网络数据安全实践分享|上海市统计局探索开展统计行业数据安全风险评估,筑牢统计数据安全防线
引言
统计数据是国家宏观调控和科学决策的基石,其安全性、准确性直接关系到经济运行研判和社会治理效能。随着统计工作数字化转型的深入,海量、高敏感的统计数据在采集、处理、共享、发布等全生命周期高频流转,数据安全风险日益复杂严峻。为贯彻落实《数据安全法》《个人信息保护法》及国家统计局关于核心和重要统计数据安全管理的系列要求,上海市统计局主动作为,将国家标准与统计业务特性深度融合,在深入实践的基础上,系统总结编制了《上海市统计局数据安全风险评估工作手册》(以下简称《手册》),促进统计系统开展数据安全风险评估常态化、规范化、精准化。
一、编制背景
统计数据具有权威性、宏观性、敏感性的特点。一方面,统计数据涵盖经济、人口、农业等核心领域,涉及大量重要数据,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害经济运行、社会稳定;另一方面,统计行业此前无专属数据安全风险评估细则,通用标准难以适配统计调查业务的特殊性。为此,如何让业务人员“听得懂、用得上”,避免评估与业务“两张皮”,上海市统计局聚焦统计数据全生命周期安全,旨在将法规标准要求转化为贴合统计工作实际的操作指南,实现从“通用标准”到“行业定制”的精准转化,为数据安全风险评估提供明确指引。
二、适用范围
《手册》适用于指导上海市统计局开展自评估,规范第三方专业机构开展评估,也可供实施检查评估时参考。
三、实践亮点
本次探索坚持“标准为纲、业务为本”的原则,推动标准引领和业务实践双轮驱动,核心特色体现在三个“紧密结合”上:
(一)将国标方法与统计要求紧密结合
《手册》在严格遵循GB/T 45577-2025《数据安全技术 数据安全风险评估方法》框架的基础上,有机融入了《统计数据安全管理办法》《统计数据分类分级标准》等行业规范。特别是在评估范围界定和风险识别重点上,明确将“核心和重要统计数据”及其处理信息系统作为评估核心,并重点强化了对数据对外提供环节的安全风险评估,确保评估工作既符合国家通用标准,又精准命中统计行业监管要求。
(二)将评估流程与统计业务紧密结合
《手册》对评估步骤进行了场景化细化。例如,在“信息调研”阶段,调研内容深度结合统计业务特点,设计了涵盖统计报表制度、数据采集方式(如联网直报、入户调查)、汇总加工方法、发布审批机制等在内的专用调研表示例。这使得业务人员能够基于熟悉的业务语言和流程提供信息,极大提升了调研信息的准确性和完整性。
(三)将手册编制与实践验证紧密结合
上海市统计局依据《手册》,制定了详尽的年度数据安全风险评估实施方案,并组织了全局范围内的试点评估。通过实践检验,《手册》的适用性和可操作性得到了验证。实施单位反馈,《手册》内容详实、针对性强,提供的通用示例有效降低了评估门槛,提升了工作效率。基于试点反馈,《手册》进一步优化了部分评估项的描述,使其更贴合统计业务场景。
四、经验启示
上海市统计局的探索表明,做好行业数据安全风险评估工作,关键在于:
第一,坚持监管要求与专业标准并重。行业手册必须成为连接上级监管指令与国家专业标准的桥梁,确保评估工作既满足行业特规,又符合专业技术规范。
第二,坚持评估流程与业务流程融合。只有深入业务场景,用业务人员听得懂的语言、熟悉的过程设计评估路径,才能发现真问题,评估才能落到实处。
第三,坚持编制优化与实践迭代同步。手册的价值在于应用,必须在真实的评估实践中反复检验、持续优化,才能保持其生命力和实用性。
结语
《手册》的编制与应用,是统计领域深化数据安全治理、从被动合规走向主动防控的一次有益实践。它不仅为上海市统计局自身提升数据安全防护能力提供了系统工具,也为全国统计系统开展相关工作提供可借鉴的“上海样本”。下一步,上海市统计局将持续完善评估机制,推动数据安全风险评估常态化、制度化,切实守好统计数据安全底线,为高质量发展提供坚实可靠的统计保障。