各縣(市)區(qū)人民政府,市政府各部門、各直屬機(jī)構(gòu):
《銀川市政務(wù)數(shù)據(jù)安全管理辦法(試行)》已經(jīng)市人民政府研究同意,現(xiàn)印發(fā)給你們,請認(rèn)真貫徹執(zhí)行。
銀川市人民政府辦公室
2023年10月13日
?。ù思_發(fā)布)
銀川市政務(wù)數(shù)據(jù)安全管理辦法(試行)
第一章 總 則
第一條 目的依據(jù) 為維護(hù)國家安全、社會公共利益,保護(hù)個人、組織的合法權(quán)益,規(guī)范和加強(qiáng)銀川市政務(wù)數(shù)據(jù)安全管理,建立健全政務(wù)數(shù)據(jù)安全保障體系,預(yù)防政務(wù)數(shù)據(jù)安全事件發(fā)生,依據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《寧夏回族自治區(qū)政務(wù)數(shù)據(jù)共享交換管理暫行辦法》等法律、法規(guī)和有關(guān)規(guī)定,結(jié)合本市實(shí)際,制定本辦法。
第二條 政務(wù)部門本辦法所稱政務(wù)部門,是指本市各級行政機(jī)關(guān)及法律、法規(guī)授權(quán)具有公共事務(wù)管理職能的組織。
第三條 政務(wù)數(shù)據(jù)本辦法所稱政務(wù)數(shù)據(jù),是指政務(wù)部門在依法履行職責(zé)過程中產(chǎn)生或獲取的,任何以電子或者其他方式對政務(wù)相關(guān)信息的記錄,包括政務(wù)部門直接或通過第三方依法采集、管理的和因履行職責(zé)需要依托政務(wù)信息系統(tǒng)形成的數(shù)據(jù)。
第四條 政務(wù)數(shù)據(jù)安全管理本辦法所稱政務(wù)數(shù)據(jù)安全管理,是指政務(wù)數(shù)據(jù)的收集者、管理者、使用者和提供者為防范政務(wù)數(shù)據(jù)(以及承載政務(wù)數(shù)據(jù)的系統(tǒng)和網(wǎng)絡(luò))被攻擊、侵入、破壞、泄漏、竊取、篡改、非法使用等風(fēng)險與危害而采取的系列措施和活動。
第五條 方針與原則 政務(wù)數(shù)據(jù)安全管理采取“主動防御、綜合防范”方針,遵循“誰收集誰負(fù)責(zé)、誰持有誰負(fù)責(zé)、誰管理誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則。政務(wù)數(shù)據(jù)安全保護(hù)措施應(yīng)與信息化建設(shè)管理工作同步規(guī)劃、同步建設(shè)、同步使用。政務(wù)部門應(yīng)建立政務(wù)數(shù)據(jù)資源全生命周期安全防護(hù)體系,政務(wù)數(shù)據(jù)實(shí)施分級分類管理,對不同安全級別的數(shù)據(jù)實(shí)施恰當(dāng)?shù)陌踩Wo(hù)措施。
第六條 適用范圍 本辦法適用于本市行政區(qū)域內(nèi)非涉密政務(wù)數(shù)據(jù)收集、存儲、傳輸、加工、使用、共享、開放、銷毀等行為及相關(guān)管理活動。涉及國家秘密和工作秘密的,按照相關(guān)法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。
第二章 職責(zé)與分工
第七條 市人民政府負(fù)責(zé)統(tǒng)籌全市政務(wù)數(shù)據(jù)安全管理保障工作,協(xié)調(diào)解決與政務(wù)數(shù)據(jù)安全有關(guān)的重大問題。
各縣(市)區(qū)人民政府負(fù)責(zé)本行政區(qū)域內(nèi)政務(wù)數(shù)據(jù)安全管理保障工作,明確本地區(qū)政務(wù)數(shù)據(jù)安全主管部門,協(xié)調(diào)解決與政務(wù)數(shù)據(jù)安全有關(guān)的重大問題,參照建立相關(guān)政務(wù)數(shù)據(jù)安全管理辦法,維護(hù)屬地政務(wù)數(shù)據(jù)安全。
第八條 網(wǎng)信、保密、國家安全、公安、審計等主管部門依照本辦法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)承擔(dān)政務(wù)數(shù)據(jù)安全監(jiān)管有關(guān)職責(zé)。
市、縣級政務(wù)數(shù)據(jù)主管部門按照本辦法和有關(guān)規(guī)律、法規(guī)、規(guī)章的規(guī)定,負(fù)責(zé)統(tǒng)籌協(xié)調(diào)本行政區(qū)域內(nèi)政務(wù)數(shù)據(jù)安全管理工作。
政務(wù)信息化項目審核部門和財政部門將政務(wù)數(shù)據(jù)安全管理情況作為資金安排或者項目驗(yàn)收的重要依據(jù)。凡不符合政務(wù)數(shù)據(jù)安全管理要求的,不予審核建設(shè)項目,不予安排建設(shè)運(yùn)維經(jīng)費(fèi)。
第九條 各政務(wù)部門負(fù)責(zé)本部門政務(wù)數(shù)據(jù)安全管理工作,履行下列職責(zé):
(一)貫徹落實(shí)國家、自治區(qū)、市政務(wù)數(shù)據(jù)安全法律、法規(guī)、規(guī)章和標(biāo)準(zhǔn),履行政務(wù)數(shù)據(jù)安全保護(hù)義務(wù);建立人員管理、系統(tǒng)建設(shè)與運(yùn)維、數(shù)據(jù)共享審核、數(shù)據(jù)備份等政務(wù)數(shù)據(jù)安全管理制度;
?。ǘ┟鞔_政務(wù)數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)政務(wù)數(shù)據(jù)安全責(zé)任制;
?。ㄈ┙⑼晟普?wù)數(shù)據(jù)安全防護(hù)體系,制定政務(wù)數(shù)據(jù)安全事件應(yīng)急預(yù)案,定期開展應(yīng)急演練;實(shí)施政務(wù)數(shù)據(jù)安全防護(hù)技術(shù)措施,開展政務(wù)數(shù)據(jù)安全風(fēng)險評估,有效應(yīng)對政務(wù)數(shù)據(jù)安全事件,發(fā)現(xiàn)問題及時整改;
?。ㄋ模┒ㄆ陂_展政務(wù)數(shù)據(jù)安全教育培訓(xùn),配合有關(guān)部門監(jiān)督管理,接受社會監(jiān)督;
?。ㄎ澹┏袚?dān)其他政務(wù)數(shù)據(jù)安全工作。
第三章 數(shù)據(jù)分類分級管理
第十條 市網(wǎng)絡(luò)信息化局負(fù)責(zé)組織制定銀川市政務(wù)數(shù)據(jù)分類分級、數(shù)據(jù)分級防護(hù)等標(biāo)準(zhǔn)規(guī)范,指導(dǎo)各縣(市)區(qū)、各政務(wù)部門開展政務(wù)數(shù)據(jù)分類分級管理工作。
各政務(wù)部門負(fù)責(zé)組織開展本部門數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別工作,確定本地區(qū)行業(yè)(領(lǐng)域)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報市網(wǎng)絡(luò)信息化局,目錄發(fā)生變化的,應(yīng)當(dāng)及時上報更新。
第十一條 根據(jù)政務(wù)數(shù)據(jù)涉及國家秘密、工作秘密以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、社會秩序、公共利益或者自然人、法人和非法人組織的合法權(quán)益造成的危害程度,將政務(wù)數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個級別。
符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
(一)易引發(fā)特別重大事件,造成直接經(jīng)濟(jì)損失特別巨大;
(二)對經(jīng)濟(jì)發(fā)展、公眾利益、社會秩序乃至國家安全造成嚴(yán)重負(fù)面影響,且負(fù)面影響難以消除;
?。ㄈ┙?jīng)市網(wǎng)絡(luò)信息化局評估確定的其他核心數(shù)據(jù)。
符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù):
?。ㄒ唬┮滓l(fā)較大或重大事件,對公共利益或者個人、組織合法權(quán)益造成較大負(fù)面影響,直接經(jīng)濟(jì)損失較大;
?。ǘ┮l(fā)的級聯(lián)效應(yīng)明顯,影響范圍涉及多個行業(yè)、區(qū)域或者多個政務(wù)部門,或影響持續(xù)時間長,或可導(dǎo)致大量個人、企業(yè)信息被非法獲取;
?。ㄈ┗謴?fù)政務(wù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價較大;
?。ㄋ模┙?jīng)市網(wǎng)絡(luò)信息化局評估確定的其他重要數(shù)據(jù)。
符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù):
?。ㄒ唬怖婊蛘邆€人、組織合法權(quán)益造成負(fù)面影響較小,直接經(jīng)濟(jì)損失較小;
?。ǘ┦苡绊懙膫€人和企業(yè)數(shù)量較少、區(qū)域范圍較小、持續(xù)時間較短;
?。ㄈ┗謴?fù)政務(wù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價較小;
(四)其他未納入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。
第十二條 各政務(wù)部門應(yīng)按照政務(wù)數(shù)據(jù)分級情況,做好防護(hù)工作。針對核心數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御來自國家級敵對組織的大規(guī)模惡意攻擊;針對重要數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御大規(guī)模、較強(qiáng)惡意攻擊;針對一般數(shù)據(jù)采取的防護(hù)措施,應(yīng)能抵御一般惡意攻擊。
第四章 安全管理
第十三條 網(wǎng)絡(luò)安全管理 各級電子政務(wù)外網(wǎng)管理部門應(yīng)加強(qiáng)電子政務(wù)外網(wǎng)安全防護(hù)的規(guī)劃、建設(shè)和日常保障工作,組織開展網(wǎng)絡(luò)安全監(jiān)測、檢查、處置、風(fēng)險評估和應(yīng)急演練。嚴(yán)格控制網(wǎng)絡(luò)接入行為,明確接入方式、訪問控制、身份鑒別、安全審計等措施要求,形成網(wǎng)絡(luò)接入日志并定期審計,確保未經(jīng)審查通過的設(shè)備無法接入。
第十四條 信息系統(tǒng)安全建設(shè)與管理各政務(wù)部門建設(shè)政務(wù)信息系統(tǒng)應(yīng)嚴(yán)格遵守有關(guān)法律、法規(guī)、標(biāo)準(zhǔn)規(guī)范,同步編制政務(wù)數(shù)據(jù)安全建設(shè)方案,同步建設(shè)政務(wù)數(shù)據(jù)安全防護(hù)系統(tǒng),同步開展政務(wù)數(shù)據(jù)安全運(yùn)行工作,定期評估,不斷提高政務(wù)數(shù)據(jù)安全防護(hù)水平。
各政務(wù)部門應(yīng)當(dāng)建設(shè)網(wǎng)上運(yùn)行業(yè)務(wù)系統(tǒng)技術(shù)防護(hù)體系,采取有效防護(hù)措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。加強(qiáng)數(shù)據(jù)安全監(jiān)測和應(yīng)急處置,對重要數(shù)據(jù)、核心數(shù)據(jù)進(jìn)行分級管理,做好加密存儲和傳輸。
第十五條 等級保護(hù)定級與整改各政務(wù)部門應(yīng)落實(shí)等級保護(hù)、密碼應(yīng)用等要求,定期開展政務(wù)信息系統(tǒng)等級保護(hù)和商用密碼應(yīng)用安全性評估。未達(dá)到安全保護(hù)等級標(biāo)準(zhǔn)要求的,應(yīng)及時進(jìn)行整改。新建政務(wù)信息系統(tǒng)應(yīng)通過等級保護(hù)測評和驗(yàn)收后,方可投入使用。
第十六條 數(shù)據(jù)收集安全各政務(wù)部門收集的數(shù)據(jù)應(yīng)確保來源真實(shí)有效、合法正當(dāng),同時應(yīng)明確數(shù)據(jù)共享范圍和用途。對數(shù)據(jù)采集的環(huán)境、設(shè)施和技術(shù)采取必要的管控措施,確保數(shù)據(jù)的完整性、一致性和真實(shí)性,保證數(shù)據(jù)在收集過程中不被泄露。
第十七條 數(shù)據(jù)存儲安全各政務(wù)部門在選擇政務(wù)數(shù)據(jù)存儲載體時,應(yīng)選擇安全性能、防護(hù)級別與數(shù)據(jù)安全等級相匹配的存儲載體,采用符合國家認(rèn)定的密碼算法對高敏感數(shù)據(jù)進(jìn)行加密存儲;嚴(yán)格管控移動存儲介質(zhì)的使用,防止移動存儲介質(zhì)在不同網(wǎng)絡(luò)區(qū)域之間使用時造成惡意代碼傳播、數(shù)據(jù)泄露或損壞;制定落實(shí)政務(wù)數(shù)據(jù)存儲備份和恢復(fù)策略,保障相關(guān)災(zāi)備措施,定期進(jìn)行災(zāi)難恢復(fù)演練。
第十八條 數(shù)據(jù)傳輸安全各政務(wù)部門在數(shù)據(jù)采集、共享交換、開放等數(shù)據(jù)傳輸環(huán)節(jié)中,應(yīng)當(dāng)制定并執(zhí)行數(shù)據(jù)安全傳輸策略和規(guī)程,采用安全可信通道或數(shù)據(jù)加密等安全控制措施,確保傳輸過程可信、可控。對關(guān)鍵網(wǎng)絡(luò)傳輸鏈路、網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)實(shí)行冗余建設(shè),保障數(shù)據(jù)傳輸可靠性和網(wǎng)絡(luò)傳輸服務(wù)可用性。
第十九條 數(shù)據(jù)使用與加工安全各政務(wù)部門應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、法規(guī)、規(guī)章規(guī)定的條件和程序使用與加工數(shù)據(jù),采取脫敏、加密、溯源等措施確保數(shù)據(jù)使用與加工過程合規(guī)、安全可控、可溯源。
第二十條 數(shù)據(jù)分析安全各政務(wù)部門應(yīng)對數(shù)據(jù)分析結(jié)果進(jìn)行評估,確保衍生數(shù)據(jù)不超過原始數(shù)據(jù)的授權(quán)范圍和安全使用要求;應(yīng)對利用多源數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析的過程進(jìn)行日志記錄,以滿足對分析結(jié)果質(zhì)量、真實(shí)性和合規(guī)性的溯源要求;應(yīng)避免分析結(jié)果輸出中包含可恢復(fù)的個人信息、重要數(shù)據(jù)等,從而防止個人信息、重要數(shù)據(jù)等敏感信息的泄漏。
第二十一條 數(shù)據(jù)共享開放安全各政務(wù)部門應(yīng)當(dāng)遵照“共享開放為原則、不共享開放為例外”原則共享開放本部門政務(wù)數(shù)據(jù),按照數(shù)據(jù)安全、隱私保護(hù)和使用需求等確定本部門政務(wù)數(shù)據(jù)的共享開放范圍。數(shù)據(jù)使用方應(yīng)嚴(yán)格控制數(shù)據(jù)使用邊界,確保沒有超出數(shù)據(jù)提供方授權(quán)的數(shù)據(jù)使用范圍。
提供重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當(dāng)對數(shù)據(jù)使用方數(shù)據(jù)安全保護(hù)能力進(jìn)行評估或核實(shí),采取必要的安全保護(hù)措施。
重要數(shù)據(jù)和一般數(shù)據(jù)由市網(wǎng)絡(luò)信息化局及數(shù)據(jù)提供部門審批和授權(quán)后,在安全合規(guī)的數(shù)據(jù)開放域系統(tǒng)內(nèi)經(jīng)過數(shù)據(jù)脫敏后進(jìn)行開放。核心數(shù)據(jù)原則上不對社會開放,且需嚴(yán)格控制數(shù)據(jù)共享和知悉范圍。
第二十二條 數(shù)據(jù)銷毀安全各政務(wù)部門應(yīng)制定數(shù)據(jù)清理和過期數(shù)據(jù)銷毀制度,對于需要依法銷毀的數(shù)據(jù),應(yīng)當(dāng)采取必要措施予以銷毀,并對銷毀過程進(jìn)行記錄和備案;建立數(shù)據(jù)銷毀的審批和記錄流程,采取技術(shù)或管理手段,監(jiān)測數(shù)據(jù)銷毀操作過程。
第二十三條 數(shù)據(jù)安全審計各政務(wù)部門應(yīng)在市審計局、市網(wǎng)絡(luò)信息化局指導(dǎo)下,定期對其處理政務(wù)數(shù)據(jù)遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計,確保政務(wù)數(shù)據(jù)分級分類、歸集、存儲、傳輸、使用、加工、共享、開放、銷毀等操作過程的合法合理合規(guī);建立本部門離任審計機(jī)制,對關(guān)鍵人員的離任進(jìn)行審查,及時回收相關(guān)資源和授權(quán)。市網(wǎng)絡(luò)信息化局應(yīng)統(tǒng)一收集數(shù)據(jù)服務(wù)調(diào)用日志記錄,對數(shù)據(jù)調(diào)用情況進(jìn)行定期審計。
第二十四條 自然人、法人和非法人組織數(shù)據(jù)安全各政務(wù)部門應(yīng)制定自然人、法人和非法人組織數(shù)據(jù)保護(hù)制度,對為履行法定職責(zé)收集、使用的自然人、法人和非法人組織數(shù)據(jù),應(yīng)采取相應(yīng)措施嚴(yán)格保護(hù),不得泄露、篡改或者毀損,不得非法向他人提供。
收集、使用自然人、法人和非法人組織數(shù)據(jù),應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行,不得超出履行法定職責(zé)所必需的范圍和限度。
將自然人、法人和非法人組織數(shù)據(jù)轉(zhuǎn)移或委托給其他組織或機(jī)構(gòu)處理的,應(yīng)與該組織或機(jī)構(gòu)簽訂數(shù)據(jù)保護(hù)協(xié)議,明確數(shù)據(jù)使用范圍和保護(hù)責(zé)任。
第二十五條 數(shù)據(jù)服務(wù)商管理各政務(wù)部門服務(wù)外包業(yè)務(wù)涉及收集、存儲、傳輸、處理、分析數(shù)據(jù)的,應(yīng)當(dāng)建立政務(wù)數(shù)據(jù)技術(shù)外包服務(wù)安全管理措施,依法與服務(wù)提供商簽訂數(shù)據(jù)安全保護(hù)協(xié)議,采取安全保護(hù)措施。
第二十六條 數(shù)據(jù)安全經(jīng)費(fèi)保障 各政務(wù)部門應(yīng)建立政務(wù)數(shù)據(jù)安全經(jīng)費(fèi)保障機(jī)制,將政務(wù)數(shù)據(jù)安全經(jīng)費(fèi)納入年度部門預(yù)算。
第二十七條 安全教育培訓(xùn) 各級政務(wù)數(shù)據(jù)主管部門應(yīng)定期開展政務(wù)數(shù)據(jù)安全意識教育與政務(wù)數(shù)據(jù)設(shè)備、系統(tǒng)安全操作培訓(xùn),對系統(tǒng)建設(shè)、運(yùn)維人員和政務(wù)數(shù)據(jù)安全管理人員進(jìn)行專項技能培訓(xùn)。
第五章 事件處置和監(jiān)督檢查
第二十八條 各政務(wù)部門應(yīng)制定政務(wù)數(shù)據(jù)安全事件應(yīng)急處置預(yù)案,定期開展應(yīng)急演練,并對演練情況進(jìn)行評估,及時整改演練中發(fā)現(xiàn)的問題。發(fā)生政務(wù)數(shù)據(jù)安全事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向市委網(wǎng)信辦報告。
第二十九條 各級政務(wù)數(shù)據(jù)主管部門應(yīng)自行或者委托第三方專業(yè)機(jī)構(gòu)通過隨機(jī)抽查、定期檢查等方式對本轄區(qū)政務(wù)數(shù)據(jù)安全管理工作進(jìn)行監(jiān)督檢查,政務(wù)部門應(yīng)予配合,發(fā)現(xiàn)問題及時整改。
第三十條 建立政務(wù)數(shù)據(jù)安全績效考核制度,將政務(wù)數(shù)據(jù)安全工作列入數(shù)字政府年度考核任務(wù),市網(wǎng)絡(luò)信息化局會同有關(guān)單位負(fù)責(zé)對各部門政務(wù)數(shù)據(jù)安全績效進(jìn)行考核評分,并將考核結(jié)果作為下一年度數(shù)據(jù)及信息化項目審批的重要參考依據(jù)。
第六章 責(zé)任追究
第三十一條 政務(wù)部門違反本辦法規(guī)定的,由政務(wù)數(shù)據(jù)主管部門通知限期整改;逾期未改正的,政務(wù)數(shù)據(jù)主管部門應(yīng)當(dāng)及時將有關(guān)情況上報本級人民政府納入督查督辦事項并責(zé)令改正;情節(jié)嚴(yán)重的,依法追究責(zé)任。
第三十二條違反本辦法規(guī)定的,按照相關(guān)法律法規(guī)處理。造成自然人、法人或者非法人組織合法利益受到侵害的,依法承擔(dān)民事責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章 附 則
第三十三條行政機(jī)關(guān)委托的行使行政職能或提供公共服務(wù)的組織的政務(wù)數(shù)據(jù)安全管理活動參照本辦法執(zhí)行。
第三十四條 本辦法自發(fā)布之日起施行,有效期截至2025年10月8日。