版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
社保信息保密管理制度1总则1.1为规范社会保险信息保密管理,保障参保对象合法权益,维护社会保险信息系统安全稳定运行,根据《中华人民共和国社会保险法》《中华人民共和国个人信息保护法》《中华人民共和国保守国家秘密法》《社会保险个人权益记录管理办法》《中华人民共和国网络安全法》等法律法规及政策规定,结合社保经办工作实际,制定本制度。1.2本制度适用于各级社会保险经办机构、受委托承担社保经办服务、信息系统运维、数据加工的第三方机构、所有接触社保信息的工作人员,覆盖社保信息采集、存储、加工、传输、使用、共享、销毁全生命周期保密管理。1.3社保信息保密管理遵循“谁主管谁负责、谁运营谁负责、谁收集谁负责、谁使用谁负责”的原则,严格落实“最小化、必要性、分级管理、全程可控”要求,确保社保信息仅用于法定社保工作范围,不被泄露、篡改、滥用。2保密范围与密级划分2.1社保信息保密范围2.1.1涉及国家秘密的社保信息:包括未公开的社会保险基金预算决算核心数据、全国或区域性社保参保战略性汇总数据、应对重大突发事件的社保专项部署未公开信息、社保核心信息系统网络拓扑结构、安全防护核心策略未公开信息、国家统一部署的社保重大改革试点未公开方案等,严格按照国家保密相关规定管理。2.1.2社保工作秘密:包括未对外公开的社保经办内部工作流程、内部督查检查结果、未正式发布的社保统计数据、信访举报中未公开的举报人及线索信息、社保基金监督检查未结案案件相关信息、社保信息系统未公开安全漏洞及隐患信息、内部人事管理中涉及工作人员隐私的未公开信息、其他依照规定确定为内部敏感不得擅自公开的工作信息。2.1.3参保对象敏感信息:包括所有参保单位和参保个人的权益类敏感信息,具体为:①参保单位信息:统一社会信用代码、单位注册地址、实际经营地址、法定代表人联系方式、单位开户银行账号、全部职工名册、年度缴费基数明细、参保变更历史信息等;②参保个人信息:姓名、居民身份证号码、社会保障号码、护照等其他有效身份证件号码、常用联系方式、居住地址、婚姻状况、家庭成员及联系人信息、本人银行账户信息、生物识别信息(人脸、指纹、指静脉、虹膜等)、就业单位经历、各险种缴费记录、待遇享受历史记录、医疗就诊购药明细、工伤认定及劳动能力鉴定信息、生育报销信息、异地就医备案信息、社保转移接续信息、养老保险个人账户明细等所有与个人社保权益相关的信息。2.2密级划分2.2.1绝密级:涉及国家安全和重大国家利益的未公开社保核心信息,包括应对重大公共事件的全国社保基金动用未公开方案、国家层面社保重大改革的绝密级议题相关信息等,知悉范围严格控制到最小,严格按照绝密级国家秘密管理要求执行。2.2.2机密级:包括未公开的全国社保基金年度收支决算总数据、社保核心信息系统权限配置核心信息、涉及全国性参保结构分析的未公开敏感汇总数据、重大社保基金违法案件未公开的核心调查信息等,按照机密级国家秘密管理要求执行。2.2.3秘密级:包括省级范围内未公开的社保统计汇总数据、未公开的区域性社保改革方案、一般未结案的社保基金案件调查信息、本制度规定的社保工作秘密类信息,按照秘密级国家秘密管理要求执行。2.2.4敏感个人信息:所有参保对象的个人权益信息统一划定为工作敏感信息,按照《个人信息保护法》要求实行最高等级保护,任何单位和个人不得非法泄露、买卖、滥用。2.3密级实行动态管理,社保信息保密工作领导小组每年开展一次密级复审,根据工作进展、信息公开要求及时调整密级,对不需要继续保密的信息及时履行解密程序。3保密管理机构与职责3.1社保经办机构主要负责人是本单位社保信息保密工作第一责任人,对本单位社保信息保密管理负全面领导责任;分管保密工作的负责人负直接领导责任;分管业务、信息化工作的负责人对分管领域社保信息保密管理负直接管理责任。3.2设立社保信息保密工作领导小组,组长由单位主要负责人担任,副组长由分管保密、信息化工作的负责人担任,成员包括各业务经办科室、信息化管理部门、保密办、法规部门、基金监督部门负责人,主要职责为:3.2.1贯彻落实国家社保信息保密相关法律法规,制定完善本单位并组织实施;3.2.2定期组织开展社保信息保密检查、保密教育培训,排查整改保密风险隐患;3.2.3负责本单位社保信息密级确定、调整和解密的审核审批工作;3.2.4组织处置社保信息泄露突发事件,对违规泄密行为的责任追究提出处理意见;3.2.5统筹协调本单位社保信息保密管理其他相关工作。3.3各部门具体职责:3.3.1各业务经办科室负责本科室业务范围内社保信息采集、使用环节的日常保密管理,严格落实信息调取、使用审批手续,督促本科室工作人员遵守保密规定;3.3.2信息化管理部门负责社保信息存储、传输、系统运行环节的技术保密防护,落实网络安全等级保护要求,配置分级访问控制权限,定期开展安全漏洞扫描和风险评估;3.3.3单位保密工作办公室负责统筹协调日常保密工作,对全单位社保信息保密管理进行监督指导,对接上级保密行政管理部门,组织开展保密检查和培训;3.3.4法规部门和基金监督部门负责对违规获取、使用、泄露社保信息的行为进行调查,提出责任追究意见,配合司法机关查处违法犯罪行为;3.3.5受委托开展社保经办服务、信息系统运维、数据整理加工的第三方机构,由业务委托科室负责其保密工作的监督管理,必须要求第三方严格落实本制度要求,签订正式保密协议,明确保密责任,约定泄露后的赔偿及违约责任。3.4所有接触社保敏感信息的工作人员,上岗前必须签订《社保信息保密承诺书》,明确保密义务和责任;离岗离职时必须清退所有存储社保涉密信息的载体,删除个人设备中存储的所有社保敏感信息,签订《离岗离职保密承诺书》,脱密期管理按照国家相关规定执行,脱密期内不得违规在相关企业任职,不得泄露原岗位接触的敏感信息。4全生命周期保密管理4.1信息采集环节保密管理4.1.1采集社保信息严格遵循最小必要原则,不得超出法定社保业务范围采集信息,不得强制采集与社保业务无关的个人信息,除法定要求外不得未经参保个人同意采集生物识别等敏感个人信息。4.1.2采集信息时应当依法告知参保对象信息采集的目的、用途、保管方式和保密措施,法律法规规定不需要告知的除外。4.1.3线下采集的纸质社保信息,应当指定专人保管,采集完成后及时录入信息系统,纸质载体按照密级要求存入保密柜或档案库房,非工作需要不得复制、摘抄,不得擅自带离工作场所。4.1.4线上采集信息必须通过官方授权的安全服务渠道,不得通过非授权第三方平台、个人微信、QQ、短信等渠道采集敏感社保信息,防止信息在采集环节被截获泄露。4.2存储环节保密管理4.2.1涉密社保信息必须存储在符合国家保密标准的涉密信息系统中,敏感个人信息必须存储在单位社保业务内网,严禁将涉密、敏感社保信息存储在连接互联网的终端、服务器、公共云存储平台。4.2.2存储涉密社保信息的纸质载体、移动存储设备(U盘、移动硬盘、光盘等),必须统一编号登记,存放在符合保密要求的保密柜中,由专人保管,严禁私自留存涉密载体。4.2.3个人敏感社保信息存储应当按要求脱敏处理,非必要不得明文存储完整社会保障号码、完整银行账号、完整联系方式等信息;确需存储明文的,必须采用国密算法加密存储,加密密钥由不同岗位工作人员分开管理,避免密钥单一泄露导致全量数据泄露。4.2.4存储社保敏感信息的工作终端,必须设置长度不低于8位的开机密码、屏幕保护密码,每90天更换一次密码,严禁转借他人使用;工作人员离开工位必须锁屏,下班必须关闭终端设备,切断非必要外接设备连接。4.2.5严禁将存储社保敏感信息的移动存储设备在内网计算机和互联网计算机之间交叉使用,严禁私人移动存储设备接入社保业务内网终端,禁止在内网终端连接蓝牙、无线网卡等无线传输设备。4.3传输环节保密管理4.3.1涉密社保信息传输必须通过涉密信息网络或符合保密要求的加密设备传输,严禁通过互联网、普通邮箱、微信、QQ、短信等公共渠道传输涉密社保信息。4.3.2个人敏感社保信息跨部门、跨区域传输,必须通过社保专用安全传输通道加密传输,严禁通过非加密公共网络传输批量个人敏感信息,单次传输超过100条个人信息的,必须进行加密处理并履行审批手续。4.3.3因工作需要确需传输少量敏感信息的,必须经单位分管领导批准,对传输内容进行加密处理,传输完成后及时清除传输缓存,不得在公共平台留存传输内容。4.3.4批量完整社保信息导出传输,必须经单位主要负责人批准,全程留痕记录导出人员、传输对象、用途、时间等信息,使用完成后接收方必须按要求销毁信息,不得留存。4.4使用与共享环节保密管理4.4.1工作人员使用社保信息,必须在职责权限范围内操作,严格执行一人一号、分级授权制度,严禁共用账户、冒用账户、越权查询,工作人员岗位调整后必须在1个工作日内完成权限变更或注销。4.4.2查询调取社保信息实行分级审批登记制度:①查询单个参保对象业务相关信息,由本科室负责人批准,登记查询事由、用途;②查询批量单位或个人信息,由业务科室提交申请,经单位分管领导批准,明确使用范围、使用期限;③调取涉密社保信息,必须经单位主要负责人批准,知悉范围控制到最小,全程双人复核留痕。4.4.3严禁工作人员接受任何单位或个人请托,违规查询、调取非工作职责范围内的社保信息,不得为亲友、第三方查询与工作无关的社保信息。4.4.4社保信息对外共享必须符合法律法规规定,有法定依据,严格履行审批程序:①与其他党政机关共享社保信息,必须收到对方正式公函,明确共享信息的范围、用途,经本单位主要负责人批准后签订共享保密协议,明确对方保密责任,限定信息仅用于申请事由,不得二次转发;②向市场主体、社会服务机构提供社保信息,必须取得参保对象本人书面同意,明确用途,严格限定使用范围,经单位分管领导批准后方可提供,且必须进行脱敏处理,仅提供与业务相关的必要信息;③严禁任何单位和个人私自向外部机构、个人提供社保信息,严禁买卖、泄露社保信息。4.4.5工作人员因公携带社保敏感信息外出工作的,必须经分管领导批准,不得将信息存储在个人手机、平板等私人设备上,工作完成后及时彻底删除相关信息,不得私自留存。4.4.6对外发布涉及社保信息的文章、报告、统计数据,必须提前进行保密审查,去除所有可识别个人身份的敏感信息,涉密信息不得对外发布,审查通过后方可发布。4.4.7不得在私人交往、公开场合、互联网平台谈论涉密社保信息和参保对象敏感信息,不得在非涉密文件、朋友圈、微博等公共平台发布敏感社保信息。4.5销毁环节保密管理4.5.1纸质涉密社保信息载体、个人敏感信息纸质材料需要销毁的,必须统一登记造册,由单位保密办统一送至国家指定的涉密载体销毁机构销毁,严禁私自出售、丢弃,严禁将涉密载体作为废品卖出。4.5.2存储社保敏感信息的电子存储介质(硬盘、U盘、移动硬盘等)需要销毁的,必须先进行彻底消磁、物理粉碎处理,或者送至指定涉密载体销毁机构销毁,不得随意交由第三方回收机构处置。4.5.3不再使用的电子社保信息需要删除的,必须进行不可逆删除处理,不得仅通过普通删除、格式化操作删除,防止被数据恢复技术还原泄露。5技术防护与安全管理5.1社保核心信息系统严格落实网络安全等级保护2.0标准,三级以上信息系统每年开展一次等级测评,不符合安全要求的限期整改,落实访问控制、入侵防范、恶意代码防范、安全审计等防护措施;所有访问操作必须留存日志,普通操作日志保存期限不少于6个月,核心操作日志保存期限不少于3年。5.2严格落实身份认证制度,所有工作人员登录社保信息系统必须采用身份认证,三级以上系统必须采用多因素身份认证(密码+UKey/人脸/指纹等),严禁冒用他人身份登录系统。5.3每月至少开展一次信息系统安全漏洞扫描,发现漏洞及时修复;每半年开展一次全面的安全风险评估,形成评估报告,逐项整改风险隐患。5.4互联网门户网站、官方APP、小程序等对外服务端口,必须落实网络安全防护措施,设置查询频次限制、访问范围限制,防止爬虫工具批量抓取社保信息;用户查询个人信息必须通过实人认证,严禁未经认证查询他人信息。5.5建立异常操作预警机制,对批量查询、跨区域查询、频繁查询非业务范围内信息等异常操作自动预警,发现异常操作立即锁定账户,及时开展核查,防止非法批量获取社保信息。6教育培训与监督检查6.1单位每年至少组织两次社保信息保密专题教育培训,所有接触社保信息的工作人员必须参加培训,学习保密法律法规、本单位保密制度,通报社保信息泄露典型案例,提高保密意识和风险防范能力;培训后进行考核,考核不合格的不得上岗接触社保敏感信息。6.2新入职工作人员、调整至社保经办岗位的工作人员,必须先完成保密教育培训,签订保密承诺书后方可上岗;离岗离职工作人员必须进行保密提醒,清退所有涉密载体,签订离岗保密承诺书。6.3单位保密工作领导小组每季度组织一次日常保密抽查,每年开展一次全面保密检查,检查内容包括:保密制度落实情况、权限管理情况、信息存储传输使用合规情况、技术防护措施落实情况、涉密载体管理情况等,检查结果纳入部门和工作人员年度考核,与绩效考核、职称评定、职务晋升挂钩。6.4任何工作人员发现社保信息存在泄露风险或者已经发生泄露的,都有义务立即向单位保密工作领导小组报告,不得隐瞒;对举报违规泄露社保信息的人员,单位予以保密,对举报属实的给予奖励。7应急处置管理7.1制定社保信息泄露突发事件应急预案,明确应急处置组织机构、处置流程、责任分工,每年至少组织一次应急演练,提高应急处置能力。7.2发生社保信息泄露事件后,事发部门应当立即采取管控措施,切断泄露源头,防止泄露范围扩大,1小时内上报单位保密工作领导小组,不得迟报、瞒报、漏报;涉及重大信息泄露事件(泄露个人信息超过500条、涉及涉密信息的),按照规定及时向当地保密行政管理部门、网信部门、上级社保主管部门报告。7.3发生泄露事件后,应当立即组织开展调查,查明泄露原因、泄露范围、受影响人员和危害程度,对涉及的参保对象依法履行告知义务,及时采取风险补救措施,按照规定向社会公布相
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 建筑消防防排烟系统施工技术方案
- 2026浙江宁波市镇海区龙赛医疗集团招聘编外人员2人(7-7)备考题库附参考答案详解(轻巧夺冠)
- 2026年8-9月四川眉山市洪雅县七里坪镇城镇公益性岗位招聘1人模拟试卷附完整答案详解【必刷】
- 2026云南财经大学信息与人工智能学院招聘中英合作硕士项目管理人员1人备考题库含完整答案详解【全优】
- 2026广东云浮市罗定职业技术学院招聘高层次人才5人笔试题库【B卷】附答案详解
- 互联网团队敏捷项目管理方案
- 管线工程质量管控与验收方案
- 防汛应急救援各小组职责分工方案
- 防水材料环保标准及绿色应用方案
- 独立储能电站土建施工方案
- 2026中国华电集团有限公司湖南分公司本部面向系统内公开招聘5人笔试历年常考点试题专练附带答案详解
- 2026江苏南京江北新材料科技园管理办公室招聘5人笔试参考题库及答案详解
- 2026年辽宁锦州农垦(集团)有限公司计划招录29人备考题库及1套完整答案详解
- 01 必修上教材文言文逐篇过关挖空训练(解析版)2026版-高中语文文言文逐篇过关挖空训练
- 受限空间作业安全措施培训
- 2026年秋新教材人教版九年级上册英语Unit 1-8课文+翻译
- 医学26年:基层消化疾病防控要点 查房课件
- 整形整容科室工作制度
- 2026届山东省济南市历城二中数学高一下期末综合测试模拟试题含解析
- 麻醉科双向转诊管理规范指南
- GB/T 47144-2026医疗器械清洁过程的开发、确认和常规控制的要求
评论
0/150
提交评论