统计信息化风险隐患排查整治方案

统计信息化风险隐患排查整治方案一、总则1.1编制目的随着统计现代化改革不断深化，信息化已经成为统计业务开展的核心支撑，全国统计联网直报系统、大数据采集平台、大型普查信息系统等一大批信息化应用覆盖了统计数据采集、整理、传输、存储、分析、发布全流程，统计数据资产的价值不断提升，统计信息化面临的网络攻击、数据泄露、系统中断等风险也持续增加。为全面排查整治统计信息化领域存在的各类风险隐患，落实国家安全相关法律法规要求，保障统计系统网络安全、数据安全和业务连续稳定运行，充分发挥统计信息对国家宏观决策的支撑作用，特制定本方案。1.2编制依据本方案依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国统计法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》《统计数据安全管理办法》等法律法规和部门规章制定，所有排查整治工作均符合国家网络与数据安全相关规范要求。1.3工作原则坚持党对统计工作的全面领导，落实国家安全总体观，把风险防控贯穿统计信息化建设全流程，压实各级统计部门安全责任。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”，明确各层级各部门责任边界，确保排查整治责任落实到人。坚持全面覆盖、突出重点，对所有统计信息化资产开展拉网式排查，聚焦关键信息基础设施、重要统计数据、核心业务系统等重点领域开展深度整治。坚持立查立改、防改结合，对排查发现的隐患分类处置，既要立即整改现有问题，也要建立长效风险防控机制，实现隐患排查整治常态化。二、排查整治范围2.1信息基础设施范围覆盖各级统计部门管理和使用的所有信息化基础设施，包括：统计部门自建机房、云平台、网络线路、网络安全设备、服务器设备、存储设备、业务终端、移动办公设备、物联网感知设备等；纳入统计关键信息基础设施保护目录的核心基础设施，是本次排查整治的核心范围。2.2应用系统范围覆盖各级统计部门开发、运维、使用的所有业务应用系统，包括：全国统一的统计联网直报平台、大型普查信息系统、国民经济核算系统、统计数据采集处理系统、统计数据分析平台、统计数据发布平台、移动统计APP、内部办公系统，以及地方各级统计部门自行开发建设的各类业务应用系统。2.3统计数据资产范围覆盖统计工作全流程产生的所有数据资产，包括：调查对象提供的原始统计数据、各级统计部门汇总加工的统计数据、涉及国家秘密的统计数据、未公开的内部统计数据、涉及调查对象个人信息和商业秘密的敏感数据、对外共享和公开的统计数据，以及存储于各类载体的统计数据备份。2.4管理与服务环节范围覆盖统计信息化全生命周期管理的所有环节，包括：信息化建设项目管理、第三方外包服务管理、用户权限管理、数据共享交换管理、应急管理、人员安全管理等所有涉及安全的管理环节。三、风险隐患排查核心内容3.1网络与物理安全风险排查物理安全：排查机房物理防护能力，重点检查机房防火、防水、防雷、防静电、防破坏设施是否符合规范，门禁、视频监控、入侵报警系统是否正常运行，供电系统冗余是否满足要求，关键设备备份是否到位，是否存在无关人员随意进入机房的风险。网络边界安全：排查网络分区隔离情况，重点检查内外网隔离是否符合要求，边界防火墙、入侵检测系统、入侵防御系统、VPN接入系统是否正常运行，规则配置是否合理，是否存在未授权的跨边界访问，是否存在开放不必要的高危端口的情况。终端与移动办公安全：排查终端安全管理情况，重点检查是否违规实现内外网互联，是否安装安全杀毒软件，是否及时更新系统补丁，移动存储介质使用是否管控，移动办公接入是否落实强身份认证，是否存在违规使用私人设备处理敏感统计数据的情况。云服务安全：排查使用第三方云服务的合规性，重点检查云服务商是否具备相应的安全资质，是否落实等级保护要求，数据存储位置是否符合规定，云服务边界安全防护是否到位，是否存在云服务商违规访问统计数据的风险。3.2应用系统安全风险排查等级保护合规性：排查所有应用系统是否按要求完成网络安全等级保护备案，是否定期开展等级保护测评，测评发现的问题是否完成整改，三级及以上系统是否按要求开展定期测评和安全评估。漏洞管理：排查系统漏洞常态化扫描机制，重点检查是否定期开展漏洞扫描和渗透测试，是否存在未修复的中高危漏洞，尤其是公开披露的高危通用漏洞，系统开发过程是否落实安全编码规范，是否开展上线前安全检测。身份与权限管理：排查身份认证和权限分配情况，重点检查是否落实最小权限原则，是否存在超权限分配权限的情况，是否存在长期未使用的僵尸账号，离职人员账号是否及时回收，是否落实强密码策略，是否存在大量弱口令账号，三级及以上系统是否落实多因素身份认证要求。接口安全：排查第三方对接接口安全，重点检查跨部门数据共享接口、对外服务接口是否落实身份校验、访问控制、流量限制等安全措施，是否存在未授权访问接口窃取数据的风险，接口日志是否完整留存。3.3数据安全风险排查数据分类分级：排查统计数据分类分级落实情况，重点检查是否按要求完成本单位统计数据分类分级，是否明确重要数据和敏感数据目录，是否对重要数据进行标识化管理，数据分级是否符合国家相关标准要求。全生命周期管理：排查数据采集、存储、传输、共享、销毁全流程安全管理情况，采集环节重点检查是否超范围收集个人信息和敏感信息，是否获得调查对象的授权；存储环节重点检查敏感数据和重要数据是否加密存储，数据备份是否定期开展恢复验证；传输环节重点检查敏感数据是否采用加密传输；共享环节重点检查是否落实共享审批制度，是否对接收方的数据安全能力进行评估；销毁环节重点检查报废存储介质中的数据是否彻底清除，是否存在违规丢弃带数据存储介质的情况。个人信息保护：排查个人信息保护合规性，重点检查是否过度收集调查对象个人信息，是否违规向第三方提供个人信息，是否落实个人信息查询、更正、删除等权利保障要求，大型统计调查项目是否按要求开展个人信息保护影响评估。数据出境安全：排查数据出境合规性，重点检查是否违规向境外机构和个人提供未公开统计数据和敏感个人信息，确需出境的数据是否按要求完成安全评估，是否存在通过跨境云服务违规存储统计数据的情况。3.4供应链与外包服务安全风险排查供应链安全：排查核心软硬件供应链安全，重点检查核心网络设备、服务器设备、操作系统、数据库是否存在安全隐患，是否按要求开展供应商安全背景审查，是否落实国家可信供应链相关要求，使用的开源软件组件是否定期排查漏洞，是否存在知识产权和安全风险。外包服务安全：排查第三方外包服务安全管理，重点检查外包服务商是否具备相应的安全资质，是否签订安全保密协议，是否明确双方安全责任，外包人员现场操作是否落实全程监护，权限是否按工作需要最小化分配，外包服务结束后是否及时回收所有权限和访问权限，是否对服务商开展安全审计。3.5管理制度与人员安全风险排查安全制度建设：排查统计信息化安全管理制度体系，重点检查是否建立网络安全、数据安全、统计数据保护等相关管理制度，是否明确安全责任分工，是否制定重大安全事件应急处置预案，制度是否符合最新法律法规要求。人员安全意识：排查工作人员安全意识，重点检查是否定期开展网络安全和数据安全培训，工作人员是否能够识别钓鱼邮件、电信诈骗等社会工程学攻击，是否存在违规传输敏感数据、违规存储敏感数据的行为。应急管理：排查应急保障能力，重点检查是否制定专项应急预案，是否定期开展应急演练，应急物资和技术支撑队伍是否到位，是否落实7*24小时值班制度，重大安全事件是否按要求上报。四、排查整治实施步骤4.1部署动员阶段本方案印发之日起30日内完成部署动员工作。各级统计部门要成立本级排查整治工作领导机构，明确牵头部门和责任人员，结合本地区本单位实际制定具体实施计划，明确任务分工、时间节点和工作要求，组织开展动员培训，确保所有参与排查整治的工作人员明确工作标准和要求。4.2全面自查阶段部署动员完成后45日内完成全面自查工作。各级统计部门要对照本方案规定的排查内容，逐领域、逐系统、逐节点开展拉网式排查，全面梳理存在的风险隐患，建立《统计信息化风险隐患排查台账》，台账要明确隐患名称、风险等级、责任部门、责任人、计划整改完成时间。所有排查结果要经本单位主要负责人签字确认，不得瞒报、漏报、迟报风险隐患。自查结束后10日内，本级统计部门要将自查报告和隐患台账报送上级统计部门。4.3集中整治阶段自查结束后60日内完成集中整治工作。各级统计部门要对排查发现的风险隐患按照分级标准分类处置，落实整改责任，逐个推进整改，完成一个验收一个，实行销号管理。对重大风险隐患实行挂牌督办，由本单位主要负责人牵头整改，对一时难以完成整改的隐患，要采取严格的防护管控措施，制定阶段性整改计划，明确整改时限，跟踪整改进度。上级统计部门要组织对下级单位排查整治工作进行抽查督导，对排查不彻底、整改不到位的单位进行约谈，督促限期整改。4.4总结提升阶段集中整治结束后15日内完成总结提升工作。各级统计部门要对本地区本单位排查整治工作开展全面总结，梳理典型问题，总结经验做法，针对排查发现的管理漏洞和技术短板，完善安全管理制度，优化安全技术防护体系，建立常态化统计信息化风险隐患排查工作机制，每年度至少开展一次全面排查，实现风险防控常态化。总结报告要在规定时限内报送上级统计部门。五、风险隐患分级标准与处置要求风险等级判定标准处置要求重大风险1.统计关键信息基础设施发生或可能发生大面积瘫痪，影响全国或区域性统计业务开展超过48小时；2.十万条以上敏感调查对象信息或重要统计数据发生泄露、篡改、丢失；3.违规向境外提供未公开的重要统计数据；4.核心系统存在可被远程利用的高危未修复漏洞；5.发生影响重大的网络安全事件，危害国家安全和公共利益立即采取管控措施，24小时内上报上级统计主管部门，挂牌督办，制定专项整改方案，7日内启动整改，原则上30日内完成整改较大风险1.非核心业务系统发生中断，影响业务开展超过24小时；2.一万条以上十万条以下敏感信息存在泄露风险；3.核心系统存在未修复的中危漏洞超过30天；4.权限管理存在较大漏洞，存在批量超范围授权情况；5.未按要求完成等级保护测评备案10日内启动整改，60日内完成整改，每15日向上级报送整改进度一般风险1.局部终端存在弱口令、未及时更新补丁等问题；2.安全管理制度存在局部缺失，不影响整体安全防护；3.少量非敏感数据管理不规范；4.非核心系统存在低危漏洞立查立改，45日内完成所有问题整改，整改结果留存备查5.1台账与销号管理所有排查发现的风险隐患必须纳入统一台账管理，实行一患一档，动态更新整改进度。隐患整改完成后，由责任部门提出验收申请，本级排查整治领导机构组织验收，验收合格后予以销号，验收不合格的责令重新整改，未完成整改的隐患不得提前销号。5.2信息上报要求重大风险隐患和发生的安全事件必须在24小时内逐级上报至国家统计局，任何单位不得迟报、漏报、瞒报，对迟报瞒报造成严重后果的，严肃追究相关人员责任。较大风险隐患整改进度每15日向上级部门报送一次，重大风险整改进度每周报送一次。六、责任分工6.1组织领导架构全国统计信息化风险隐患排查整治工作在国家统计局党组统一领导下开展，成立全国统计信息化风险隐患排查整治工作领导小组，由国家统计局主要负责同志任组长，分管网络安全和信息化工作的负责同志任副组长，各业务司、信息管理中心、法规司负责人为成员，领导小组办公室设在国家统计局信息管理中心，负责统筹协调全国排查整治日常工作，组织开展督导检查，汇总上报工作情况。6.2层级责任划分国家统计局：负责制定全国排查整治方案，统筹推进全国统计系统排查整治工作，组织开展对省级统计部门和直属单位的督导检查，通报全国工作开展情况，向有关部门报送排查整治总结。省级统计部门：负责组织本地区、本单位排查整治工作，制定本地区实施计划，开展对下级统计部门的督导检查，审核下级报送的隐患台账和整改报告，汇总本地区工作情况上报国家统计局。市级、县级统计部门：负责本辖区、本单位具体排查整治工作，组织开展全面自查，建立隐患台账，落实整改措施，按要求报送工作情况，确保所有隐患整改到位。业务部门责任：各级统计部门各业务处室负责本业务领域应用系统和统计数据的安全排查，落实本业务领域整改责任，配合信息化部门开展技术排查。信息化部门责任：各级统计部门信息化部门负责提供技术支撑，开展网络、基础设施、系统安全的技术排查，负责隐患整改的技术实施，参与隐患验收工作。6.3主体责任落实各级统计部门主要负责人是本单位统计信息化风险隐患排查整治工作的第一责任人，对本单位排查整治工作负总责，分管负责人是直接责任人，负责具体推进排查整治工作，落实“谁主管谁负责”原则，业务领域出现安全问题，首先追究业务部门责任，技术防护不到位追究信息化部门责任。七、保障措施7.1人员与技术保障各级统计部门要配齐配强网络安全和数据安全管理专业人员，保障排查整治工作力量，对参与排查的工作人员开展专项培训，提升排查能力。可以委托具备资质的第三方专业安全服务机构协助开展漏洞扫描、渗透测试、安全测评等专业技术工作，提升排查整治的专业性和准确性。7.2经费保障各级统计部门要将排查整治所需经费纳入本级财政预算，保障等级保护测评、漏洞扫描、安全设备升级、隐患整改、应急演练等工作经费支出，确保排查整治工作顺利开展。对重大隐患整改所需资金，要优先安排，保障整