）指定具有相应权限的独立人员负责处理所有数据主体提出的申诉； 3）数据出境投诉受理及处理机制的流程等信息需向所有数据主体公开。 g)安全事件上报机制： GB/T XXXX XXXX 6 1）上报触发条件，包括发生数据泄露、数据遗失、数据接收方违约进行数据处理，以及一切可能危害国家安全、损害公共利益、违反法律或侵害数据主体权益的行为； 2）上报内容，包括发生紧急情

20、况的时间、数据类型、规模、内容等。 5.2.4.2 技术手段保障能力 a)总体安全防护技术手段 1）建立完善的数据传输保护措施； 2）在安全边界采用防护手段并进行定期安全评估和审核； 3）及时发现并修补安全措施存在的漏洞； 4）具备账户权限管理技术，杜绝数据的非授权访问。 b)数据出境日志留存，应预先建立数据出境日志留存机制，留存信息包括但不限于：审计报告、数据出境转移日志、数据被访问日志等。 5.2.5 数据接收方的安全保护能力 5.2.5.1 主体审查 a)应具有合法资质，如营业执照、组织机构代码证、税务登记证等； b)经营范围应与接收数据的类型、内容相一致； c)无重大违法记录

21、，包括大规模个人信息泄露事件及违规使用个人信息的记录等； d)针对重要数据，应对数据接收方的背景关系进行评估。 5.2.5.2 管理保障能力 a）组织建设： 1）应建立清晰的数据安全职能架构并定义数据安全职责； 2）应设置专职的数据安全合规团队，识别在数据接收阶段应符合的安全合规需求； 3）应制定数据安全职能工作规范，明确各职能岗位之间的协作关系，明确各职能岗位的运行配合机制。 b）制度流程： 1）应依据业务需求和合规性要求，制定并执行数据安全管理的顶层方针、策略； 2）应建立数据接收、存储、使用、传输、销毁的安全管理制度，提出各阶段的安全管理要求，并建立合理的机制保证制度

22、的制定、发布、修订工作开展的规范性； 3）应建立数据安全风险的防范、预警、应急处理、问责机制等； 4）应建立数据安全管理识别流程，对数据应得到的安全保障要求进行识别，并落实相关要求到已有的数据安全控制中。 c）人员能力： 1）组织内员工应具备良好的数据安全意识； 2）数据安全岗位的人员应并具备专业数据安全能力； 3）数据接收的整体负责人员应能理解并执行数据安全合规要求。 5.2.5.3 技术保障能力 a)安全技术能力： 1）应具备针对数据安全风险的预防、检测及响应能力； 2）应具备保障所接收数据的保密性、完整性、一致性、可用性、可追溯性、真实性等能力； 3）应具备整体的数据安

23、全技术防护及应急保障体系； 4）应具备对数据访问的身份及权限管理的能力； 5）应具备对数据接收的数据源进行鉴别及记录的能力； 6）应具备对数据存储介质的安全管理的能力； 7）应具备对数据接收、存储、使用、传输、销毁等各阶段进行监控与审计的能力。 GB/T XXXX XXXX 7 b)信息系统： 1）信息系统的规划、建设、部署和运维应符合所在国家或区域的信息系统安全要求； 2）信息系统应具备保障数据安全的能力，包括身份及权限管理、风险管理、应急管理、备份恢复、日志管理等。 c)自动化工具： 1）应具备利用技术工具对数据安全工作的自动化支持能力； 2）应具备对数据接收、存储、使用

24、、传输、销毁等各阶段监控与审计的自动化工具； 3）应建立用于数据备份和恢复的统一技术工具； 4）应具备保障网络安全的技术工具，在网络关键节点处检测和限制从内部或外部发起的DDOS 、网络攻击、数据爬虫等异常行为。 5.2.6 数据接收方所在国家或区域的政治法律环境 5.2.6.1 个人信息只涉及个人信息出境时，对数据接收方所在国家或地区的政治法律环境的评估应包括： a)该国家或地区现行的个人信息保护法律、法规、标准情况，与我国个人信息保护法律、法规、标准提供的保护水平相比较的差异性； b)该国家或地区加入的区域或全球性的个人信息保护方面的机制，以及所做出的具有约束力的承诺； c)该

25、国家或地区落实个人信息保护的机制，如是否具有法定的个人信息保护机构、相关司法机制、行业自律协会和自律机制等，以及为个人提供的行政和司法救济渠道的有效性。 5.2.6.2 重要数据涉及重要数据出境时，对数据接收方所在国家或地区的政治法律环境评估包括： a)标准 5.2.6.1的评估内容； b)该国家或地区在数据安全方面现行的法律、法规、标准情况； c)该国家或地区落实数据安全的机制，如网络安全或数据安全方面的主管机构、相关司法机制、行业自律协会和自律机制等； d)该国家或地区政府，包括执法、国防、国家安全等部门调取数据的法律权力； e)该国家或地区与其他国家或地区之间有关数据流通、共享等方

26、面的双边或多边协定，包括在执法、监管等方面数据流通、共享的双多边协定。 GB/T XXXX XXXX 8 附录 A （规范性目录）重要数据识别指指南中的重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据( 包括原始数据和衍生数据) ，一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能造成以下后果：（一）危害国家安全、国防利益，破坏国际关系；（二）损害国家财产、社会公共利益和个人合法利益；（三）影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等；（四）影响行政机关依法调查处理违法、渎职或

27、涉嫌违法、渎职行为；（五）干扰政府部门依法开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责；（六）危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全；（七）影响或危害国家经济秩序和金融安全；（八）可分析出国家秘密或敏感信息；（九）影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其它国家安全事项。根据上述定义和行业（领域）主管部门相关规定，指南提出了各行业( 领域 ) 重要数据的范围。请各行业（领域）主管部门结合实际，明确本行业（领域）重要数据定义、范围或判定依据；并根据行业（领域）发展变化，及时更新或替换本指南

28、中相关内容。本指南不影响中国在世贸组织协定等国际协定项下义务的执行。 A.1. 石油天然气主管部门：国家发展改革委、能源局。重要数据包括但不限于： a)价值类，包括表示资源金额等信息； b)生产量类，包括各类生产量等信息； c)销售量类，包括各类销售量等信息； d)施工作业量类，包括各类施工作业量等信息； e)安全与环保类，包括计量管理、节能管理、劳保用品、危险作业区、质量控制等信息； f)储备类，包括储备数量、储备设施位置、坐标等信息。 A.2. 煤炭主管部门：国家发展改革委、能源局。重要数据包括但不限于： a)行业基本情况，主要包括企业数量、企业分布、企业类型、从业人员数量、从业

29、人员分布等； b)行业经济情况，主要包括行业的资产、负债、收入、利润、主要经济指标、行业资金紧张程度等； c)行业采购情况，主要包括原材料的采购量、采购金额、采购价格以及采购周期等； d)行业生产情况，主要包括行业的产值、生产投入、劳动生产率、产能以及产能影响因素等； e)行业销售情况，主要包括行业市场规模、销售投入、人均销售水平、主要产品销售价格等； f)行业投资情况，主要包括行业新建项目数量、投资额、资金来源等。 A.3. 石化主管部门：能源局。重要数据包括但不限于： a)国家石油、石化工业年度和中、长期发展规划的主要经济技术指标和重大政策措施； b)石化工业重要生产物资年度进口计划

30、和未分配的控制外汇金额。 GB/T XXXX XXXX 9 A.4. 电力主管部门：国家发展改革委、能源局。重要数据包括但不限于： A.4.1 发电厂相关信息 a)火电厂的用煤量、水电厂的耗水量等信息； b)发电机组数据，包括火电、水电等发电机组可靠性指标数据等信息； c)电厂内变电站的开关数据，包括厂站名、开关类型、电抗值、母线电压、投入时间、退出时间等信息。 A.4.2 输配电信息 a)实际负荷、预测负荷等信息； b)输变电设备可靠性指标，包括电压等级、统计百台年数、故障率、故障次数、故障停运时间、修复时间、计检率、计检平均时间等信息； c)输电线路信息，包括线路段号、侧地名、侧开

31、关号、并联号、侧省名、调度权、线路长度、导线型号、地线型号、安全电流、控制电流、导线排列、正序电阻等； d)线损消耗、影响线路状态的环境信息等。 A.4.3 建设运维信息 a)装机容量、发电量、供应量等信息； b)同比环比增减量等信息； c)电力各系统配置信息，包括配电自动化系统、生产管理系统、停电管理系统、高级量测体系、电能质量监控系统、用户能效管理系统等； d)电力各系统运行信息，包括电压、电流、频率、波形等； e)电力系统实时状态监控、电力系统巡检、电力调度等信息； f)可靠性统计分析信息，包括可用系数、强迫停运率、平均无故障可用小时、故障率、修复率等。 A.4.4 其他信息

32、a)电力各系统资产、配套安防系统相关信息； b)未发布的电网/电厂规划图等； c)城市电网管线分布图文资料； d)电网地理坐标信息； e)能够有助于入侵攻击电力基础设施的其他信息。 A.5. 通信主管部门：工业和信息化部。重要数据包括但不限于： A.5.1 规划建设类数据主要包括电信网和互联网网络及信息系统在规划及建设环节产生的重要数据，如规划设计及建设方案、灾难备份系统设计及建设方案、设备地理位置、网络拓扑结构、线路路由走向、设备资产采购清单等。 A.5.2 运行维护类数据主要包括网络及信息系统运维过程中产生、收集的重要数据，如设备及软件配置信息、IP地址分配信息及内外网转换信

33、息、网络流量流向信息、网络及系统运行状态信息、网络及系统运行维护日志、以及系统用户资料信息等。 A.5.3 安全保障类数据 a)网络与信息安全管理数据，如网络安全预警监测信息、系统及数据访问操作日志、安全审计记录、网络安全应急预案、违法有害信息监测处置相关数据、用户访问互联网日志数据、用户计费数据和上网记录等个人通信数据； b)应急通信数据，如应急通信系统规划、建设、运行相关信息等；应急通信事件分级信息和应急预案，重大活动行动方案、保障预案信息、应急通信装备物资储备、保障队伍部署等。 A.5.4 无线电数据 GB/T XXXX XXXX 10 a)国家重要行业如交通运输、渔业、海洋系

34、统、航空、航天、军事、广播电视等行业使用的涉及国家主权、安全的无线电频率和台站信息； b)卫星通信信息主要是指使用卫星进行通信所涉及的相关信息，主要包括卫星地面站基建、卫星地面站灾备、卫星通信用户等信息； c)蜂窝移动通信基站位置、蜂窝移动通信基站基建、蜂窝移动通信基站灾备、蜂窝移动通信基站收发能力等信息； d)无线电监测信息主要指开展无线电监测工作所涉及的相关信息，主要包括无线电监测站地理位置、天线配置、设备能力等监测设施信息，以及监测信号样本、频段扫描数据、频率时间占用度等电磁环境信息； e)上述信息中已纳入国际电信联盟（ITU）国际频率登记总表（Master Internati

35、onal Frequency Register,MIFR）内的信息除外；国家无线电管理机构正在向或需向ITU进行申报的无线电网络数据除外。 A.5.5 统计分析类数据主要包括：根据网络及信息系统运行、用户网络行为等过程中直接产生、收集的重要数据，以及统计分析得到的数据，如行业和企业运行情况、用户网络行为习惯分析信息、行业或业务发展预测信息等。 A.5.6 其他通信数据 a)关键基础设施网络威胁原数据； b)通信内容、信令、记录等数据； c)基础核心技术、核心设备主要性能参数、网络信息安全整体防护能力。 A.6. 电子信息主管部门：工业和信息化部。重要数据包括但不限于： a)产业

36、运行数据，主要包括：尚未公开的规模以上电子信息产业企业数量、产值、销售收入、利润等基本情况，尚未公开的产业新在建项目数量、项目可行性报告、投资额、资金来源等投资情况，及尚未公开的电子信息产品进出口贸易情况； b)产业发展数据，主要包括：尚未公开的产业发展规划、发展重点、近期国家级和部重点的研发支持项目等； c)电子信息百强企业业务数据，主要包括：尚未公开的企业业务发展决策、投融资决策，及企业产值、销售收入、利润、研发投入、研发人员数量等内容； d)电子信息产品基础硬件的型号、重要参数、源代码和目标、技术方案、实验数据、检测报告、重要工艺技术等全部技术资料； e)国防军事领域、政

37、务领域和公共服务领域等在关键领域或重要行业中各类电子信息设备的销售信息和使用信息，例如购买方名单、交易价格、交易数量、采购周期、采购产品型号、应用领域、产品去向、更换频率等； f)在关键领域或重要行业中电子信息产品在使用过程中的运行、保养和维修信息，例如使用信号波段、频率等设备运行参数，设备故障频率、故障原因、解决方案、使用寿命等维修记录； g)在关键领域或重要行业中电子信息产品在使用过程中采集、存储、管理和分析的涉及政府秘密、商业秘密和个人隐私的信息。包括地理地貌、气候环境、卫星轨道、军事部署等相关信息，企业、单位决定不宜公开的商业资料以及个人隐私包括个人身份信息、财产信息、健康

38、信息等。 A.7. 钢铁主管部门：工业和信息化部。重要数据包括但不限于： A.7.1 钢铁产业的实力、潜力及竞争力信息 a)重点区域或企业的生产安排、炼钢配比、规模、产量、生产设备与技术水平、采购计划、物流配送、能耗等信息； b)企业重点产品批量进入石油、化工等重点领域和新兴领域的信息； c)大型客户采购钢铁的品种、频次、吨数等信息。 GB/T XXXX XXXX 11 A.7.2 国防军用和国民经济建设发展所需钢材、优特钢产业等实力信息涉及冶金、能源、交通、建筑、桥梁、机械、电子等国民经济建设发展所需先进钢铁材料及其制品的信息。 A.7.3 国家产业发展及外部环境掌控、应对相关信息

39、 a)钢铁市场行情的预测和动态监测方面的信息； b)钢铁行业未公开的政策文件、布局安排、军民配置分配、统计数字等相关信息。 A.8. 有色金属主管部门：工业和信息化部。重要数据包括但不限于： A.8.1 有色金属产业的实力、潜力及竞争力信息 a)重点企业的生产安排、规模、产量、生产设备与技术水平、采购计划、物流配送、能耗、销售去向、贸易谈判等信息； b)大型客户采购有色金属的品种、频次、吨数等数据。 A.8.2 国防军工和国民经济建设发展所需有色金属信息有色金属产品的名称、科研、勘察开采计划，生产能力、工艺技术路线，全部技术资料，企业名称、产地、产量、产能、储备、消费去向等信

40、息及统计信息。 A.8.3 国家有色金属产业发展及外部环境掌控、应对信息有色金属市场行情的预测和动态监测方面的信息。 A.9. 装备制造主管部门：工业和信息化部。重要数据包括但不限于： A.9.1 投资信息生产安全保障类装备和高技术关键装备，如军事、航空航天装备等的投资信息； A.9.2 重要装备出厂后工程活动信息国民经济、国防施工等重要领域装备长时间或大范围生产活动相关信息。 A.10.化学工业主管部门：工业和信息化部。重要数据包括但不限于： a)国家主要化工产品生产能力、储备情况等统计信息，重大化工进出口项目相关信息； b)重要地区化工经济项目协议、项目、计划以及军用化学品出

41、口相关信息等； c)剧毒化学品、易爆危险化学品的道路运输、水路运输、航空运输等相关信息； d)生产、储存危险化学品的单位，其作业场所设置通信、报警装置、警卫保护措施等相关信息； e)机构出具的对化工企业的安全生产条件进行评价的报告； f)新建、改建、扩建生产、储存危险化学品的建设项目，及新建、改建、扩建储存、装卸危险化学品的港口建设项目信息； g)化工厂房平面图、化学品存储库房分布、库场面积、容量、年度用量、来源等资料； h)企业生产、储存的剧毒化学品、易致爆危险化学品的数量、流向等相关信息。 A.11.国防军工主管部门：国防科工局。其重要数据包括但不限于： a)采购元器件、软件、型

42、号材料、工控设备测试仪器的名称、数量、来源、途径、代理商等信息； b)军工科研生产单位内部名称、地理位置、建设计划、安防规划、保密等级、警卫保护、厂房图纸、库房容积、储备情况等信息。 GB/T XXXX XXXX 12 A.12.其它工业主管部门：工业和信息化部。重要数据包括但不限于： a)战争及临时宣布的紧急备战时期，全国及各大地区军用产品的运输、储备计划和执行情况； b)处于世界先进水平，且对国民经济具有重要影响的工业研究开发项目、计划； c)具有国际水平和重大经济效益的科研成果中的核心部分； d)全国输油、输气管线及战备油库的坐标； e)全国石油库存的分布、统计数字及有关资料；

43、 f)涉及国防军工生产的发供用电规划、计划和统计资料； g)工业科技发展重点任务中与安全相关的关键科技内容。 A.13.地理信息主管部门：国土资源部（国家测绘地理信息局、国家海洋局）。重要数据包括但不限于： A.13.1 重要目标地理信息 a)标注国家或地区重要安全警卫目标、设施和关键基础设施信息的遥感影像； b)国家或地区重要安全警卫目标、设施的带有位置精度信息的实景影像； c)分辨率和位置精度优于遥感影像公开使用要求的影像； d)大于 1:5 万（含）比例尺海图及其数字化成果； e)大于 1:5 万（含）比例尺地形图及其数字化成果； f)未经审核发布的重要地理信息，包括国界、国家海岸线

44、长度；领土、领海、毗连区、专属经济区面积；国家海岸滩涂面积、岛礁数量和面积；国家版图的重要特征点，地势、地貌分区位置；国务院测绘地理信息行政主管部门商国务院其他军地有关部门确定的其他重要自然和人文地理实体的位置、高程、深度、面积、长度等地理信息； g)地理信息分析数据，包括能源、金属、非金属等主要矿物的地理分布情况及开采储量、设计储量、远景储量等储量信息，尤其是与国家安全密切相关的矿产情况。 A.13.2 标识有下列内容的（对社会公众开放的除外）地理信息 a)专用铁路及站内火车线路、铁路编组站，专用公路； b)未经国家有关部门批准公开发布的与地理相关的重大经济建设信息等； c)未公

45、开的机场（含民用、军民合用机场）和机关、单位的信息； d)国家法律法规、部门规章禁止公开的其他内容。 A.13.3 标识有下列目标具体形状及属性的（用于公共服务的设施可以标注名称）地理信息 a)大型水利设施、电力设施、通信设施、石油和燃气设施、重要战略物资储备库、气象台站、降雨雷达站和水文观测站（网）等涉及国家经济命脉，对人民生产、生活有重大影响的民用设施； b)监狱、看守所、拘留所、强制隔离戒毒所等与公共安全相关的单位； c)公开机场的内部结构及运输能力属性； d)渡口的内部结构及属性； e)国家法律法规、部门规章禁止公开的其他内容相关形状和属性。 A.13.4 标识有下列内容属性的地理

46、信息 a)高压电线、通信线、管道的属性； b)国家法律法规、部门规章禁止公开的其他内容相关属性； c)水库库容、输电线路电压等精确数据，桥梁、渡口、隧道的结构形式和河底性质，未经公开的港湾、港口、沿海潮浸地带的详细数据； d)重要桥梁的限高、限宽、净空、载重量和坡度属性，重要隧道的高度和宽度属性，公路的路面铺设材料属性； e)江河的通航能力、水深、流速、底质属性，水库的库容属性，拦水坝的构筑材料和高度属性，水源的性质属性，沼泽的水深和泥深属性。 A.13.5 特殊测绘信息 GB/T XXXX XXXX 13 a)国家重力控制点成果、加密重力测量成果，航空重力测量成果、海洋重力测量成果以及

47、小于5 5 分辨率的平均重力异常和似大地水准面成果等各类计算衍生产品； b)军事禁区的磁力测量数据和我国海域磁力测量数据及其衍生品； c)境内优于 25米网络的数字高程模型、数字地表模型数据。 A.13.6 公开地图数据按照 2015年12月颁布的地图管理条例（国务院第664号令），互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并将互联网服务单位收集、使用、提供的用户位置相关信息存放在中华人民共和国境内。 A.13.7 北斗卫星导航信息 a)北斗卫星导航系统的灾备和服务能力等数据； b)北斗卫星导航系统生成和服务的高精度位置数据； c)北斗卫星导航用户名录、属性、

48、装备识别号（ID）及短信息服务内容等数据。 A.14.民用核设施民用核设施主管部门：国防科工局和能源局。民用核设施安全监管部门：环境保护部（国家核安全局）。重要数据包括但不限于： A.14.1 民用核设施安全监管信息 a)管理部门对于建造、装料、运行、退役等活动审批中涉及到的关键设计资料、运行参数等； b)未公布的全国辐射环境监测原始信息。 A.14.2 民用核设施运行信息 a)核燃料生产、加工、贮存和后处理设施、放射性废物处理设施中涉及到的关键技术电子资料，如关键设备设计图纸、制造工艺等信息； b)核动力厂（核电站、核热电厂、核供气供热厂等）的产能，核燃料年度采购处置数量及处置信息

49、，业务信息系统中重要业务统计信息，日常运维管理信息（如重大核电厂运行异常大事件、停堆换料或检修等）； c)其他反应堆（研究堆、实验堆、临界装置等）的使用信息、核燃料年度采购处置数量及处置信息，业务信息系统中重要业务数据统计信息，日常运维管理的信息（如停堆换料或检修等）； d)核燃料生产、加工、贮存和后处理设施的年度处理能力、年度处理记录、原料采购、产品销售等相关统计信息、业务系统中的业务信息； e)放射性废物处理和处置设施的年度处理能力、年度处理记录、原料采购、产品销售等相关统计信息，业务系统中的业务信息； f)核动力厂、反应堆、核燃料加工处理等机构为满足监管要求建立的通信网络相关信息，以及上报的停堆换料或检修等信息； g)对核设施工况参数进行监控而使用的核设施数据采集系统形成的信息。 A.14.3 核设施产业发展信息 a)我国核原料矿产分布、储量等信息； b)国家发展规划中关于民用核设施的发展规划信息； c)民用核设施科研中的试验或测试数据。注：依据我国有关法律法规以及参加的国际公约，以上信息中已公开的除外。 A.15.交通运输主管部门：国家交通战备办公室、交通运输部、国家铁路局、中国铁路总公司。重要数据包括但不限于： A.15.1 含有下列内容，或通过汇聚分析能印证、推论出下

展开阅读全文