《银川市政务数据安全管理办法(试行).docx》由会员分享,可在线阅读,更多相关《银川市政务数据安全管理办法(试行).docx(11页珍藏版)》请在优知文库上搜索。
1、银川市政务数据安全管理办法(试行)第一章总则第一条目的依据为维护国家安全、社会公共利益,保护个人、组织的合法权益,规范和加强银川市政务数据安全管理,建立健全政务数据安全保障体系,预防政务数据安全事件发生,依据中华人民共和国保守国家秘密法中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法关键信息基础设施安全保护条例宁夏回族自治区政务数据共享交换管理暂行办法等法律、法规和有关规定,结合本市实际,制定本办法。第二条政务部门本办法所称政务部门,是指本市各级行政机关及法律、法规授权具有公共事务管理职能的组织。第三条政务数据本办法所称政务数据,是指政务部门在依法履行职责过程中产生
2、或获取的,任何以电子或者其他方式对政务相关信息的记录,包括政务部门直接或通过第三方依法采集、管理的和因履行职责需要依托政务信息系统形成的数据。第四条政务数据安全管理本办法所称政务数据安全管理,是指政务数据的收集者、管理者、使用者和提供者为防范政务数据(以及承载政务数据的系统和网络)被攻击、侵入、破坏、泄漏、窃取、篡改、非法使用等风险与危害而采取的系列措施和活动。第五条方针与原则政务数据安全管理采取“主动防御、综合防范”方针,遵循“谁收集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责”的原则。政务数据安全保护措施应与信息化建设管理工作同步规划、同步建设、同步使用。政务部门应建立政务数据资源全生
3、命周期安全防护体系,政务数据实施分级分类管理,对不同安全级别的数据实施恰当的安全保护措施。第六条适用范围本办法适用于本市行政区域内非涉密政务数据收集、存储、传输、加工、使用、共享、开放、销毁等行为及相关管理活动。涉及国家秘密和工作秘密的,按照相关法律、法规、规章的规定执行。第二章职责与分工第七条市人民政府负责统筹全市政务数据安全管理保障工作,协调解决与政务数据安全有关的重大问题。各县(市)区人民政府负责本行政区域内政务数据安全管理保障工作,明确本地区政务数据安全主管部门,协调解决与政务数据安全有关的重大问题,参照建立相关政务数据安全管理办法,维护属地政务数据安全。第八条网信、保密、国家安全、公
4、安、审计等主管部门依照本办法和有关法律、行政法规的规定,在各自职责范围内承担政务数据安全监管有关职责。市、县级政务数据主管部门按照本办法和有关规律、法规、规章的规定,负责统筹协调本行政区域内政务数据安全管理工作。政务信息化项目审核部门和财政部门将政务数据安全管理情况作为资金安排或者项目验收的重要依据。凡不符合政务数据安全管理要求的,不予审核建设项目,不予安排建设运维经费。第九条各政务部门负责本部门政务数据安全管理工作,履行下列职责:(一)贯彻落实国家、自治区、市政务数据安全法律、法规、规章和标准,履行政务数据安全保护义务;建立人员管理、系统建设与运维、数据共享审核、数据备份等政务数据安全管理制
5、度;(二)明确政务数据安全负责人和管理机构,落实政务数据安全责任制;(三)建立完善政务数据安全防护体系,制定政务数据安全事件应急预案,定期开展应急演练;实施政务数据安全防护技术措施,开展政务数据安全风险评估,有效应对政务数据安全事件,发现问题及时整改;(四)定期开展政务数据安全教育培训,配合有关部门监督管理,接受社会监督;(五)承担其他政务数据安全工作。第三章数据分类分级管理第十条市网络信息化局负责组织制定银川市政务数据分类分级、数据分级防护等标准规范,指导各县(市)区、各政务部门开展政务数据分类分级管理工作。各政务部门负责组织开展本部门数据分类分级管理及重要数据和核心数据识别工作,确定本地区
6、行业(领域)重要数据和核心数据具体目录并上报市网络信息化局,目录发生变化的,应当及时上报更新。第十一条根据政务数据涉及国家秘密、工作秘密以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、社会秩序、公共利益或者自然人、法人和非法人组织的合法权益造成的危害程度,将政务数据分为核心数据、重要数据、一般数据三个级别。符合下列条件之一的数据为核心数据:(一)易引发特别重大事件,造成直接经济损失特别巨大;(二)对经济发展、公众利益、社会秩序乃至国家安全造成严重负面影响,且负面影响难以消除;(三)经市网络信息化局评估确定的其他核心数据。符合下列条件之一的数据为重要数据:(一)易引发较大或重大事
7、件,对公共利益或者个人、组织合法权益造成较大负面影响,直接经济损失较大;(二)引发的级联效应明显,影响范围涉及多个行业、区域或者多个政务部门,或影响持续时间长,或可导致大量个人、企业信息被非法获取;(三)恢复政务数据或消除负面影响所需付出的代价较大;(四)经市网络信息化局评估确定的其他重要数据。符合下列条件之一的数据为一般数据:(一)对公共利益或者个人、组织合法权益造成负面影响较小,直接经济损失较小;(二)受影响的个人和企业数量较少、区域范围较小、持续时间较短;(三)恢复政务数据或消除负面影响所需付出的代价较小;(四)其他未纳入重要数据、核心数据目录的数据。第十二条各政务部门应按照政务数据分级
8、情况,做好防护工作。针对核心数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对重要数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一般数据采取的防护措施,应能抵御一般恶意攻击。第四章安全管理第十三条网络安全管理各级电子政务外网管理部门应加强电子政务外网安全防护的规划、建设和日常保障工作,组织开展网络安全监测、检查、处置、风险评估和应急演练。严格控制网络接入行为,明确接入方式、访问控制、身份鉴别、安全审计等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。第十四条信息系统安全建设与管理各政务部门建设政务信息系统应严格遵守有关法律、法规、标准规范,同步编
9、制政务数据安全建设方案,同步建设政务数据安全防护系统,同步开展政务数据安全运行工作,定期评估,不断提高政务数据安全防护水平。各政务部门应当建设网上运行业务系统技术防护体系,采取有效防护措施,提高防篡改、防病毒、防攻击、防瘫痪、防挂马能力。加强数据安全监测和应急处置,对重要数据、核心数据进行分级管理,做好加密存储和传输。第十五条等级保护定级与整改各政务部门应落实等级保护、密码应用等要求,定期开展政务信息系统等级保护和商用密码应用安全性评估。未达到安全保护等级标准要求的,应及时进行整改。新建政务信息系统应通过等级保护测评和验收后,方可投入使用。第十六条数据收集安全各政务部门收集的数据应确保来源真实
10、有效、合法正当,同时应明确数据共享范围和用途。对数据采集的环境、设施和技术采取必要的管控措施,确保数据的完整性、一致性和真实性,保证数据在收集过程中不被泄露。第十七条数据存储安全各政务部门在选择政务数据存储载体时,应选择安全性能、防护级别与数据安全等级相匹配的存储载体,采用符合国家认定的密码算法对高敏感数据进行加密存储;严格管控移动存储介质的使用,防止移动存储介质在不同网络区域之间使用时造成恶意代码传播、数据泄露或损坏;制定落实政务数据存储备份和恢复策略,保障相关灾备措施,定期进行灾难恢复演练。第十八条数据传输安全各政务部门在数据采集、共享交换、开放等数据传输环节中,应当制定并执行数据安全传输
11、策略和规程,采用安全可信通道或数据加密等安全控制措施,确保传输过程可信、可控。对关键网络传输链路、网络设备节点实行冗余建设,保障数据传输可靠性和网络传输服务可用性。第十九条数据使用与加工安全各政务部门应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用与加工数据,采取脱敏、加密、溯源等措施确保数据使用与加工过程合规、安全可控、可溯源。第二十条数据分析安全各政务部门应对数据分析结果进行评估,确保衍生数据不超过原始数据的授权范围和安全使用要求;应对利用多源数据进行大数据分析的过程进行日志记录,以满足对分析结果质量、真实性和合规性的溯源要求;应避免分析结果输出中包含可恢复的个人信息、
12、重要数据等,从而防止个人信息、重要数据等敏感信息的泄漏。第二十一条数据共享开放安全各政务部门应当遵照“共享开放为原则、不共享开放为例外”原则共享开放本部门政务数据,按照数据安全、隐私保护和使用需求等确定本部门政务数据的共享开放范围。数据使用方应严格控制数据使用边界,确保没有超出数据提供方授权的数据使用范围。提供重要数据和核心数据的,应当对数据使用方数据安全保护能力进行评估或核实,采取必要的安全保护措施。重要数据和一般数据由市网络信息化局及数据提供部门审批和授权后,在安全合规的数据开放域系统内经过数据脱敏后进行开放。核心数据原则上不对社会开放,且需严格控制数据共享和知悉范围。第二十二条数据销毁安
13、全各政务部门应制定数据清理和过期数据销毁制度,对于需要依法销毁的数据,应当采取必要措施予以销毁,并对销毁过程进行记录和备案;建立数据销毁的审批和记录流程,采取技术或管理手段,监测数据销毁操作过程。第二十三条数据安全审计各政务部门应在市审计局、市网络信息化局指导下,定期对其处理政务数据遵守法律、行政法规的情况进行合规审计,确保政务数据分级分类、归集、存储、传输、使用、加工、共享、开放、销毁等操作过程的合法合理合规;建立本部门离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权。市网络信息化局应统一收集数据服务调用日志记录,对数据调用情况进行定期审计。第二十四条自然人、法人和非法人组织数
14、据安全各政务部门应制定自然人、法人和非法人组织数据保护制度,对为履行法定职责收集、使用的自然人、法人和非法人组织数据,应采取相应措施严格保护,不得泄露、篡改或者毁损,不得非法向他人提供。收集、使用自然人、法人和非法人组织数据,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。将自然人、法人和非法人组织数据转移或委托给其他组织或机构处理的,应与该组织或机构签订数据保护协议,明确数据使用范围和保护责任。第二十五条数据服务商管理各政务部门服务外包业务涉及收集、存储、传输、处理、分析数据的,应当建立政务数据技术外包服务安全管理措施,依法与服务提供商签订数据安全保护协议
15、,采取安全保护措施。第二十六条数据安全经费保障各政务部门应建立政务数据安全经费保障机制,将政务数据安全经费纳入年度部门预算。第二十七条安全教育培训各级政务数据主管部门应定期开展政务数据安全意识教育与政务数据设备、系统安全操作培训,对系统建设、运维人员和政务数据安全管理人员进行专项技能培训。第五章事件处置和监督检查第二十八条各政务部门应制定政务数据安全事件应急处置预案,定期开展应急演练,并对演练情况进行评估,及时整改演练中发现的问题。发生政务数据安全事件时,立即启动应急预案,采取相应的补救措施,并按照规定向市委网信办报告。第二十九条各级政务数据主管部门应自行或者委托第三方专业机构通过随机抽查、定
16、期检查等方式对本辖区政务数据安全管理工作进行监督检查,政务部门应予配合,发现问题及时整改。第三十条建立政务数据安全绩效考核制度,将政务数据安全工作列入数字政府年度考核任务,市网络信息化局会同有关单位负责对各部门政务数据安全绩效进行考核评分,并将考核结果作为下一年度数据及信息化项目审批的重要参考依据。第六章责任追究第三十一条政务部门违反本办法规定的,由政务数据主管部门通知限期整改;逾期未改正的,政务数据主管部门应当及时将有关情况上报本级人民政府纳入督查督办事项并责令改正;情节严重的,依法追究责任。第三十二条违反本办法规定的,按照相关法律法规处理。造成自然人、法人或者非法人组织合法利益受到侵害的,依法承担民事责任;构成犯罪的,依法追究刑事责任。第七章附则第三十三条行政机关委托的行使行政职能或
免费区 