郑州市政务数据安全管理暂行办法

郑州市人民政府文件郑政〔 2020〕22 号郑州市人民政府关于印发郑州市政务数据安全管理暂行办法的通知各开发区管委会,各区县 (市) 人民政府,市人民政府各部门, 各有关单位: 现将《郑州市政务数据安全管理暂行办法》印发给你们,请结合实际,认真贯彻执行。 2020 年 11 月 19 日 — 1 — 郑州市政务数据安全管理暂行办法第一章第一条总则为加强政务数据安全管理,建立健全政务数据安全保障体系,预防政务数据安全事件发生,根据《中华人民共和国网络安全法》《郑州市政府信息资源共享管理办法》等有关规定, 结合本市实际,制定本办法。第二条本办法适用于本市行政区域内的非涉密政务数据安全管理工作。涉及国家秘密的政务数据,按照国家保密相关规定管理和使用。第三条政务数据安全采取积极防御、综合防范; 统一协调、统筹规划;分级管理、分工负责的方针,坚持保障政务数据安全与促进信息化发展相协调,管理与技术统筹兼顾的原则。政务数据安全和信息化工作应当同步规划、同步建设、同步实施、同步发展。第二章第四条 — 2 — 职责分工市大数据主管部门负责全市政务数据安全管理工作的组织、指导和协调,履行下列职责: (一)依照国家、省、市政务数据安全法律、法规、规章和标准,编制政务数据安全发展战略和总体规划,制定政务数据安全标准,建立考核评价制度,指导各政务部门开展政务数据安全工作; (二)健全完善适应于大数据环境下的数据分类分级安全管理制度,制定适合数字经济新产业、新业态、新应用模式的政务数据分类分级规则,为政务数据安全管理和安全资源配置提供指导; (三)组织建设和完善政务数据安全保障基础设施,引进政务数据安全管理与测评机制,健全数据安全专家队伍; (四)负责组织做好政务数据安全的风险评估、安全培训等工作; (五)会同网信、公安部门,按照各自职责分工对政务部门进行政务数据安全检查,对发现的问题提出指导建议; (六)法律、法规、规章规定的其他职责。第五条区县 (市)大数据主管部门按照职责开展政务数据安全管理工作,会同本级网信、公安部门开展政务数据安全检查,建立政务数据安全监测预警、信息通报和应急处置机制等。第六条各政务部门负责本单位的政务数据安全工作,履行下列职责: (一)执行国家、省、市政务数据安全法律、法规、规章和 — 3 — 标准,履行数据安全保护义务,指定政务数据安全管理人员,落实政务数据安全责任制; (二)制定政务数据安全计划,实施数据安全防护技术措施, 开展政务数据安全风险评估,有效应对政务数据安全事件,防范违法犯罪活动; (三)参加政务数据安全教育培训,接受有关部门监管和社会监督; (四)承担其他政务数据安全工作。第三章第七条政务数据安全管理各政务部门应当建立政务数据安全经费保障制度, 将政务数据安全经费纳入本单位年度财务预算。第八条各政务部门应当建立政务信息系统和政务数据资产管理体系,实行资产登记,编制资产清单,明确资产管理责任部门与人员,定期按照资产清单对数据资产进行一致性检查并保留检查记录。第九条机房的物理环境安全管理工作,实行 “谁建设、谁负责”“谁主管、谁督促”“谁使用、谁要求”的管理责任制,对出入机房人员进行审查、登记。第十条各政务部门应当进行必要的安全性评估工作,加强对服务器上的应用、服务、端口的安全管理,定期实施漏洞扫 — 4 — 描、恶意代码检测,及时升级系统安全补丁。建立和完善密码防护系统,提升密码安全防护能力。第十一条各政务部门应当采取集中管控、用户识别、访问控制、安全审计等技术防护措施,严格落实终端计算机的安全管理。第十二条各政务部门应当明确采集数据的目的和用途,确保数据采集的合法性、正当性、必要性和业务关联性。对数据采集的环境、设施和技术采取必要的管控措施, 确保数据的完整性、一致性和真实性。第十三条各政务部门应当对数据进行脱敏、分析、溯源等处理措施,应当严格落实政务数据的安全处理机制。第十四条各政务部门应当在数据采集、共享交换等数据传输环节中,制定并执行数据安全传输策略,采用安全可信通道或数据加密等安全防控措施,确保传输过程可信、可控。对关键网络传输链路、网络设备节点实行冗余配置,保障数据传输可靠性和网络传输服务可用性。第十五条各政务部门应当在选择政务数据存储载体时,选择安全性能、防护级别与数据安全等级相匹配的存储载体,并制定落实政务数据存储备份和恢复策略,保障相关灾备措施,定期进行灾难恢复演练。各政务部门应当严格管控移动存储介质的使用,防止移动存储介质在不同网络区域之间交叉使用造成恶意代码的传播和数据 — 5 — 泄露。第十六条各政务部门应当遵照 “共享为原则、不共享为例外”的政务数据共享原则,采取加密、脱敏、备份、审计等措施对政务数据予以安全保护,承担数据安全审查职责。政务数据使用单位签订政务数据安全保护协议,明确政务数据共享内容、使用期限以及双方的权利、义务和责任。政务数据使用单位对于共享的政务数据具有上述相同的安全管理责任。第十七条各政务部门应当制定数据清理和过期数据销毁策略,对于需要依法销毁的数据,应当采取必要措施予以销毁并对销毁过程进行记录和备案。建立数据销毁的审批和记录流程,采取技术或管理手段,监测数据销毁操作过程,确保全过程可审计。第十八条各政务部门重要信息系统应当启用备份容灾机制,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,不得向境外发送。第十九条各政务部门应当加强对公民信息和重要数据采集、传输、存储、处理、共享、销毁和使用的保护。第二十条各政务部门应当遵循市级统一的政务数据分类分级规则,配套差异化的安全控制措施,实现对政务数据的分类分级保护。第二十一条 — 6 — 各政务部门应当按照网络安全等级保护制度的要求、技术标准对政务信息系统开展建设与整改。第二十二条各级大数据主管部门应当建立网上运行业务系统技术防护体系,采取有效防护措施,提高防篡改、防病毒、防攻击、防瘫痪、防挂马能力,定期进行安全检查和风险评估。第二十三条各级大数据主管部门应当以数据安全管控、监控、审计、运营等模式,实现日常运维规范化和标准化,提高工作效率。第二十四条各级大数据主管部门应当对政务数据的生命周期建立数据安全溯源机制,跟踪记录数据产生、传输、归集、共享、使用各个环节的详细情况,出现安全问题,快速定位,及时解决。第二十五条各级大数据主管部门应当定期开展政务数据安全意识教育与政务数据安全操作基础培训,对系统建设、运维人员和政务数据安全从业人员进行针对性专项技能培训。第四章第二十六条政务数据安全检查与应急处理各级大数据主管部门会同本级网信、公安部门建立政务数据安全年度检查和专项检查制度,对全市政务数据应用的安全性、合规性进行检查;各政务部门应当配合检查,对检查中发现的问题及时整改。第二十七条各级大数据主管部门按照规定委托具有资质的 — 7 — 第三方机构对政务数据安全工作开展风险评估,对发现的问题各政务部门应当及时整改。第二十八条各政务部门应当根据实际需要与网信、公安、当地线路运营商、电网等部门建立应急协调机制,及时处理由网络中断、电力供应和非法攻击行为等引发的政务数据安全事件。第二十九条政务数据出现下列情形之一时,各政务部门应当立即采取补救措施,并报送同级网信、公安、大数据等部门: (一)发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击遭到破坏的; (二)发生重大政务数据安全事件; (三)公民、法人信息或重要政务数据泄露、毁损、丢失, 造成重大影响或经济损失; (四)行政机关及事业单位等网站数据被篡改; (五)国家、省、市政务数据安全主管部门通报的事件; (六)其他需要调查的。第五章第三十条责任追究政务部门、公职人员违反本办法,法律、法规已有法律责任规定的,依照其规定。第三十一条政务部门有下列行为之一的,由有关主管部门责令限期改正;造成安全隐患或者导致政务数据安全事件发生 — 8 — 的,对责任单位进行通报批评;涉及违法犯罪的由公安机关依法查处: (一)违反本办法第十九条,导致网络数据泄露或者被窃取、篡改的; (二)违反本办法第二十二条,未采取数据分类分级保护措施的; (三)违反本办法第二十三条,未履行网络安全等级保护制度的; (四)违反本办法第二十七条,拒绝、阻碍安全检查和未按要求进行整改的; (五)违反本办法第二十八条,未进行风险检测评估的。第三十二条公职人员违反本办法,有下列行为之一的,由有关主管部门根据情节轻重依法给予相应的处理: (一)不履行或者不正确履行职责,玩忽职守,贻误政务数据安全管理工作的; (二)泄露政务数据,或者泄露因履行职责掌握的公民、法人信息的; (三)处置政务数据安全事件,存在瞒报、缓报、谎报、迟报和推诿责任行为的; (四)拒不提供必要的支持与协助,干扰事件调查的。第三十三条违反本办法,使公民、法人或者其他组织的合法利益受到侵害的,依法承担民事责任。构成犯罪的,由公安机 — 9 — 关依法追究刑事责任。第六章第三十四条附则本办法所称政务信息系统,是指各政务部门所建设的,由计算机及其相关和配套设备、设施 (含网络) 构成的,按照一定的应用目标和规则对相关信息和数据进行采集、加工、存储、传输、检索等处理的人机系统。第三十五条本办法所称政务数据,是指各政务部门在依法履行职责过程中,依托政务信息系统制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息资源。第三十六条本办法所称政务部门,是指政府部门及法律、法规授权具有行政职能的事业单位和社会组织。第三十七条本办法所称政务数据安全,是指通过采取必要措施,防范对网络 (系统、数据)的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络 (系统)处于稳定可靠运行的状态,以及保障政务数据的完整