鄭政〔2023〕7號《鄭州市人民政府關(guān)于印發(fā)鄭州市政務(wù)數據安全管理實(shí)施細則的通知》

鄭州市人民政府關(guān)于印發(fā)鄭州市政務(wù)數據安全管理實(shí)施細則的通知






鄭政〔2023〕7號

各開(kāi)發(fā)區管委會(huì )，各區縣（市）人民政府，市人民政府各部門(mén)，各有關(guān)單位：

現將《鄭州市政務(wù)數據安全管理實(shí)施細則》印發(fā)給你們，請認真貫徹執行。






 

鄭州市人民政府

2023年3月2日





 

鄭州市政務(wù)數據安全管理實(shí)施細則




 

第一章　總　則

第一條　為加強政務(wù)數據安全管理，建立健全政務(wù)數據安全保障體系，預防政務(wù)數據安全事件發(fā)生，根據《中華人民共和國保守國家秘密法》《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》《中華人民共和國密碼法》《關(guān)鍵信息基礎設施安全保護條例》《河南省政務(wù)數據安全管理暫行辦法》《鄭州市政府信息資源共享管理辦法》等法律、法規和有關(guān)規定，結合本市實(shí)際，制定本細則。

第二條　本細則所稱(chēng)政務(wù)部門(mén)是指我市各級行政機關(guān)及法律、法規授權具有公共事務(wù)管理職能的組織。

政務(wù)數據是指任何以電子或者其他方式對政務(wù)相關(guān)信息的記錄。

政務(wù)數據安全是指通過(guò)采取必要措施，確保政務(wù)數據處于有效保護和合法利用狀態(tài)，以及具備保障持續安全狀態(tài)的能力。

政務(wù)信息系統是由政務(wù)部門(mén)建設、運行或使用的，用于直接支持政務(wù)部門(mén)工作或履行其職能的各類(lèi)信息系統。

第三條　本細則適用于我市各級政務(wù)部門(mén)的非涉密政務(wù)數據收集、存儲、傳輸、共享、開(kāi)放、使用、銷(xiāo)毀等行為及相關(guān)管理工作。涉及國家秘密和工作秘密的政務(wù)數據，按照相關(guān)法律、法規、規章、標準執行。

第四條　政務(wù)數據安全管理要全面貫徹落實(shí)總體國家安全觀(guān)。采取積極防御、綜合防范；統一協(xié)調、統籌規劃；分級管理、分工負責的方針，堅持安全與發(fā)展并重，管理與技術(shù)統籌兼顧。

第五條　實(shí)行政務(wù)數據安全責任制，按照“誰(shuí)主管誰(shuí)負責、誰(shuí)運行誰(shuí)負責、誰(shuí)使用誰(shuí)負責”的原則，保障政務(wù)數據全生命周期安全?；趶椭?、流通、交換等同時(shí)存在多個(gè)政務(wù)數據安全責任人的，分別承擔各自安全責任。

 

第二章　職責分工

第六條　網(wǎng)信部門(mén)負責統籌協(xié)調、檢查指導和相關(guān)監督管理等工作。公安、保密、國家安全、密碼管理、通信管理等部門(mén)按照本細則和有關(guān)法律、法規、規章的規定，在各自職責范圍內承擔政務(wù)數據安全監管職責。

第七條　市大數據管理機構作為我市政務(wù)數據主管部門(mén)，負責組織、指導和協(xié)調本級政務(wù)數據安全管理工作，履行下列職責：

（一）依照國家、省、市政務(wù)數據安全法律、法規、規章和標準，編制政務(wù)數據安全發(fā)展總體規劃，制定政務(wù)數據安全標準，建立考核評價(jià)制度，指導各政務(wù)部門(mén)開(kāi)展政務(wù)數據安全工作；

（二）健全完善政務(wù)數據分類(lèi)分級安全管理制度，制定政務(wù)數據分類(lèi)分級指南，為政務(wù)數據安全管理和安全資源配置提供指導；

（三）組織建設和完善政務(wù)數據安全保障基礎設施，建立政務(wù)數據安全管理與測評機制，健全數據安全專(zhuān)家隊伍；

（四）負責組織政務(wù)數據安全培訓，提升政務(wù)數據安全保障能力；

（五）會(huì )同網(wǎng)信、公安部門(mén)，按照各自職責分工對政務(wù)部門(mén)進(jìn)行政務(wù)數據安全檢查，對發(fā)現的問(wèn)題提出指導建議并督促整改；

（六）完成上級交辦的其他政務(wù)數據安全工作，指導下級政務(wù)數據主管部門(mén)開(kāi)展政務(wù)數據安全工作；

（七）法律、法規、規章規定的其他職責。

第八條　區縣（市）政務(wù)數據主管部門(mén)按照職責開(kāi)展政務(wù)數據安全管理工作，會(huì )同本級網(wǎng)信、公安部門(mén)開(kāi)展政務(wù)數據安全檢查，建立政務(wù)數據安全監測預警、信息通報和應急處置機制等。

第九條　政務(wù)部門(mén)負責本部門(mén)的政務(wù)數據安全工作，履行下列職責：

（一）執行國家、省、市政務(wù)數據安全法律、法規、規章和標準，履行數據安全保護義務(wù)，明確政務(wù)數據安全負責人和管理機構，落實(shí)政務(wù)數據安全責任制；

（二）制定政務(wù)數據安全計劃，實(shí)施數據安全防護技術(shù)措施，開(kāi)展政務(wù)數據處理活動(dòng)風(fēng)險評估，有效應對政務(wù)數據安全事件，防范違法犯罪活動(dòng)；

（三）制定政務(wù)數據安全事件應急預案，定期開(kāi)展應急演練；

（四）建立政務(wù)數據安全培訓制度，定期組織開(kāi)展政務(wù)數據安全培訓；

（五）承擔其他法律、法規、規章要求的政務(wù)數據安全工作。

第十條　各級財政部門(mén)應當加強本級政務(wù)數據安全經(jīng)費保障，確保政務(wù)數據安全運行。
 

第三章　建設與運行
 

第十一條　政務(wù)部門(mén)建設政務(wù)信息系統應當嚴格遵守有關(guān)法律、法規、標準規范，同步編制政務(wù)數據安全建設方案，同步建設政務(wù)數據安全防護系統，同步開(kāi)展政務(wù)數據安全運行工作，定期評估，不斷提高政務(wù)數據安全防護水平。

第十二條　政務(wù)部門(mén)應當編制政務(wù)信息系統和政務(wù)數據資源清單，明確管理責任機構與人員，定期按照清單對政務(wù)信息系統和政務(wù)數據資源進(jìn)行一致性檢查，并保留檢查記錄。

第十三條　政務(wù)部門(mén)應當依法確定政務(wù)信息系統建設、運維、運營(yíng)等單位。建設、維護政務(wù)信息系統，存儲、加工政務(wù)數據，應當經(jīng)過(guò)嚴格的批準程序，并應當監督建設、運維、運營(yíng)等單位履行相應的數據安全保護義務(wù)。

建設、運維、運營(yíng)單位應當依照法律、法規的規定和合同約定履行數據安全保護義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數據。

第十四條　政務(wù)部門(mén)應當依據“誰(shuí)建設誰(shuí)負責、誰(shuí)主管誰(shuí)督促、誰(shuí)使用誰(shuí)要求”的原則，建立機房管理制度，保障機房的物理環(huán)境安全。

第十五條　政務(wù)部門(mén)應當進(jìn)行必要的安全性評估工作，加強對服務(wù)器上的應用、服務(wù)、端口的安全管理，定期實(shí)施漏洞掃描、惡意代碼檢測，及時(shí)升級系統安全補丁，完善密碼防護系統。

第十六條　政務(wù)部門(mén)應當采取集中管控、用戶(hù)識別、訪(fǎng)問(wèn)控制、安全審計等技術(shù)防護措施，嚴格落實(shí)終端計算機的安全管理。

第十七條　政務(wù)部門(mén)應當明確收集數據的目的、依據、范圍和用途，確保數據收集的合法性、正當性、必要性和業(yè)務(wù)關(guān)聯(lián)性。對數據收集的環(huán)境、設施和技術(shù)采取必要的防護措施，確保數據的完整性、一致性和真實(shí)性。對在履行職責中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數據應依法予以保密，不得泄露或者向他人非法提供。

第十八條　政務(wù)部門(mén)應當選擇安全性能、防護級別與數據安全等級相匹配的存儲載體，嚴格管控移動(dòng)存儲介質(zhì)的使用，防止移動(dòng)存儲介質(zhì)在不同網(wǎng)絡(luò )區域之間交叉使用造成惡意代碼的傳播和數據泄露。

政務(wù)部門(mén)應當制定政務(wù)數據備份和恢復策略，落實(shí)相關(guān)災備措施，定期進(jìn)行災難恢復演練。

第十九條　政務(wù)部門(mén)應當對涉及工作秘密的數據采取脫敏、加密等處理措施，嚴格落實(shí)政務(wù)數據的安全處理機制。

第二十條　政務(wù)部門(mén)應當制定并執行數據安全傳輸策略，采用安全可信通道或數據加密等安全防控措施，確保傳輸過(guò)程可信、可控。對關(guān)鍵傳輸鏈路、重要設備節點(diǎn)實(shí)行冗余配置，保障數據傳輸可靠性和網(wǎng)絡(luò )傳輸服務(wù)可用性。

第二十一條　政務(wù)部門(mén)應當堅持“共享為原則、不共享為例外”的原則，采取加密、脫敏、備份、審計等措施妥善保護政務(wù)數據。政務(wù)數據使用單位對于共享的政務(wù)數據須落實(shí)同等數據安全管理責任。

第二十二條　政務(wù)部門(mén)使用政務(wù)數據應當簽訂安全保護協(xié)議，明確數據使用的依據、目的、范圍、方式及相關(guān)需求，獲得的政務(wù)數據未經(jīng)授權不得提供給第三方，不得擅自用于其他場(chǎng)景。

第二十三條　政務(wù)部門(mén)應當履行數據安全審查職責，遵循需求導向、分類(lèi)分級、公平公正、安全可控、統一標準、便捷高效的原則，按照規定及時(shí)、準確地開(kāi)放政務(wù)數據。

第二十四條　政務(wù)部門(mén)應當制定數據清理和數據銷(xiāo)毀制度，建立數據清理、數據銷(xiāo)毀的審批和記錄流程，對數據清理和數據銷(xiāo)毀過(guò)程進(jìn)行備案，確保全過(guò)程可審計。

第二十五條　政務(wù)部門(mén)應當遵循統一的政務(wù)數據分類(lèi)分級規則，配套差異化的安全控制措施，實(shí)現對政務(wù)數據的分類(lèi)分級保護。

第二十六條　政務(wù)部門(mén)為履行法定職責處理個(gè)人信息，應當依照法律、行政法規規定的權限、程序進(jìn)行，不得超出履行法定職責所必需的范圍和限度。

第二十七條　政務(wù)部門(mén)在中華人民共和國境內收集和產(chǎn)生的重要數據應當在境內存儲，確需向境外提供的，應當按照相應的規定進(jìn)行安全評估，確保數據出境安全。

第二十八條　政務(wù)部門(mén)應當落實(shí)網(wǎng)絡(luò )安全等級保護、商用密碼應用等要求，定期開(kāi)展政務(wù)信息系統網(wǎng)絡(luò )安全等級保護和商用密碼應用安全性評估工作。

第二十九條　政務(wù)部門(mén)可委托具有資質(zhì)的第三方機構，按照規定對政務(wù)數據處理活動(dòng)開(kāi)展風(fēng)險評估，對發(fā)現的問(wèn)題及時(shí)整改。

第三十條　市、區縣（市）政務(wù)數據主管部門(mén)應當建立數據安全風(fēng)險評估、報告、信息共享、監測預警機制，加強本地區數據安全風(fēng)險信息的獲取、分析、研判、預警工作。

第三十一條　市、區縣（市）政務(wù)數據主管部門(mén)應當對政務(wù)數據的全生命周期建立數據安全溯源機制，發(fā)現安全問(wèn)題，快速定位，及時(shí)解決。

第三十二條　市、區縣（市）政務(wù)數據主管部門(mén)應當定期開(kāi)展政務(wù)數據安全意識教育與政務(wù)數據安全操作基礎培訓，對系統建設、運維人員和政務(wù)數據安全從業(yè)人員進(jìn)行針對性專(zhuān)項技能培訓。

 

第四章　安全檢查與應急處理

第三十三條　市、區縣（市）政務(wù)數據主管部門(mén)會(huì )同本級網(wǎng)信、公安部門(mén)建立政務(wù)數據安全檢查制度，對政務(wù)數據應用的安全性、合規性進(jìn)行檢查；政務(wù)部門(mén)應當配合檢查，對檢查中發(fā)現的問(wèn)題及時(shí)整改。

第三十四條　市政務(wù)數據主管部門(mén)會(huì )同網(wǎng)信、公安等部門(mén)建立應急協(xié)調機制，負責全市重大政務(wù)數據安全事件處置的組織、指揮和協(xié)調。政務(wù)部門(mén)應按照本級政務(wù)數據主管部門(mén)和上級業(yè)務(wù)主管部門(mén)要求，建立政務(wù)數據安全應急管理機制，明確應急工作機構、事件上報流程及應急處置措施。

第三十五條　政務(wù)數據出現下列情形之一時(shí)，政務(wù)部門(mén)應當立即啟動(dòng)應急預案，采取補救措施，并及時(shí)報送同級網(wǎng)信、公安、政務(wù)數據主管等部門(mén)：

（一）發(fā)現重大網(wǎng)絡(luò )安全隱患、漏洞或關(guān)鍵設備節點(diǎn)、重要系統受到攻擊遭到破壞的；

（二）公民、法人或者其他組織信息泄露、毀損、丟失，造成重大影響或經(jīng)濟損失；

（三）行政機關(guān)及事業(yè)單位等網(wǎng)站數據被篡改；

（四）國家、省、市政務(wù)數據安全主管部門(mén)通報的事件；

（五）其他發(fā)生的政務(wù)數據安全事件。

 

第五章　責任追究
 

第三十六條　政務(wù)部門(mén)違反本細則，有下列行為之一的，由有關(guān)主管部門(mén)責令改正，并依法追究相應責任：

（一）未采取數據分類(lèi)分級保護措施的；

（二）未履行個(gè)人信息保護義務(wù)的；

（三）違規向境外提供數據的；

（四）未落實(shí)網(wǎng)絡(luò )安全等級保護和商用密碼應用安全性評估工作要求的；

（五）拒絕、阻礙安全檢查和未按要求進(jìn)行整改的。

第三十七條　公職人員違反本細則，有下列行為之一的，由有關(guān)主管部門(mén)根據情節輕重依法給予相應的處理，構成犯罪的，依法追究刑事責任：

（一）不履行或者不正確履行職責，玩忽職守，貽誤政務(wù)數據安全管理工作的；

（二）泄露政務(wù)數據，或者泄露因履行職責掌握的公民、法人或者其他組織信息的；

（三）處置政務(wù)數據安全事件，存在瞞報、緩報、謊報、遲報和推諉責任行為的；

（四）拒不提供必要的支持與協(xié)助，干擾事件調查的。

第三十八條　違反本細則規定的，按照有關(guān)法律、法規、規章處理。侵害公民、法人或者其他組織合法權益的，依法承擔民事責任。構成犯罪的，依法追究刑事責任。

 

第六章　附　則

第三十九條　本細則自公布之日起施行，原《鄭州市人民政府關(guān)于印發(fā)鄭州市政務(wù)數據安全管理暫行辦法的通知》（鄭政〔2020〕22號）同時(shí)廢止。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/rule/142178.html

本文關(guān)鍵詞： 鄭政, 鄭州市, 政務(wù), 數據, 安全, 管理, 實(shí)施細則, 通知