各开发区管委会@@,各区县@@@@(市@@)人民政府@@,市@@人民政府@@各部门@@,各有关单位@@:
现将@@《郑州市@@政务数据@@@@安全管理实施细则@@@@》印发给你们@@,请认真贯彻执行@@。
郑州市@@人民政府@@@@
2023年@@3月@@2日@@
郑州市@@政务数据@@@@安全管理实施细则@@@@
第一@@章@@ 总@@ 则@@
第一@@条@@ 为加强政务数据@@@@安全管理@@,建立健全政务数据@@@@安全保障体系@@,预防@@政务数据@@@@安全事件发生@@,根据@@《中华人民共和国保守国家@@秘密法@@》《中华人民共和国网络安全法@@》《中华人民共和国数据@@安全法@@》《中华人民共和国个人信息@@保护法@@》《中华人民共和国密码法@@》《关键信息基础设施安全保护条例@@》《河南省@@政务数据@@@@安全管理暂行办法@@》《郑州市@@政府信息资源共享@@管理办法@@》等法律@@@@、法规@@和有关规定@@,结合本市@@实际@@,制定本细则@@@@。
第二@@条@@ 本细则@@所称政务部门是指我市@@各级行政机关及法律@@@@、法规@@授权具有公共事务管理职能的组织@@。
政务数据@@@@是指任何以电子或者其他方式对政务相关信息的记录@@。
政务数据@@@@安全是指通过采取必要措施@@,确保政务数据@@@@处于有效保护和合法利用状态@@,以及具备保障持续安全状态的能力@@。
政务信息系统是由政务部门建设@@@@、运行或使用@@的@@,用于直接支持政务部门工作或履行其职能的各类信息系统@@。
第三@@条@@ 本细则@@适用于我市@@各级政务部门的非涉密政务数据@@@@收集@@、存储@@、传输@@、共享@@、开放@@、使用@@、销毁等行为及相关管理工作@@。涉及国家@@秘密和工作秘密的政务数据@@@@@@,按照@@相关法律@@@@、法规@@、规章@@、标@@准执行@@。
第四@@条@@ 政务数据@@@@安全管理要全面贯彻落实总@@体国家@@安全@@观@@。采取积极防御@@、综合防范@@;统一@@协调@@、统筹规划@@;分级管理@@、分工负责的方针@@,坚持安全与发展并重@@,管理与技术统筹兼顾@@。
第五@@条@@ 实行政务数据@@@@安全责任制@@,按照@@“谁主管谁负责@@、谁运行谁负责@@、谁使用@@谁负责@@”的原@@则@@@@,保障政务数据@@@@全生命周期安全@@。基于复制@@、流通@@、交换等同时存在多个政务数据@@@@安全责任人的@@,分别承担各自安全责任@@。
第二@@章@@ 职责分工@@
第六@@条@@ 网信部门负责统筹协调@@、检查指导和相关监督管理等工作@@。公安@@、保密@@、国家@@安全@@、密码管理@@、通信管理等部门按照@@本细则@@和有关法律@@@@、法规@@、规章@@的规定@@,在各自职责范围@@内承担政务数据@@@@安全监管职责@@。
第七@@条@@ 市@@大数据@@管理机构作为我市@@政务数据@@@@主管部门@@,负责组织@@、指导和协调本级政务数据@@@@安全管理工作@@,履行下列职责@@:
(一@@)依照国家@@@@、省@@、市@@政务数据@@@@安全法律@@@@、法规@@、规章@@和标@@准@@,编制政务数据@@@@安全发展总@@体规划@@,制定政务数据@@@@安全标@@准@@,建立考核评价制度@@,指导各政务部门开展政务数据@@@@安全工作@@;
(二@@)健全完善政务数据@@@@分类分级@@安全管理制度@@,制定政务数据@@@@分类分级@@指南@@,为政务数据@@@@安全管理和安全资源配置提供指导@@;
(三@@)组织建设@@和完善政务数据@@@@安全保障基础设施@@,建立政务数据@@@@安全管理与测评机制@@,健全数据@@安全专家队伍@@;
(四@@)负责组织@@政务数据@@@@安全培训@@,提升政务数据@@@@安全保障能力@@;
(五@@)会同网信@@、公安@@部门@@,按照@@各自职责分工@@对政务部门进行政务数据@@@@安全检查@@,对发现的问题@@提出指导建议并督促整改@@;
(六@@)完成上级交办的其他政务数据@@@@安全工作@@,指导下级政务数据@@@@主管部门开展政务数据@@@@安全工作@@;
(七@@)法律@@、法规@@、规章@@规定的其他职责@@。
第八条@@ 区县@@(市@@)政务数据@@@@主管部门按照@@职责开展政务数据@@@@安全管理工作@@,会同本级网信@@、公安@@部门@@开展政务数据@@@@安全检查@@,建立政务数据@@@@安全监测预警@@、信息通报和应急处置机制等@@。
第九条@@ 政务部门负责本部门的政务数据@@@@安全工作@@,履行下列职责@@:
(一@@)执行国家@@@@、省@@、市@@政务数据@@@@安全法律@@@@、法规@@、规章@@和标@@准@@,履行数据@@安全保护义务@@,明确政务数据@@@@安全负责人和管理机构@@,落实政务数据@@@@安全责任制@@;
(二@@)制定政务数据@@@@安全计划@@,实施数据@@安全防护技术措施@@,开展政务数据@@@@处理活动风险评估@@,有效应对政务数据@@@@安全事件@@,防范违法犯罪活动@@;
(三@@)制定政务数据@@@@安全事件应急预案@@,定期开展应急演练@@;
(四@@)建立政务数据@@@@安全培训制度@@,定期组织开展政务数据@@@@安全培训@@;
(五@@)承担其他法律@@@@、法规@@、规章@@要求的政务数据@@@@安全工作@@。
第十条@@ 各级财政部门应当加强本级政务数据@@@@安全经费保障@@,确保政务数据@@@@安全运行@@。
第三@@章@@ 建设@@与运行@@
第十一@@条@@ 政务部门建设@@政务信息系统应当严格遵守有关法律@@@@、法规@@、标@@准规范@@,同步编制政务数据@@@@安全建设@@方案@@,同步建设@@政务数据@@@@安全防护系统@@,同步开展政务数据@@@@安全运行工作@@,定期评估@@,不断提高政务数据@@@@安全防护水平@@。
第十二@@条@@ 政务部门应当编制政务信息系统和政务数据@@@@资源清单@@,明确管理责任机构与人员@@,定期按照@@清单对政务信息系统和政务数据@@@@资源进行一@@致性检查@@,并保留检查记录@@。
第十三@@条@@ 政务部门应当依法确定政务信息系统建设@@@@、运维@@、运营等单位@@。建设@@、维护政务信息系统@@,存储@@、加工政务数据@@@@@@,应当经过严格的批准程序@@,并应当监督建设@@@@、运维@@、运营等单位@@履行相应的数据@@安全保护义务@@。
建设@@、运维@@、运营单位应当依照法律@@@@@@、法规@@的规定和合同约定履行数据@@安全保护义务@@@@,不得擅自留存@@、使用@@、泄露或者向他人提供政务数据@@@@@@。
第十四@@条@@ 政务部门应当依据@@@@“谁建设@@谁负责@@、谁主管谁督促@@、谁使用@@谁要求@@”的原@@则@@@@,建立机房管理制度@@,保障机房的物理环境安全@@。
第十五@@条@@ 政务部门应当进行必要的安全性评估工作@@,加强对服务@@器上的应用@@、服务@@、端口的安全管理@@,定期实施漏洞扫描@@、恶意代码检测@@,及时升级系统安全补丁@@,完善密码防护系统@@。
第十六@@条@@ 政务部门应当采取集中管控@@、用户识别@@、访问控制@@、安全审计等技术防护措施@@,严格落实终端计算机的安全管理@@。
第十七@@条@@ 政务部门应当明确收集数据@@的目的@@@@、依据@@、范围@@和用途@@,确保数据@@收集的合法性@@、正当性@@、必要性和业务关联性@@。对数据@@收集的环境@@、设施和技术采取必要的防护措施@@,确保数据@@的完整性@@、一@@致性和真实性@@。对在履行职责中知悉的个人隐私@@、个人信息@@、商业秘密@@、保密@@商务信息等数据@@应依法予以保密@@@@,不得泄露或者向他人非法提供@@。
第十八条@@ 政务部门应当选择安全性能@@、防护级别与数据@@安全等级相匹配的存储@@载体@@,严格管控移动存储@@介质的使用@@@@,防止移动存储@@介质在不同网络区域之间交叉使用@@造成恶意代码的传播和数据@@泄露@@。
政务部门应当制定政务数据@@@@备份@@和恢复策略@@,落实相关灾备措施@@,定期进行灾难恢复演练@@。
第十九条@@ 政务部门应当对涉及工作秘密的数据@@采取脱敏@@@@、加密等处理措施@@,严格落实政务数据@@@@的安全处理机制@@。
第二@@十条@@ 政务部门应当制定并执行数据@@安全传输@@策略@@,采用安全可信通道或数据@@加密等安全防控措施@@,确保传输@@过程可信@@、可控@@。对关键传输@@链路@@、重要设备节点实行冗余配置@@,保障数据@@传输@@可靠性和网络传输@@服务@@可用性@@。
第二@@十一@@条@@ 政务部门应当坚持@@“共享@@为原@@则@@@@、不共享@@为例外@@”的原@@则@@@@,采取加密@@、脱敏@@、备份@@、审计等措施妥善保护政务数据@@@@@@。政务数据@@@@使用@@单位对于共享@@的政务数据@@@@须落实同等数据@@安全管理责任@@。
第二@@十二@@条@@ 政务部门使用@@政务数据@@@@应当签订安全保护协议@@,明确数据@@使用@@的依据@@@@、目的@@、范围@@、方式及相关需求@@,获得的政务数据@@@@未经授权不得提供给第三@@方@@,不得擅自用于其他场景@@。
第二@@十三@@条@@ 政务部门应当履行数据@@安全审查职责@@,遵循需求导向@@、分类分级@@、公平公正@@、安全可控@@@@、统一@@标@@准@@、便捷高效的原@@则@@@@@@,按照@@规定及时@@、准确地开放@@政务数据@@@@@@。
第二@@十四@@条@@ 政务部门应当制定数据@@清理和数据@@销毁制度@@,建立数据@@清理@@、数据@@销毁的审批和记录流程@@,对数据@@清理和数据@@销毁过程进行备案@@,确保全过程可审计@@。
第二@@十五@@条@@ 政务部门应当遵循统一@@的政务数据@@@@分类分级@@规则@@@@,配套差异化的安全控制措施@@,实现对政务数据@@@@的分类分级@@保护@@。
第二@@十六@@条@@ 政务部门为履行法定职责处理个人信息@@@@,应当依照法律@@@@、行政法规@@规定的权限@@、程序进行@@,不得超出履行法定职责所必需的范围@@和限度@@。
第二@@十七@@条@@ 政务部门在中华人民共和国境内收集和产生的重要数据@@应当在境内存储@@@@,确需向境外提供的@@,应当按照@@相应的规定进行安全评估@@,确保数据@@出境安全@@。
第二@@十八条@@ 政务部门应当落实网络安全等级保护@@、商用密码应用等要求@@,定期开展政务信息系统网络安全等级保护和商用密码应用安全性评估工作@@。
第二@@十九条@@ 政务部门可委托具有资质的第三@@方机构@@,按照@@规定对政务数据@@@@处理活动开展风险评估@@,对发现的问题@@及时整改@@。
第三@@十条@@ 市@@、区县@@(市@@)政务数据@@@@主管部门应当建立数据@@安全风险评估@@、报告@@、信息共享@@@@、监测预警机制@@,加强本地区数据@@安全风险信息的获取@@、分析@@、研判@@、预警工作@@。
第三@@十一@@条@@ 市@@、区县@@(市@@)政务数据@@@@主管部门应当对政务数据@@@@的全生命周期建立数据@@安全溯源机制@@,发现安全问题@@@@,快速定位@@,及时解决@@。
第三@@十二@@条@@ 市@@、区县@@(市@@)政务数据@@@@主管部门应当定期开展政务数据@@@@安全意识教育与政务数据@@@@安全操作基础培训@@,对系统建设@@@@、运维@@人员和政务数据@@@@安全从业人员进行针对性专项技能培训@@。
第四@@章@@ 安全检查与应急处理@@
第三@@十三@@条@@ 市@@、区县@@(市@@)政务数据@@@@主管部门会同本级网信@@@@、公安@@部门@@建立政务数据@@@@安全检查制度@@,对政务数据@@@@应用的安全性@@、合规性进行检查@@;政务部门应当配合检查@@,对检查中发现的问题@@及时整改@@。
第三@@十四@@条@@ 市@@政务数据@@@@主管部门会同网信@@@@、公安@@等部门建立应急协调机制@@,负责全市@@重大政务数据@@@@安全事件处置的组织@@、指挥和协调@@。政务部门应按照@@本级政务数据@@@@主管部门和上级业务主管部门要求@@,建立政务数据@@@@安全应急管理机制@@,明确应急工作机构@@、事件上报流程及应急处置措施@@。
第三@@十五@@条@@ 政务数据@@@@出现下列情形之一@@时@@,政务部门应当立即启动应急预案@@,采取补救措施@@,并及时报送同级网信@@、公安@@、政务数据@@@@主管等部门@@:
(一@@)发现重大网络安全隐患@@、漏洞或关键设备节点@@、重要系统受到攻击遭到破坏的@@;
(二@@)公民@@、法人或者其他组织信息泄露@@、毁损@@、丢失@@,造成重大影响或经济损失@@;
(三@@)行政机关及事业单位等网站数据@@被篡改@@;
(四@@)国家@@、省@@、市@@政务数据@@@@安全主管部门通报的事件@@;
(五@@)其他发生的政务数据@@@@安全事件@@。
第五@@章@@ 责任追究@@
第三@@十六@@条@@ 政务部门违反本细则@@@@,有下列行为之一@@的@@,由有关主管部门责令改正@@,并依法追究相应责任@@:
(一@@)未采取数据@@分类分级@@保护措施的@@;
(二@@)未履行个人信息@@保护义务的@@;
(三@@)违规向境外提供数据@@的@@;
(四@@)未落实网络安全等级保护和商用密码应用安全性评估工作要求的@@;
(五@@)拒绝@@、阻碍安全检查和未按要求进行整改的@@。
第三@@十七@@条@@ 公职人员违反本细则@@@@,有下列行为之一@@的@@,由有关主管部门根据@@情节轻重依法给予相应的处理@@,构成犯罪的@@,依法追究刑事责任@@:
(一@@)不履行或者不正确履行职责@@,玩忽职守@@,贻误政务数据@@@@安全管理工作的@@;
(二@@)泄露政务数据@@@@@@,或者泄露因履行职责掌握的公民@@@@、法人或者其他组织信息的@@;
(三@@)处置政务数据@@@@安全事件@@,存在瞒报@@、缓报@@、谎报@@、迟报和推诿责任行为的@@;
(四@@)拒不提供必要的支持与协助@@,干扰事件调查的@@。
第三@@十八条@@ 违反本细则@@规定的@@,按照@@有关法律@@@@、法规@@、规章@@处理@@。侵害公民@@@@、法人或者其他组织合法权益的@@,依法承担民事责任@@。构成犯罪的@@,依法追究刑事责任@@。
第六@@章@@ 附@@ 则@@
第三@@十九条@@ 本细则@@自公布之日@@起施行@@,原@@《郑州市@@人民政府@@@@关于印发郑州市@@政@@务数据@@安全管理暂行办法的通知@@》(郑政@@〔2020〕22号@@)同时废止@@。
