宁建(消)发〔2023〕27号
各市、县(区)住房城乡建设局、审批局,宁东管委会建设和交通局,各有关单位:
为加强我区建筑领域建筑信息模型(BIM)技术应用数据安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规和住房城乡建设部开展建筑信息模型(BIM)技术应用有关要求,现就全区建筑领域BIM技术应用数据安全管理提出要求如下:
一、严格履行数据安全责任
建筑信息模型(BIM)是建筑业高质量发展的核心数据之一,也是未来城市信息模型(CIM)的核心数据之一。数据安全事关国家安全、公共利益、行业发展和组织的合法权益,也是推进建筑业数字化持续发展的根本保障。全区建筑领域开展BIM数据处理及应用开发活动的单位,必须依照有关法律法规和行业管理规定,建立网络安全和数据安全管理制度,明确管理机构和负责人员,落实数据安全保护责任,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动的单位,必须在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
二、实行数据分类分级管理
全区建筑领域BIM数据实行分类分级保护。根据BIM数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益、行业发展或者组织合法权益等造成的危害程度,全区建筑领域BIM数据分为一般数据、重要数据和核心数据三级。
(一)一般数据
1.一般小型房屋建筑、市政零星工程。
2.其他未纳入重要数据、核心数据的工程。
(二)重要数据
1.单体建筑面积大于5000平方米(含)或建筑高度大于24米的公共建筑、工业建筑项目。
2.大于12层的居住建筑或建筑面积大于50000平方米(含)的居住小区。
3.中型道路桥隧工程。
(三)核心数据
1.国家和自治区重点工程。
2.城市燃气、供水、供热工程,地下综合管廊。
3.人防工程。
4.《建设工程消防设计审查验收管理暂行规定》规定的特殊建设工程(除第六款)。
各有关单位应按照全区建筑领域BIM数据分级情况,做好防护工作,针对核心数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对重要数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一般数据采取的防护措施,应能抵御一般恶意攻击。
三、工作要求
(一)明确相关责任。各级主管部门要严格遵守《中华人民共和国数据安全法》,按照“谁主管谁负责、谁提供谁负责、谁使用谁负责”的原则,明确数据安全管理机构和责任人,强化数据安全管理,制定数据处理者和数据安全管理制度,落实数据安全保护责任。
(二)强化数据全生命周期管理。一是数据收集安全。各有关单位在BIM数据收集时应确保来源真实有效、合法正当,同时应明确BIM数据共享范围和用途。对数据采集的环境、设施和技术,根据数据安全等级采取必要的管控措施,确保数据的完整性、一致性和真实性,保证数据不被泄露。二是数据存储安全。各有关单位在选择全区建筑领域BIM数据存储载体时,应选择安全性能、防护级别与数据安全等级相匹配的存储载体,采用符合国家认定的密码算法对高敏感数据进行加密存储;严格管控移动存储介质的使用,防止移动存储介质在不同网络区域之间使用时造成恶意代码传播、数据泄露或损坏;制定落实数据存储备份和恢复策略,保障相关灾备措施,定期进行灾难恢复演练。三是数据传输安全。各有关单位在数据采集、共享交换、开放等数据传输环节中,应当制定并执行数据安全传输策略和规程,采用安全可信通道或数据加密等安全控制措施,确保传输过程可信、可控。对关键网络传输链路、网络设备节点实行冗余建设,保障数据传输可靠性和网络传输服务可用性。四是数据使用与加工安全。各有关单位应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用与加工数据,采取脱敏、加密、溯源等措施确保数据使用与加工过程合规、安全可控、可溯源。五是数据共享开放安全 各有关单位应当遵照“共享开放为原则、不共享开放为例外”原则共享开放本单位数据,按照数据安全、隐私(权属)保护和使用需求等确定本部门建筑领域BIM数据的共享开放范围。数据使用方应严格控制数据使用边界,确保没有超出数据提供方授权的数据使用范围。提供重要数据和核心数据的,应当对数据使用方数据安全保护能力进行必要评估或核实,必要时采取安全保护措施。对于提交到宁夏工程建设项目审批系统的所有数据,原则上不对社会开放,且需严格控制数据共享和知悉范围。六是数据销毁安全。对于过期的数据、需要销毁的,要依法采取必要措施予以销毁,并对销毁过程进行记录和备案;建立数据销毁的审批和记录流程,采取技术或管理手段,监测数据销毁操作过程。七是数据安全审计。对提交到宁夏工程建设项目审批系统的所有数据,定期进行遵守法律、行政法规等方面的合规审查,确保数据分级分类、归集、存储、传输、使用、加工、共享、开放、销毁等操作过程的合法合理合规;并建立本单位离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权。八是数据服务商管理。各有关单位服务外包业务涉及收集、存储、传输、处理、分析数据的,应当建立数据技术外包服务安全管理措施,依法与服务提供商签订数据安全保护协议,采取安全保护措施。
(三)开展数据安全评估。各级主管部门要根据职能,完善本辖区建筑领域BIM技术应用数据相关措施,加强宣传、指导和监督,切实保证建筑领域BIM数据安全。自治区住房和城乡建设厅将对使用建筑领域BIM技术应用数据的有关单位数据安全保护工作进行督查指导,开展BIM数据处理软件系统平台安全评价工作,指导帮助BIM数据处理相关单位落实数据安全保护工作,提升行业数据安全保障水平。
(四)严格追责问责。各级有关单位、各企业在BIM数据处理及应用开发活动中,要切实采取BIM数据保护措施,使用自主可控和信创认证的软件系统和平台,保证重要和核心BIM数据不出境,保证BIM数据网络传输安全。对数据处理和开发单位未履行数据安全保护责任,造成危害国家安全、损害公共利益等事故的,由相关部门依法追究相关法律责任。
宁夏回族自治区住房和城乡建设厅
2023年12月19日
(此件公开发布)