2026年人社数据安全保障专项计划

2026年人社数据安全保障专项计划一、专项计划实施基础与总体要求1.1实施背景当前全国人社数字化转型已进入深化阶段，截至2025年末，全国基本养老保险、失业保险、工伤保险参保人数分别达10.7亿、2.4亿、3.0亿，社保卡持卡人数13.8亿，电子社保卡累计签发量突破9亿，全国人社政务服务平台已接入31个省份及新疆生产建设兵团的160余项高频服务，年数据交换量突破2000亿条。随着数据量级的快速增长、应用场景的不断拓展，人社数据安全面临的风险持续攀升：部分地区存在数据分类分级不清晰、全生命周期防护措施不到位、第三方合作场景管控漏洞、基层经办人员安全意识薄弱等问题，近年全国范围内累计通报人社领域数据安全事件12起，涉及参保信息泄露、违规售卖个人权益数据、第三方运维人员越权访问等多个场景，不仅损害群众切身利益，也对人社部门公信力造成负面影响。为严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《社会保险个人权益记录管理办法》《人力资源和社会保障数据安全管理办法》等法律法规要求，切实防范人社数据安全风险，保障群众个人信息权益，特制定本专项计划，实施周期为2026年1月1日至2026年12月31日。1.2总体要求坚持“数据安全优先、全流程管控、分级分类负责、可溯源可审计”的基本原则，以保障核心人社数据安全为核心，聚焦数据全生命周期防护、风险监测预警、应急处置能力建设三大重点方向，压实各级人社部门主体责任、业务处室管理责任、信息中心技术支撑责任、第三方合作单位连带责任，实现人社数据安全管控的规范化、精细化、智能化。1.3核心目标2026年末需全面达成以下目标：（1）人社核心数据分类分级全量打标完成率100%，打标准确率不低于99.99%，动态更新响应时长不超过24小时；（2）数据全生命周期各环节防护措施覆盖率100%，国密算法应用覆盖率100%，敏感级以上数据加密存储率100%；（3）数据安全风险监测预警响应时长不超过1分钟，高危漏洞修复完成率100%，全年未发生重大及以上数据安全事件，一般数据安全事件处置率100%；（4）第三方合作单位数据安全评估通过率100%，合作协议数据安全条款覆盖率100%；（5）人社系统全员数据安全培训覆盖率100%，重点岗位人员背景审查率100%，群众人社数据安全宣传触达率不低于80%。二、核心工作任务2.1人社数据分类分级全量梳理与动态更新机制建设各省级人社部门需严格按照统一标准开展数据分类分级梳理，明确不同类别、不同级别数据的管控要求，具体分类分级标准如下：数据分类数据分级典型数据示例核心管控要求个人权益类核心级参保缴费明细、社保待遇发放记录、社保卡金融账户关联信息、劳动人事仲裁涉密笔录、职业技能鉴定涉密试卷、失业人员敏感帮扶信息1.端到端国密算法加密存储、传输；2.仅最小授权岗位可访问，访问需双人审批；3.所有操作全留痕，日志永久留存；4.禁止跨场景共享、禁止公开披露个人权益类敏感级参保人员基础身份信息、就业失业登记信息、工伤认定信息、劳动保障监察投诉举报信息、社保卡非金融功能相关信息1.加密存储、传输；2.仅业务经办所需最小权限可访问，操作需单人审批；3.访问时自动脱敏，日志留存不少于12个月；4.跨部门共享需签订专属协议，明确使用范围公共服务类内部级人社公共服务办件量统计、线下窗口排班信息、未公开的服务调整通知、内部业务经办规范1.仅限人社系统内部人员访问；2.对外发布需经宣传部门审核；3.禁止随意转发至外部社交平台公共服务类公开级已公开的人社政策文件、公共服务办事指南、对外发布的统计数据、公开招聘公告可面向社会公众公开传播，发布前需经内容审核，确保信息准确政务管理类敏感级人社部门内部财务数据、人事任免未公示信息、涉密工作会议纪要1.加密存储，仅限授权人员访问；2.严禁对外泄露，传播需经单位主要负责人审批政务管理类内部级普通工作会议纪要、日常办公通知、非涉密人事管理信息仅限内部人员访问，对外传播需经部门负责人审批运行监测类敏感级人社业务系统核心运行参数、网络拓扑结构、漏洞排查未公开报告、安全防护策略配置信息1.加密存储，仅运维岗位授权人员可访问；2.禁止对外泄露，严禁存储于外部设备运行监测类内部级系统运行故障记录、日常运维日志、性能监测统计数据仅限运维及相关管理岗位人员访问，对外发布需经信息中心负责人审批2026年3月底前，各省级人社部门要组织完成辖区内所有存量人社数据的分类分级全量梳理，严格按照上表标准完成数据打标，逐业务条线、逐系统开展核验，确保打标准确率不低于99.99%。建立数据分类分级动态更新机制，新业务系统上线前7个工作日内必须完成新增数据的分类分级备案，业务规则调整导致数据属性变化的，业务处室需在24小时内同步至信息中心完成分级标签更新。各省级人社部门每季度组织一次分类分级台账核验，国家人社部每半年开展一次全国性抽查，对打标错误率超过0.01%的地区予以通报批评。2.2全生命周期数据安全防护体系升级针对数据采集、传输、存储、使用、共享、销毁全生命周期各环节的风险点，制定针对性管控措施，实现全流程闭环防护，具体细则如下：生命周期环节具体管控措施完成时限责任部门核验标准数据采集1.全面梳理所有业务采集表单，清退非必要采集项，办理业务时仅采集法定必需的信息，严禁采集宗教信仰、基因信息、非必要生物识别信息、非业务必需的婚姻状况等过度信息；2.线下采集实行“经办人核验+当事人签字确认”双确认机制，线上采集实行“实人认证+用户授权确认”机制，采集入口全部配置防爬虫、防暴力破解防护；3.采集的数据实时同步至省级集中数据库，禁止经办终端本地存储任何敏感级以上数据2026年6月30日各业务处室、信息中心采集项合规率100%，采集终端本地敏感数据存储量为0，采集身份核验准确率100%数据传输1.所有内部数据传输全部采用国密SM2/SM4算法加密，跨区域、跨层级、跨部门数据传输全部走加密专线，禁止公网传输敏感级以上数据；2.对外服务接口全部配置API网关，实行调用频次限制、身份认证、流量监测，敏感数据传输添加隐形溯源水印；3.每季度开展一次传输链路安全检测，排查明文传输、加密算法不合规等问题2026年9月30日信息中心国密算法应用覆盖率100%，无公网传输敏感数据情况，接口安全检测通过率100%数据存储1.核心级数据实行“两地三中心”异地多活容灾备份，实时同步备份数据，敏感级数据每日增量备份、每周全量备份，备份数据与生产数据实行同等安全防护；2.所有敏感级以上数据全部采用国密SM4算法加密存储，密钥实行分级管理，核心密钥由双人分段保管，每季度更换一次；3.每季度开展一次存储介质安全检测，淘汰老化、存在安全隐患的存储设备2026年6月30日信息中心核心级数据容灾备份覆盖率100%，敏感级以上数据加密存储率100%，备份数据恢复成功率100%数据使用1.实行最小权限管控，按照“业务必需、最小授权”原则配置用户权限，经办人员仅可访问本辖区、本业务条线的相关数据，跨业务、跨区域访问需经部门负责人审批；2.敏感级以上数据访问自动实行动态脱敏，经办人员查看时身份证号、手机号、银行卡号等字段中间字符自动隐藏，仅经专项授权的核查岗位可查看完整信息；3.建立全操作审计机制，所有数据访问、修改、导出、下载操作全部留痕，日志留存不少于12个月，导出敏感级以上数据需经双人审批，导出文件全部添加溯源水印2026年6月30日信息中心、各业务处室权限配置合规率100%，敏感数据脱敏覆盖率100%，操作日志留存完整率100%数据共享1.所有跨部门、跨层级数据共享全部通过省级人社数据共享交换平台开展，禁止私下传输、交换任何人社数据；2.共享前严格审核共享需求，明确共享数据的范围、用途、使用期限，签订数据共享安全协议，明确双方安全责任，禁止接收方二次转发、超范围使用共享数据；3.建立共享数据全链路监测机制，实时跟踪共享数据的使用情况，发现超范围使用的立即停止共享并追责长期执行法规处、信息中心、各业务处室共享协议签订率100%，平台外数据共享行为清零，超范围使用共享数据事件清零数据销毁1.纸质数据销毁实行“双人监销”机制，采用碎纸机粉碎处理，禁止随意丢弃；2.电子数据销毁采用符合国家保密标准的不可恢复擦除技术，报废的存储介质实行物理消磁或物理粉碎处理；3.建立数据销毁台账，详细记录销毁数据的内容、数量、时间、经办人、监销人，台账留存不少于3年长期执行办公室、信息中心销毁流程合规率100%，销毁台账完整率100%针对高频的批量数据导出场景，2026年要上线统一的数据导出审批系统，所有导出申请都要线上提交，说明导出用途、导出字段、导出数量，经业务处室负责人、信息中心安全岗双重审批后才可导出，导出的文件自动添加包含导出人ID、导出时间的隐形水印，一旦发生泄露可直接溯源到具体人员。针对特殊场景下的核心数据访问需求，实行“双人在场、双人操作、全程录屏”机制，禁止单人单独接触核心级数据。2.3数据安全风险监测与应急处置能力建设2.3.1一体化安全监测平台建设2026年6月底前，各省级人社部门要完成省级人社数据安全监测平台建设，接入所有业务系统、网络设备、安全设备的日志数据，整合AI行为分析、异常流量监测、数据泄露识别等功能，实现对异常操作的自动识别与预警：对非工作时间访问敏感数据、短时间内批量导出超过100条敏感数据、越权访问非权限范围内数据、陌生IP地址登录核心系统等异常行为，平台自动触发预警，预警响应时长不超过1分钟，安全运维人员收到预警后10分钟内完成核查处置。省级监测平台要与国家人社部数据安全监测平台实现数据对接，实时上报预警信息与处置结果，形成部省两级联动的监测体系。2.3.2漏洞常态化排查机制建立“月度扫描、季度渗透、年度测评”的漏洞排查机制：每月开展一次全系统漏洞扫描，覆盖所有业务系统、线上服务入口、小程序、公众号、APP等；每季度组织一次渗透测试，邀请具备资质的第三方安全机构开展模拟攻击，排查潜在安全漏洞；每年开展两次网络安全等级保护测评，所有三级以上系统全部符合等保2.0三级要求。建立漏洞闭环处置机制，发现高危漏洞24小时内完成修复，中危漏洞72小时内完成修复，低危漏洞7天内完成修复，修复后第一时间开展复测，确保漏洞清零。2026年全年组织4次全国性专项漏洞排查，重点针对电子社保卡、就业服务、社保待遇申领等高频服务入口，排查结果纳入年度绩效考核。2.3.3应急处置能力提升修订完善《人社数据安全事件应急预案》，明确数据泄露、恶意软件攻击、数据篡改等不同场景的处置流程、责任分工。2026年6月、11月分别组织两次全流程应急演练，覆盖部、省、市、县四级人社部门，联合网信、公安、保密等部门开展联动演练，提升跨部门协同处置能力。建立事件上报机制，发生一般数据安全事件10分钟内上报省级人社部门，30分钟内启动应急响应，2小时内上报国家人社部；发生重大及以上数据安全事件立即上报，第一时间启动应急响应，同步开展事件溯源、处置、舆情管控等工作，最大限度降低事件影响。2.4第三方合作场景数据安全专项管控针对社保卡合作银行、电子社保卡第三方接入平台、系统开发运维服务商等第三方合作场景，建立全流程安全管控机制，第三方服务商准入前需按照以下标准开展安全评估：评估维度评估项权重评分标准合格线安全资质网络安全等级保护备案资质、数据安全服务资质、相关人员安全资质20%具备全部要求资质得20分，缺失一项扣5分，无资质得0分80分安全管理体系数据安全管理制度、人员安全管控机制、内部安全审计机制25%体系完善、执行到位得25分，存在制度缺失扣5-10分，无相关制度得0分技术防护能力数据加密、访问管控、漏洞防护、监测预警等技术能力30%技术能力覆盖所有场景得30分，存在防护漏洞扣5-15分，无防护能力得0分历史安全记录近3年是否发生数据安全事件、是否存在违规使用数据记录25%无不良记录得25分，发生过一般事件扣10分，发生过重大事件得0分2026年3月底前，各省级人社部门要完成所有存量第三方服务商的安全评估，评估不合格的服务商要在1个月内完成整改，整改仍不合格的立即终止合作。所有新增第三方服务商准入前必须通过安全评估，评估合格后方可签订合作协议。合作协议中必须明确数据安全条款，约定服务商的安全责任、禁止行为、违约责任，明确因服务商原因导致数据泄露的，需承担全部赔偿责任，同时纳入人社系统合作黑名单，永久禁止参与人社系统所有项目。严格管控第三方人员访问权限：第三方运维、开发人员需访问人社系统的，必须提交临时授权申请，明确访问时间、访问范围、操作内容，经信息中心负责人审批后方可开通权限，权限有效期最长不超过7天，到期自动回收。第三方人员进入机房操作需有专人全程陪同，操作过程全程录屏，禁止携带任何存储介质进入机房，禁止下载、导出任何人社数据到本地设备。每半年对所有第三方服务商开展一次安全审计，排查数据安全风险，发现问题的立即督促整改，情节严重的终止合作并追究法律责任。2.5人员安全意识与宣传教育体系建设2.5.1内部人员培训与管控建立全员数据安全培训机制，2026年组织4次全员专项培训，分别在3月、6月、9月、12月开展，培训内容包括数据安全相关法律法规、操作规范、应急处置流程、典型案例警示等，所有人员每年培训时长不少于8学时，培训考试合格后方可上岗，考试不合格的需补考直至合格。针对数据管理、系统运维、经办窗口等重点岗位人员，每年开展不少于16学时的专项培训，提升专业防护能力。建立重点岗位人员背景审查机制，每年对重点岗位人员开展一次背景审查，排查是否存在不良信用记录、违法犯罪记录、数据安全相关违规记录等，审查不合格的立即调离重点岗位。所有工作人员都要签订《数据安全责任书》，明确安全责任，离职时要完成所有权限回收，签订《离职保密承诺书》，明确离职后仍需承担的保密义务，违反承诺的依法追究责任。2.5.2公众宣传教育2026年组织两次大型人社数据安全宣传活动，分别在4月、10月开展，通过进社区、进企业、进校园、进乡村等方式，发放宣传手册、开展现场宣讲，向群众宣传社保卡密码保护、电子社保卡验证码保管、防范诈骗等相关知识，提升群众的安全防护意识。充分利用人社部门官网、公众号、短视频平台等渠道，发布科普短视频、图文解读等内容，全年发布相关宣传内容不少于50条，触达人群不低于辖区人口的80%。在所有线下服务窗口、线上服务入口设置安全提示，提醒群众不要泄露个人信息，不要点击陌生链接，不要向