号: 1629935D/202104-00026 信息分类: 部门文件
发布机构: 宿州市数据资源管理局
成文日期: 2021-04-22 发布日期: 2021-04-22 08:42
文  号: 宿数资〔2021〕6号 性: 有效
生效时间: 废止时间: 暂无
名  称: 关于印发《宿州市政务数据安全管理办法(暂行)》的通知
政策咨询机关: 基础安全科 政策咨询电话: 0557-3033561

关于印发《宿州市政务数据安全管理办法(暂行)》的通知

来源:宿州市 浏览量: 发表时间:2021-04-22 08:42 编辑:宿州信息公开077

关于印发《宿州市政务数据安全管理办法(暂行)》的通知

宿数资20216


市有关单位,各县、区人民政府:

为进一步加强我市政务数据安全管理,经研究,制定了《宿州市政务数据安全管理办法(暂行)》。现印发给你们,请遵照执行。

宿州市数据资源管理局

2021422

宿州市政务数据安全管理办法(暂行)

第一章  

第一条  为规范政务数据资源管理,推动政务信息系统互联互通和政务数据归集、共享、应用,推进“数字宿州”建设,提升政府治理能力和公共服务水平,根据有关法律、法规,结合我市实际,制定本办法。

第二条本办法适用于本市行政区域内非涉密政务数据资源的收集、存储、传输、处理、使用、销毁等活动,以及政务数据安全保护和监督管理。个人数据、涉密数据按照有关法律法规执行。

第三条本办法所称政务数据资源,是指政务部门在履行职责过程中制作或者获取的,以一定形式记录、保存的文件、资料、图表等数据资源,包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。

本办法所称政务部门是指政府部门及法律、法规授权具有行政职能的组织。

本办法所称政务数据安全,是指采取预防、管理、处置等策略和措施,防范政务数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故,保障政务数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

第四条本办法所称政务数据安全事件,是指由于各种原因导致政务信息系统出现关键业务中断、系统瘫痪、关键数据丢失或核心数据失窃等现象,给国家安全、社会稳定或公众利益等造成重大影响和严重经济损失的事件。

第五条政务数据安全采取“主动防御、综合防范”方针,坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则,实行统一协调、分级管理、分工负责,与信息化工作同步规划、同步建设、同步实施、同步发展。

第六条鼓励开展政务数据安全知识宣传普及、教育培训,增强全社会政务数据安全意识,提高政务数据安全风险防范能力。

第二章职责与分工

第七条市级及各县(区)人民政府负责加强本行政区域内政务数据安全工作的领导,统筹处置政务数据安全事件。

第八条市数据资源管理局负责统筹推进全市政务安全保障体系建设,完善数据安全管理制度和技术支撑能力,指导监督各地各部门政务数据安全保障工作,向市人民政府及有关部门报告处置辖区内各行政机关的政务数据安全事件。

各县(区)数据资源管理部门按照职责负责本辖区政务数据安全管理相关工作。

第九条各行政机关负责本单位的政务数据安全工作,完善政务数据安全保障措施,开展政务数据安全等级保护、风险评估、安全自查、安全培训等工作,保护政务数据安全,制定信息安全应急预案,及时报告和处置政务数据安全事件。

第三章安全管理

第十条各行政机关的法定代表人或者主要负责人是本单位政务数据安全的第一责任人,各行政机关应按照法律法规和相关标准,指定本单位数据安全管理部门,明确数据安全管理岗位和职责。

第十一条各行政机关应当建立政务数据安全培训制度,定期开展政务数据安全培训,对系统建设、运维人员和政务数据安全从业人员进行专项技能培训。

第十二条各行政机关应当按照国家等级保护制度要求和技术标准开展政务系统定级工作,建设符合要求的政务数据安全保护设施。

第十三条各行政机关应当建立政务数据技术外包服务和远程技术服务安全管理措施。需要外包服务或远程技术服务的,应当与服务提供商签订安全保密协议。

第十四条各行政机关归集的数据应确保来源真实有效、合法正当,同时应明确数据共享范围和用途。市级及各县(区)数据资源管理部门归集的数据应保留原始表,以满足溯源、数据质量核查等需求。

第十五条各行政机关在政务数据归集过程中,应对不同的数据归集场景定义数据溯源策略和机制,确保管理人员能够追踪其加工和计算数据的原始数据来源。

第十六条各行政机关应建立数据归集过程中的质量管理规则,明确数据质量监控范围及监控方式,并对在线和离线归集到的数据进行监控,实现对异常数据的发现和处理。

第十七条各行政机关在数据采集、共享交换、开放等数据传输环节中,应当制定并执行数据安全传输策略和规程,采用安全可信通道或数据加密等安全控制措施,确保传输过程可信、可控。

第十八条各行政机关应对传输数据的完整性进行检测,并提供异常数据的恢复技术方案;数据传输方式和安全策略变更前,需要进行评估和审核。

第十九条各行政机关在选择政务数据存储载体时,应选择安全性能、防护级别与数据安全等级相匹配的存储载体,应采用符合国家认定的密码算法对高敏感数据进行加密存储。

第二十条各行政机关应建立数据存储冗余策略,明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等;应建立数据复制、数据备份与恢复的定期检查和更新工作程序,确保数据副本或备份数据的有效性。

第二十一条各行政机关应建立数据资源安全访问策略,授予数据使用者为完成工作所需要的最小权限;应采用多种方式对数据资源访问主体的身份进行鉴别;应采用必要的措施使数据使用者的访问和修改等行为具有不可抵赖性。

第二十二条各行政机关应建立数据脱敏规范,明确需要脱敏处理的应用场景和处理方法;应提供面向使用者的定制化数据脱敏功能,可基于场景需求自定义脱敏规则;应提供数据脱敏处理过程日志记录,满足数据脱敏处理安全审计要求。

第二十三条各行政机关应采取数据处理日志管理,记录用户数据处理和加工操作,以备后期追溯;应支持对用户数据处理进行审计,确定用户对数据的加工未超出所申请数据使用目的。

第二十四条各行政机关应对数据分析结果进行评估,确保衍生数据不超过原始数据的授权范围和安全使用要求;应对利用多源数据进行大数据分析的过程进行日志记录,以满足对分析结果质量、真实性和合规性的溯源要求;应避免分析结果输出中包含可恢复的个人信息、重要数据等,从而防止个人信息、重要数据等敏感信息的泄漏。

第二十五条各行政机关共享开放本部门政务数据,应当遵守保守国家秘密、政府信息公开等法律、法规的规定,并按照数据安全、隐私保护和使用需求等确定本部门政务数据的共享开放范围;应建立规范的数据共享开放审核流程,确保没有超出数据提供者所允许的数据授权使用范围。

第二十六条各行政机关应制定数据清理和过期数据销毁策略,对于需要依法销毁的数据,各行政机关应当采取必要措施予以销毁,并对销毁过程进行记录和备案;应提出各类数据销毁场景应采用的销毁手段,明确销毁方式和销毁要求;应建立数据销毁的审批和记录流程,指定人员监督数据销毁操作过程。

第二十七条市数据资源管理局负责制定政务数据分类分级制度规范,指导、协调本级行政机关开展政务数据分类分级工作。各县(区)数据资源管理部门负责指导和推动辖区内政务数据分类分级工作。

第四章监督检查和事件处置

第二十八条市数据资源管理局可以委托第三方专业机构对本辖区政务数据安全开展调查评估,各行政机关对发现的问题应当及时整改。

第二十九条各行政机关应设立或指定工作机构,负责政务数据安全事件应急处置工作;应制定政务数据安全事件应急处置预案,定期开展应急演练,并对演练情况进行评估,补充修订应急预案。

第三十条各行政机关政务数据出现泄漏、毁损、丢失等情形,或者存在数据安全风险时,应当立即采取补救措施,并依法依规向市委网信办、市公安局和市数据资源管理局报告,并于应急工作结束后30日内补充上报事件处置情况。

第五章法律责任

第三十一条对违反本办法规定的行为,法律、法规已经规定法律责任的,适用其规定。

第三十二条违反本办法,相关人员不依法履行职责,或者玩忽职守、滥用职权、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法予以处分。

第三十三条危害政务数据安全,或者利用政务数据实施违法行为的,依法追究法律责任。

第六章  

第三十四条法律、法规授权的具有管理公共事务职能的事业单位和社会组织的政务数据安全管理工作,执行本办法。

邮政、通信、水务、电力、燃气、热力、公共交通、民航、铁路等公用事业运营单位在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的安全管理,参照本办法。法律、法规另有规定的,依照其规定。

第三十五条 本办法自发布之日起施行。

政策咨询
如果您对该政策文件有疑问,可以点击“我要问”在线咨询,也可以拨打上方的电话咨询相关部门,或者拨打市长热线:0557-12345。
扫一扫在手机打开当前页