郑州市人民政府文件 郑政〔2020〕22号 郑 州市人民政府 关于印发郑州市政务数据安全管理 暂行办法的通知 各开发区管委会,各区县(市)人民政府,市人民政府各部门, 各有关单位: 现将《郑州市政务数据安全管理暂行办法》印发给你们,请 结合实际,认真贯彻执行。 2020年11月19日 —1—郑 州市政务数据安全管理暂行办法 第一章 总 则 第一条 为加强政务数据安全管理,建立健全政务数据安全 保障体系,预防政务数据安全事件发生,根据《中华人民共和国 网络安全法》《郑州市政府信息资源共享管理办法》等有关规定, 结合本市实际,制定本办法。 第二条 本办法适用于本市行政区域内的非涉密政务数据安 全管理工作。涉及国家秘密的政务数据,按照国家保密相关规定 管理和使用。 第三条 政务数据安全采取积极防御、综合防范;统一协 调、统筹规划;分级管理、分工负责的方针,坚持保障政务数据 安全与促进信息化发展相协调,管理与技术统筹兼顾的原则。 政务数据安全和信息化工作应当同步规划、同步建设、同步 实施、同步发展。 第二章 职责分工 第四条 市大数据主管部门负责全市政务数据安全管理工作 —2—的组织、指导和协调,履行下列职责: (一)依照国家、省、市政务数据安全法律、法规、规章和 标准,编制政务数据安全发展战略和总体规划,制定政务数据安 全标准,建立考核评价制度,指导各政务部门开展政务数据安全 工作; (二)健全完善适应于大数据环境下的数据分类分级安全管 理制度,制定适合数字经济新产业、新业态、新应用模式的政务 数据分类分级规则,为政务数据安全管理和安全资源配置提供指 导; (三)组织建设和完善政务数据安全保障基础设施,引进政 务数据安全管理与测评机制,健全数据安全专家队伍; (四)负责组织做好政务数据安全的风险评估、安全培训等 工作; (五)会同网信、公安部门,按照各自职责分工对政务部门 进行政务数据安全检查,对发现的问题提出指导建议; (六)法律、法规、规章规定的其他职责。 第五条 区县(市)大数据主管部门按照职责开展政务数据 安全管理工作,会同本级网信、公安部门开展政务数据安全检 查,建立政务数据安全监测预警、信息通报和应急处置机制等。 第六条 各政务部门负责本单位的政务数据安全工作,履行 下列职责: (一)执行国家、省、市政务数据安全法律、法规、规章和 —3—标准,履行数据安全保护义务,指定政务数据安全管理人员,落 实政务数据安全责任制; (二)制定政务数据安全计划,实施数据安全防护技术措施, 开展政务数据安全风险评估,有效应对政务数据安全事件,防范 违法犯罪活动; (三)参加政务数据安全教育培训,接受有关部门监管和社 会监督; (四)承担其他政务数据安全工作。 第三章 政务数据安全管理 第七条 各政务部门应当建立政务数据安全经费保障制度, 将政务数据安全经费纳入本单位年度财务预算。 第八条 各政务部门应当建立政务信息系统和政务数据资产 管理体系,实行资产登记,编制资产清单,明确资产管理责任部 门与人员,定期按照资产清单对数据资产进行一致性检查并保留 检查记录。 第九条 机房的物理环境安全管理工作,实行“谁建设、谁 负责”“谁主管、谁督促”“谁使用、谁要求”的管理责任制,对 出入机房人员进行审查、登记。 第十条 各政务部门应当进行必要的安全性评估工作,加强 对服务器上的应用、服务、端口的安全管理,定期实施漏洞扫 —4—描、恶意代码检测,及时升级系统安全补丁。建立和完善密码防 护系统,提升密码安全防护能力。 第十一条 各政务部门应当采取集中管控、用户识别、访问 控制、安全审计等技术防护措施,严格落实终端计算机的安全管 理。 第十二条 各政务部门应当明确采集数据的目的和用途,确 保数据采集的合法性、正当性、必要性和业务关联性。对数据采 集的环境、设施和技术采取必要的管控措施,确保数据的完整 性、一致性和真实性。 第十三条 各政务部门应当对数据进行脱敏、分析、溯源等 处理措施,应当严格落实政务数据的安全处理机制。 第十四条 各政务部门应当在数据采集、共享交换等数据传 输环节中,制定并执行数据安全传输策略,采用安全可信通道或 数据加密等安全防控措施,确保传输过程可信、可控。对关键网 络传输链路、网络设备节点实行冗余配置,保障数据传输可靠性 和网络传输服务可用性。 第十五条 各政务部门应当在选择政务数据存储载体时,选 择安全性能、防护级别与数据安全等级相匹配的存储载体,并制 定落实政务数据存储备份和恢复策略,保障相关灾备措施,定期 进行灾难恢复演练。 各政务部门应当严格管控移动存储介质的使用,防止移动存 储介质在不同网络区域之间交叉使用造成恶意代码的传播和数据 —5—泄露。 第十六条 各政务部门应当遵照“共享为原则、不共享为例 外”的政务数据共享原则,采取加密、脱敏、备份、审计等措施 对政务数据予以安全保护,承担数据安全审查职责。政务数据使 用单位签订政务数据安全保护协议,明确政务数据共享内容、使 用期限以及双方的权利、义务和责任。 政务数据使用单位对于共享的政务数据具有上述相同的安全 管理责任。 第十七条 各政务部门应当制定数据清理和过期数据销毁策 略,对于需要依法销毁的数据,应当采取必要措施予以销毁并对 销毁过程进行记录和备案。 建立数据销毁的审批和记录流程,采取技术或管理手段,监 测数据销毁操作过程,确保全过程可审计。 第十八条 各政务部门重要信息系统应当启用备份容灾机 制,在中华人民共和国境内运营中收集和产生的个人信息和重要 数据应当在境内存储,不得向境外发送。 第十九条 各政务部门应当加强对公民信息和重要数据采 集、传输、存储、处理、共享、销毁和使用的保护。 第二十条 各政务部门应当遵循市级统一的政务数据分类分 级规则,配套差异化的安全控制措施,实现对政务数据的分类分 级保护。 第二十一条 各政务部门应当按照网络安全等级保护制度的 —6—要求、技术标准对政务信息系统开展建设与整改。 第二十二条 各级大数据主管部门应当建立网上运行业务系 统技术防护体系,采取有效防护措施,提高防篡改、防病毒、防 攻击、防瘫痪、防挂马能力,定期进行安全检查和风险评估。 第二十三条 各级大数据主管部门应当以数据安全管控、监 控、审计、运营等模式,实现日常运维规范化和标准化,提高工 作效率。 第二十四条 各级大数据主管部门应当对政务数据的生命周 期建立数据安全溯源机制,跟踪记录数据产生、传输、归集、共 享、使用各个环节的详细情况,出现安全问题,快速定位,及时 解决。 第二十五条 各级大数据主管部门应当定期开展政务数据安 全意识教育与政务数据安全操作基础培训,对系统建设、运维人 员和政务数据安全从业人员进行针对性专项技能培训。 第四章 政务数据安全检查与应急处理 第二十六条 各级大数据主管部门会同本级网信、公安部门 建立政务数据安全年度检查和专项检查制度,对全市政务数据应 用的安全性、合规性进行检查;各政务部门应当配合检查,对检 查中发现的问题及时整改。 第二十七条 各级大数据主管部门按照规定委托具有资质的 —7—第三方机构对政务数据安全工作开展风险评估,对发现的问题各 政务部门应当及时整改。 第二十八条 各政务部门应当根据实际需要与网信、公安、 当地线路运营商、电网等部门建立应急协调机制,及时处理由网 络中断、电力供应和非法攻击行为等引发的政务数据安全事件。 第二十九条 政务数据出现下列情形之一时,各政务部门应 当立即采取补救措施,并报送同级网信、公安、大数据等部门: (一)发现重大网络安全隐患、漏洞或基础网络、重要系统 受到外部攻击遭到破坏的; (二)发生重大政务数据安全事件; (三)公民、法人信息或重要政务数据泄露、毁损、丢失, 造成重大影响或经济损失; (四)行政机关及事业单位等网站数据被篡改; (五)国家、省、市政务数据安全主管部门通报的事件; (六)其他需要调查的。 第五章 责任追究 第三十条 政务部门、公职人员违反本办法,法律、法规已 有法律责任规定的,依照其规定。 第三十一条 政务部门有下列行为之一的,由有关主管部门 责令限期改正;造成安全隐患或者导致政务数据安全事件发生 —8—