《银川市政务数据安全管理办法(试行).docx》由会员分享,可在线阅读,更多相关《银川市政务数据安全管理办法(试行).docx(11页珍藏版)》请在第一文库网上搜索。
1、银川市政务数据安全管理办法(试行)第一章总则第一条 目的依据为维护国家安全、社会公共利益, 保护个人、组织的合法权益,规范和加强银川市政务数据安 全管理,建立健全政务数据安全保障体系,预防政务数据安 全事件发生,依据中华人民共和国保守国家秘密法中 华人民共和国网络安全法中华人民共和国数据安全法 中华人民共和国个人信息保护法关键信息基础设施安 全保护条例宁夏回族自治区政务数据共享交换管理暂行 办法等法律、法规和有关规定,结合本市实际,制定本办 法。第二条 政务部门 本办法所称政务部门,是指本市 各级行政机关及法律、法规授权具有公共事务管理职能的组 织。第三条 政务数据 本办法所称政务数据,是指政
2、务 部门在依法履行职责过程中产生或获取的,任何以电子或者 其他方式对政务相关信息的记录,包括政务部门直接或通过 第三方依法采集、管理的和因履行职责需要依托政务信息系 统形成的数据。第四条 政务数据安全管理 本办法所称政务数据安 全管理,是指政务数据的收集者、管理者、使用者和提供者 为防范政务数据(以及承载政务数据的系统和网络)被攻 击、侵入、破坏、泄漏、窃取、篡改、非法使用等风险与危 害而采取的系列措施和活动。第五条 方针与原则政务数据安全管理采取“主动防 御、综合防范”方针,遵循“谁收集谁负责、谁持有谁负 责、谁管理谁负责、谁使用谁负责”的原则。政务数据安全 保护措施应与信息化建设管理工作同
3、步规划、同步建设、同 步使用。政务部门应建立政务数据资源全生命周期安全防护 体系,政务数据实施分级分类管理,对不同安全级别的数据 实施恰当的安全保护措施。第六条 适用范围本办法适用于本市行政区域内非涉 密政务数据收集、存储、传输、加工、使用、共享、开放、 销毁等行为及相关管理活动。涉及国家秘密和工作秘密的, 按照相关法律、法规、规章的规定执行。第二章职责与分工第七条市人民政府负责统筹全市政务数据安全管理 保障工作,协调解决与政务数据安全有关的重大问题。各县(市)区人民政府负责本行政区域内政务数据安 全管理保障工作,明确本地区政务数据安全主管部门,协 调解决与政务数据安全有关的重大问题,参照建立
4、相关政 务数据安全管理办法,维护属地政务数据安全。第八条 网信、保密、国家安全、公安、审计等主管 部门依照本办法和有关法律、行政法规的规定,在各自职责 范围内承担政务数据安全监管有关职责。市、县级政务数据主管部门按照本办法和有关规律、 法规、规章的规定,负责统筹协调本行政区域内政务数据 安全管理工作。政务信息化项目审核部门和财政部门将政务数据安全 管理情况作为资金安排或者项目验收的重要依据。凡不符 合政务数据安全管理要求的,不予审核建设项目,不予安 排建设运维经费。第九条 各政务部门负责本部门政务数据安全管理工 作,履行下列职责:(一)贯彻落实国家、自治区、市政务数据安全法律、 法规、规章和标
5、准,履行政务数据安全保护义务;建立人员 管理、系统建设与运维、数据共享审核、数据备份等政务数 据安全管理制度;(二)明确政务数据安全负责人和管理机构,落实政务 数据安全责任制;(三)建立完善政务数据安全防护体系,制定政务数据 安全事件应急预案,定期开展应急演练;实施政务数据安全 防护技术措施,开展政务数据安全风险评估,有效应对政务 数据安全事件,发现问题及时整改;(四)定期开展政务数据安全教育培训,配合有关部门 监督管理,接受社会监督;(五)承担其他政务数据安全工作。第三章数据分类分级管理第十条 市网络信息化局负责组织制定银川市政务数 据分类分级、数据分级防护等标准规范,指导各县(市) 区、各
6、政务部门开展政务数据分类分级管理工作。各政务部门负责组织开展本部门数据分类分级管理及 重要数据和核心数据识别工作,确定本地区行业(领域)重 要数据和核心数据具体目录并上报市网络信息化局,目录发 生变化的,应当及时上报更新。第十一条 根据政务数据涉及国家秘密、工作秘密以 及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对 国家安全、社会秩序、公共利益或者自然人、法人和非法人 组织的合法权益造成的危害程度,将政务数据分为核心数 据、重要数据、一般数据三个级别。符合下列条件之一的数据为核心数据:(一)易引发特别重大事件,造成直接经济损失特别巨 大;(二)对经济发展、公众利益、社会秩序乃至国家安全
7、造成严重负面影响,且负面影响难以消除;(S)经市网络信息化局评估确定的其他核心数据。符合下列条件之一的数据为重要数据:(一)易引发较大或重大事件,对公共利益或者个人、 组织合法权益造成较大负面影响,直接经济损失较大;(二)引发的级联效应明显,影响范围涉及多个行业、 区域或者多个政务部门,或影响持续时间长,或可导致大量 个人、企业信息被非法获取;(三)恢复政务数据或消除负面影响所需付出的代价较 大;(四)经市网络信息化局评估确定的其他重要数据。符合下列条件之一的数据为一般数据:(一)对公共利益或者个人、组织合法权益造成负面影 响较小,直接经济损失较小;(二)受影响的个人和企业数量较少、区域范围较
8、小、 持续时间较短;(三)恢复政务数据或消除负面影响所需付出的代价较 小;(四)其他未纳入重要数据、核心数据目录的数据。第十二条各政务部门应按照政务数据分级情况,做 好防护工作。针对核心数据采取的防护措施,应能抵御来自 国家级敌对组织的大规模恶意攻击;针对重要数据采取的防 护措施,应能抵御大规模、较强恶意攻击;针对一般数据采 取的防护措施,应能抵御一般恶意攻击。第四章安全管理第十三条 网络安全管理各级电子政务外网管理部门 应加强电子政务外网安全防护的规划、建设和日常保障工作, 组织开展网络安全监测、检查、处置、风险评估和应急演练。 严格控制网络接入行为,明确接入方式、访问控制、身份鉴 别、安全
9、审计等措施要求,形成网络接入日志并定期审计, 确保未经审查通过的设备无法接入。第十四条 信息系统安全建设与管理 各政务部门建 设政务信息系统应严格遵守有关法律、法规、标准规范,同 步编制政务数据安全建设方案,同步建设政务数据安全防护 系统,同步开展政务数据安全运行工作,定期评估,不断提 高政务数据安全防护水平。各政务部门应当建设网上运行业务系统技术防护体系, 采取有效防护措施,提高防篡改、防病毒、防攻击、防瘫痪、 防挂马能力。加强数据安全监测和应急处置,对重要数据、 核心数据进行分级管理,做好加密存储和传输。第十五条等级保护定级与整改各政务部门应落实 等级保护、密码应用等要求,定期开展政务信息
10、系统等级保 护和商用密码应用安全性评估。未达到安全保护等级标准要 求的,应及时进行整改。新建政务信息系统应通过等级保护 测评和验收后,方可投入使用。第十六条 数据收集安全 各政务部门收集的数据应 确保来源真实有效、合法正当,同时应明确数据共享范围和 用途。对数据采集的环境、设施和技术采取必要的管控措施, 确保数据的完整性、一致性和真实性,保证数据在收集过程 中不被泄露。第十七条 数据存储安全 各政务部门在选择政务数 据存储载体时,应选择安全性能、防护级别与数据安全等级 相匹配的存储载体,采用符合国家认定的密码算法对高敏感 数据进行加密存储;严格管控移动存储介质的使用,防止移 动存储介质在不同网
11、络区域之间使用时造成恶意代码传播、 数据泄露或损坏;制定落实政务数据存储备份和恢复策略, 保障相关灾备措施,定期进行灾难恢复演练。第十八条 数据传输安全 各政务部门在数据采集、共 享交换、开放等数据传输环节中,应当制定并执行数据安全 传输策略和规程,采用安全可信通道或数据加密等安全控制 措施,确保传输过程可信、可控。对关键网络传输链路、网 络设备节点实行冗余建设,保障数据传输可靠性和网络传输 服务可用性。第十九条 数据使用与加工安全 各政务部门应当在 其履行法定职责的范围内依照法律、法规、规章规定的条件 和程序使用与加工数据,采取脱敏、加密、溯源等措施确保 数据使用与加工过程合规、安全可控、可
12、溯源。第二十条 数据分析安全 各政务部门应对数据分析 结果进行评估,确保衍生数据不超过原始数据的授权范围和 安全使用要求;应对利用多源数据进行大数据分析的过程进 行日志记录,以满足对分析结果质量、真实性和合规性的溯 源要求;应避免分析结果输出中包含可恢复的个人信息、重 要数据等,从而防止个人信息、重要数据等敏感信息的泄漏。第二十一条 数据共享开放安全 各政务部门应当遵 照“共享开放为原则、不共享开放为例外”原则共享开放本 部门政务数据,按照数据安全、隐私保护和使用需求等确定 本部门政务数据的共享开放范围。数据使用方应严格控制数 据使用边界,确保没有超出数据提供方授权的数据使用范围。提供重要数据
13、和核心数据的,应当对数据使用方数据安 全保护能力进行评估或核实,采取必要的安全保护措施。重要数据和一般数据由市网络信息化局及数据提供部 门审批和授权后,在安全合规的数据开放域系统内经过数据 脱敏后进行开放。核心数据原则上不对社会开放,且需严格 控制数据共享和知悉范围。第二十二条 数据销毁安全 各政务部门应制定数据 清理和过期数据销毁制度,对于需要依法销毁的数据,应当 采取必要措施予以销毁,并对销毁过程进行记录和备案;建 立数据销毁的审批和记录流程,采取技术或管理手段,监测 数据销毁操作过程。第二十三条 数据安全审计 各政务部门应在市审计 局、市网络信息化局指导下,定期对其处理政务数据遵守法 律
14、、行政法规的情况进行合规审计,确保政务数据分级分类、 归集、存储、传输、使用、加工、共享、开放、销毁等操作 过程的合法合理合规;建立本部门离任审计机制,对关键人 员的离任进行审查,及时回收相关资源和授权。市网络信息 化局应统一收集数据服务调用日志记录,对数据调用情况进 行定期审计。第二十四条 自然人、法人和非法人组织数据安全 各 政务部门应制定自然人、法人和非法人组织数据保护制度, 对为履行法定职责收集、使用的自然人、法人和非法人组织 数据,应采取相应措施严格保护,不得泄露、篡改或者毁损, 不得非法向他人提供。收集、使用自然人、法人和非法人组织数据,应当依照 法律、行政法规规定的权限、程序进行
15、,不得超出履行法定 职责所必需的范围和限度。将自然人、法人和非法人组织数据转移或委托给其他组 织或机构处理的,应与该组织或机构签订数据保护协议,明 确数据使用范围和保护责任。第二十五条 数据服务商管理 各政务部门服务外包 业务涉及收集、存储、传输、处理、分析数据的,应当建立 政务数据技术外包服务安全管理措施,依法与服务提供商签 订数据安全保护协议,采取安全保护措施。第二十六条数据安全经费保障各政务部门应建立政 务数据安全经费保障机制,将政务数据安全经费纳入年度部 门预算。第二十七条安全教育培训各级政务数据主管部门应 定期开展政务数据安全意识教育与政务数据设备、系统安全 操作培训,对系统建设、运
16、维人员和政务数据安全管理人员 进行专项技能培训。第五章事件处置和监督检查第二十八条 各政务部门应制定政务数据安全事件应 急处置预案,定期开展应急演练,并对演练情况进行评估, 及时整改演练中发现的问题。发生政务数据安全事件时,立 即启动应急预案,采取相应的补救措施,并按照规定向市委 网信办报告。第二十九条 各级政务数据主管部门应自行或者委托 第三方专业机构通过随机抽查、定期检查等方式对本辖区政 务数据安全管理工作进行监督检查,政务部门应予配合,发 现问题及时整改。第三十条建立政务数据安全绩效考核制度,将政务数 据安全工作列入数字政府年度考核任务,市网络信息化局会 同有关单位负责对各部门政务数据安全绩效进行考核评分, 并将考核结果作为下一年度数据及信息化项目审批的重要参 考依据。第六章责任追究第三十一条 政务部
免费区 
