省直各單位：

　　《浙江省公共信用信息平臺網絡安全管理暫行辦法》已經省發(fā)展改革委第24次主任辦公會議審議通過，現印發(fā)給你們，請認真貫徹執(zhí)行。

浙江省發(fā)展和改革委員會

2019年11月4日

浙江省公共信用信息平臺網絡安全管理暫行辦法

第一章 總則

　　第一條 〔目的〕為加強和規(guī)范浙江省公共信用信息平臺（以下簡稱“省信用平臺”）網絡安全管理工作，切實維護社會公共利益，保護自然人、法人和其他組織的合法權益，依據《中華人民共和國網絡安全法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《浙江省公共信用信息管理條例》《浙江省政務數據安全管理辦法》等法律法規(guī)和文件，制定本辦法。

　　第二條 〔平臺定義〕本辦法所稱省信用平臺是指省本級建設的，依托統(tǒng)一電子政務網絡、電子政務云平臺等基礎設施，以公共信用信息庫、公共信用產品主題庫、信用應用工具和信用服務為主要構成，向省市縣相關部門及社會公眾提供服務的一體化綜合性平臺。

　　第三條 〔網絡安全定義〕本辦法所稱網絡安全是指省信用平臺的管理者、建設者、運維者和使用者采取策略和措施，防范省信用平臺被攻擊、侵入、干擾、破壞以及公共信用數據被泄露、竊取和篡改等非法使用的能力、狀態(tài)和行為。

　　第四條 〔適用范圍〕本省行政區(qū)域內省信用平臺的管理、建設、運維和使用活動，適用本辦法。

　　第五條 〔工作原則〕省信用平臺網絡安全工作堅持統(tǒng)分結合，堅持管理和技術并重，按照“誰主管誰負責，誰建設誰負責，誰使用誰負責”的原則，在各自職責范圍內做好網絡安全保護工作，加強協同，合力保障平臺安全。

第二章 職責與分工

　　第六條 〔責任分工〕省發(fā)展和改革部門、省公共數據工作機構、省公共信用工作機構以及省信用平臺使用部門為省信用平臺安全責任部門。

　　第七條 〔省發(fā)展和改革部門職責〕省發(fā)展和改革部門負責統(tǒng)籌協調、總體推進省信用平臺建設、運維和規(guī)范運行，指導公共信用數據、產品或服務的使用和制定相關管理規(guī)范，督促各方落實安全保障責任。

　　第八條 〔省公共數據工作機構職責〕省公共數據工作機構負責提供電子政務網絡、電子政務云平臺、公共信用信息庫等基礎設施、數據資源和應用支撐，確保相關服務的安全穩(wěn)定，配合做好平臺安全保障工作。

　　第九條 〔省公共信用工作機構職責〕省公共信用工作機構負責建設、運維省信用平臺，統(tǒng)籌推進安全檢查和風險信息收集、分析、通報預警和重大事件應急處置等工作。

　　第十條 〔使用部門職責〕省信用平臺使用部門應確保本部門獲取的公共信用數據、產品或服務合法合規(guī)使用，配合做好平臺安全保障工作。在此過程中涉及的設區(qū)市、縣（市、區(qū)）公共數據工作機構、公共信用工作機構應同步做好安全防護措施。

第三章 技術防護

　　第十一條 〔總體技術防護〕省信用平臺安全責任部門應嚴格制定和落實技術防護策略，提升基礎設施安全、數據安全、應用安全技術防護能力。

　　第十二條 〔基礎設施安全〕省公共數據工作機構應落實網絡安全等級保護等相關要求，做好設施、硬件、資源抽象控制等基礎設施平臺側的安全防護，為平臺提供符合相應安全等級保護要求的服務，提供開放接口允許接入第三方安全服務或安全產品。其他安全責任部門應做好虛擬計算資源、軟件平臺和應用平臺等租戶側的安全防護。

　　第十三條 〔數據安全〕省公共信用工作機構應會同省公共數據工作機構、省級公共信用信息提供單位對公共信用數據進行分級分類管理，并結合數據生命周期制定數據安全管控、數據備份和恢復策略，采取身份認證、授權訪問、數據脫敏、泄漏防護、安全審計等技術措施，對數據進行有效管控，防止未經授權查詢、復制、修改、存儲或傳輸數據。

　　省信用平臺安全責任部門應按照相關法律法規(guī)和標準規(guī)范要求，嚴格落實公共信用數據保護措施，不得泄露、篡改或者毀損數據。使用部門應當履行安全保密義務，不得違反法律、法規(guī)或相關規(guī)定向第三方提供公共信用數據。

　　第十四條 〔使用安全〕按照網絡安全等級保護有關規(guī)定，省信用平臺安全責任部門應做好應用技術保障，包括但不限于應用系統(tǒng)（含數據庫、中間件、業(yè)務中臺等）的賬號管理、日志分析、漏洞修復、病毒查殺、網頁防篡改、反爬蟲、補丁更新以及相關安全事件處理和問題整改等。

　　省信用平臺安全責任部門要合理制定應用安全管理（口令、權限、訪問控制等）策略，嚴格用戶權限設置，將用戶權限控制在實際需要的最小范圍。提升用戶身份鑒別能力，提高登錄密碼設置的安全強度，切實做到人戶統(tǒng)一、專人專用。

第四章 管理保障

　　第十五條 〔制度管理〕省信用平臺安全責任部門應當按照網絡安全等級保護制度的要求， 制定內部安全管理制度和操作規(guī)程，落實相關規(guī)范和安全運維策略等。

　　第十六條 〔人員管理〕省信用平臺安全責任部門應設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。平臺操作人員必須經過上崗前的專業(yè)知識培訓，包括專門的信息安全培訓等。定期對操作人員進行網絡安全教育、技術培訓和技能考核。

　　第十七條 〔項目管理〕建立省信用平臺項目全流程管理體系。在立項環(huán)節(jié)，應根據國家網絡安全等級保護制度的要求確定保護級別，并同步編制安全建設方案；在開發(fā)、集成環(huán)節(jié)，應選擇具有相應資質和能力（安全）的單位承擔相關工作，開發(fā)、集成工作應符合相關規(guī)范要求；在驗收環(huán)節(jié)，平臺應完成等保測評和風險評估；在運行環(huán)節(jié)，平臺應定期開展等保測評、風險評估和安全檢查。

　　第十八條 〔經費保障〕省信用平臺安全責任部門應建立網絡安全設施設備（服務）采購機制，落實經費保障，提高經費使用效率。

第五章 檢測監(jiān)測與應急處置

　　第十九條 〔安全檢測監(jiān)測〕省公共信用工作機構應建立健全網絡安全監(jiān)測預警機制，定期對平臺進行安全檢測評估并出具檢測報告。

　　第二十條 〔應急預案〕省信用平臺安全責任部門應制定完善本部門網絡安全事件應急預案，建立健全網絡安全應急工作機制，明確工作責任、事件分級和應急處置措施。

　　第二十一條 〔應急演練〕省信用平臺安全責任部門應定期組織應急支撐力量，開展應急演練，及時消除各類網絡安全風險隱患。

　　第二十二條 〔應急處置〕省信用平臺發(fā)生數據泄露、損毀、丟失等安全事件時，省信用平臺安全責任部門要按照應急預案啟動應急響應，采取技術措施和其他必要措施防止危害擴大，及時向省公安部門報告并保存相關記錄。安全事件處置完成后，應向省發(fā)展和改革部門及相關主管部門報告。

第六章 監(jiān)督與責任追究

　　第二十三條 〔監(jiān)督〕省發(fā)展和改革部門在履行安全管理職責中，發(fā)現其他安全責任部門責任落實不到位，存在較大安全風險或發(fā)生網絡安全事件的，應及時提出整改意見并督促落實。省信用平臺安全責任部門要根據有關整改意見按要求進行整改，并按照要求反饋整改情況。

　　第二十四條 〔責任追究〕省信用平臺安全責任單位發(fā)生重大數據安全事件的，由具有管理權限的部門依據法律法規(guī)進行問責追責，構成犯罪的依法追究刑事責任。

第七章 附則

　　第二十五條 本辦法由浙江省發(fā)展和改革委員會負責解釋。

　　第二十六條 本辦法自12月1日起施行。