宁建（消）发〔2023〕27号

　　各市、县(区）住房城乡建设局、审批局，宁东管委会建设和交通局，各有关单位：

　　为加强我区建筑领域建筑信息模型（BIM）技术应用数据安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规和住房城乡建设部开展建筑信息模型（BIM）技术应用有关要求，现就全区建筑领域BIM技术应用数据安全管理提出要求如下：

　　一、严格履行数据安全责任

　　建筑信息模型（BIM）是建筑业高质量发展的核心数据之一，也是未来城市信息模型（CIM）的核心数据之一。数据安全事关国家安全、公共利益、行业发展和组织的合法权益，也是推进建筑业数字化持续发展的根本保障。全区建筑领域开展BIM数据处理及应用开发活动的单位，必须依照有关法律法规和行业管理规定，建立网络安全和数据安全管理制度，明确管理机构和负责人员，落实数据安全保护责任，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动的单位，必须在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

　　二、实行数据分类分级管理

　　全区建筑领域BIM数据实行分类分级保护。根据BIM数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益、行业发展或者组织合法权益等造成的危害程度，全区建筑领域BIM数据分为一般数据、重要数据和核心数据三级。

　　（一）一般数据

　　   1.一般小型房屋建筑、市政零星工程。

　　   2.其他未纳入重要数据、核心数据的工程。

　　（二）重要数据

　　   1.单体建筑面积大于5000平方米（含）或建筑高度大于24米的公共建筑、工业建筑项目。

　　2.大于12层的居住建筑或建筑面积大于50000平方米（含）的居住小区。

　　3.中型道路桥隧工程。

　　（三）核心数据

　　   1.国家和自治区重点工程。

　　   2.城市燃气、供水、供热工程，地下综合管廊。

　　   3.人防工程。

　　   4.《建设工程消防设计审查验收管理暂行规定》规定的特殊建设工程（除第六款）。

　　各有关单位应按照全区建筑领域BIM数据分级情况，做好防护工作，针对核心数据采取的防护措施，应能抵御来自国家级敌对组织的大规模恶意攻击；针对重要数据采取的防护措施，应能抵御大规模、较强恶意攻击；针对一般数据采取的防护措施，应能抵御一般恶意攻击。

　　三、工作要求

　　（一）明确相关责任。各级主管部门要严格遵守《中华人民共和国数据安全法》，按照“谁主管谁负责、谁提供谁负责、谁使用谁负责”的原则，明确数据安全管理机构和责任人，强化数据安全管理，制定数据处理者和数据安全管理制度，落实数据安全保护责任。

　　（二）强化数据全生命周期管理。一是数据收集安全。各有关单位在BIM数据收集时应确保来源真实有效、合法正当，同时应明确BIM数据共享范围和用途。对数据采集的环境、设施和技术，根据数据安全等级采取必要的管控措施，确保数据的完整性、一致性和真实性，保证数据不被泄露。二是数据存储安全。各有关单位在选择全区建筑领域BIM数据存储载体时，应选择安全性能、防护级别与数据安全等级相匹配的存储载体，采用符合国家认定的密码算法对高敏感数据进行加密存储；严格管控移动存储介质的使用，防止移动存储介质在不同网络区域之间使用时造成恶意代码传播、数据泄露或损坏；制定落实数据存储备份和恢复策略，保障相关灾备措施，定期进行灾难恢复演练。三是数据传输安全。各有关单位在数据采集、共享交换、开放等数据传输环节中，应当制定并执行数据安全传输策略和规程，采用安全可信通道或数据加密等安全控制措施，确保传输过程可信、可控。对关键网络传输链路、网络设备节点实行冗余建设，保障数据传输可靠性和网络传输服务可用性。四是数据使用与加工安全。各有关单位应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用与加工数据，采取脱敏、加密、溯源等措施确保数据使用与加工过程合规、安全可控、可溯源。五是数据共享开放安全  各有关单位应当遵照“共享开放为原则、不共享开放为例外”原则共享开放本单位数据，按照数据安全、隐私(权属)保护和使用需求等确定本部门建筑领域BIM数据的共享开放范围。数据使用方应严格控制数据使用边界，确保没有超出数据提供方授权的数据使用范围。提供重要数据和核心数据的，应当对数据使用方数据安全保护能力进行必要评估或核实，必要时采取安全保护措施。对于提交到宁夏工程建设项目审批系统的所有数据，原则上不对社会开放，且需严格控制数据共享和知悉范围。六是数据销毁安全。对于过期的数据、需要销毁的，要依法采取必要措施予以销毁，并对销毁过程进行记录和备案；建立数据销毁的审批和记录流程，采取技术或管理手段，监测数据销毁操作过程。七是数据安全审计。对提交到宁夏工程建设项目审批系统的所有数据，定期进行遵守法律、行政法规等方面的合规审查，确保数据分级分类、归集、存储、传输、使用、加工、共享、开放、销毁等操作过程的合法合理合规；并建立本单位离任审计机制，对关键人员的离任进行审查，及时回收相关资源和授权。八是数据服务商管理。各有关单位服务外包业务涉及收集、存储、传输、处理、分析数据的，应当建立数据技术外包服务安全管理措施，依法与服务提供商签订数据安全保护协议，采取安全保护措施。

　　（三）开展数据安全评估。各级主管部门要根据职能，完善本辖区建筑领域BIM技术应用数据相关措施，加强宣传、指导和监督，切实保证建筑领域BIM数据安全。自治区住房和城乡建设厅将对使用建筑领域BIM技术应用数据的有关单位数据安全保护工作进行督查指导，开展BIM数据处理软件系统平台安全评价工作，指导帮助BIM数据处理相关单位落实数据安全保护工作，提升行业数据安全保障水平。

　　（四）严格追责问责。各级有关单位、各企业在BIM数据处理及应用开发活动中，要切实采取BIM数据保护措施，使用自主可控和信创认证的软件系统和平台，保证重要和核心BIM数据不出境，保证BIM数据网络传输安全。对数据处理和开发单位未履行数据安全保护责任，造成危害国家安全、损害公共利益等事故的，由相关部门依法追究相关法律责任。

　　宁夏回族自治区住房和城乡建设厅

　　2023年12月19日

　　（此件公开发布）