各县、区人民政府，市各委办局，市各直属单位：

《连云港市政务数据安全管理暂行办法》已经市政府同意，现印发给你们，请认真遵照执行。

 

 

连云港市人民政府办公室

2018年10月30日

（此件公开发布）

连云港市政务数据安全管理暂行办法

 

第一章  总  则

 

第一条　为加强政务数据安全管理，保障全市电子政务健康运行，加快“数字政府”建设，依据《中华人民共和国网络安全法》、《连云港市政务信息资源共享管理暂行办法》（连政发〔2017〕128号）、《连云港市政务云平台管理暂行办法》（连政办发〔2018〕13号）等规定，结合本市实际，制定本办法。

第二条　本办法所称政务数据是指国家机关、事业单位、社会团体或者其他依法经授权、受委托的具有公共管理职能的组织和公共服务企业在履行职责过程中采集和获取的或者通过特许经营、购买服务等方式开展信息化建设和应用所产生的数据。

本办法所称政务数据安全管理是指政务数据的所有者、管理者、使用者和提供者（以下简称安全责任单位）为防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害而采取的系列措施和活动。

第三条  实施政务数据安全管理，应当坚持正确的网络安全观，遵循统一领导、统筹规划、强化管理、积极防范、权责统一的原则。

第四条  市政务信息化暨“互联网+政务服务”工作领导小组负责统筹协调和指导全市政务数据安全管理工作。领导小组办公室设在市政府办公室，是市政务数据的主管部门（以下简称数据主管部门），负责政务数据安全管理工作的组织实施，具体工作由市政府电子政务办公室承担。

各县区负责加强对本行政区域内政务数据安全管理工作的领导，明确本地区政务数据安全主管部门，协调解决政务数据安全管理重要问题，所需经费列入同级财政预算。

各安全责任单位按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的要求，明确专人负责本单位政务数据安全管理（原则上由本单位办公室主任承担），建立健全数据安全管理机构和工作责任制。对共享数据的使用，须严格按照《连云港市政务信息资源共享安全保密协议》执行，严禁滥用、扩散、外泄。

第五条　安全责任单位依照职责依法采集处理政务数据，做好安全管理工作。技术服务单位根据授权或者委托承担政务数据安全管理的技术服务，以及有关平台的建设运行、支撑保障和日常维护等工作。

数据主管部门负责对各单位的政务数据安全管理工作进行监督检查，评价技术服务单位的服务，评估政务数据安全管理情况，及时纠正相关违法违规行为。

政务信息化项目审核部门和财政部门将政务数据安全管理情况作为项目验收或者资金安排的重要依据。凡不符合政务数据安全管理要求的，不予审核建设项目，不予安排建设运维经费。

 

第二章  系统建设

 

第六条  政务信息系统建设应遵守国家、省、市有关信息安全和保密规定，参照国家相关标准规范，同步规划、同步设计系统的信息安全保障方案。在系统建设（含新建、改建）和运行维护中，要充分考虑数据安全经费，确保必要的资金投入。

第七条  依据国家有关规定，实行信息安全等级保护制度。各单位负责对自建政务信息系统进行自主定级，并将定级报告和信息安全保障方案报送政务数据主管部门。

第八条  政务信息系统应严格按照通过政务信息化项目审核后的规划和设计方案，同步建设信息安全保障系统。建设时，应选用具有国家主管部门认可资质的安全产品和服务，确保政务数据安全自主可控。鼓励选用国产设备和软件。非涉密政务信息系统应通过等级保护测评和验收后，方可投入使用。

 

第三章           运行管理

 

第九条  市政府电子政务办公室负责落实政务数据安全管理任务和日常协调工作，推动政务数据安全建设，对发现的安全风险问题督促相关单位及时整改。

市信息中心负责技术支撑保障，做好市政务云、市政务数据共享交换平台的日常运维，监控政务数据使用情况，定期开展攻防演练和数据安全检查，确保安全、可靠、稳定运转，及时向数据主管部门报送信息安全状况。

未经安全责任单位授权，任何单位和个人不得进入云主机、云数据库、云存储等资源，不得泄露、篡改、毁损、复制和利用用户数据；非法获取国家秘密或用户数据构成犯罪的，依法追究其刑事责任。

第十条  安全责任单位的主要负责人是本单位政务数据安全的第一责任人。安全责任单位负责根据数据的生命周期、规模、重要性和本单位的性质、类别、规模等因素，建立安全管理内控制度、监测报送机制和支撑保障机制，明确安全管理负责人，落实不同岗位的安全管理职责。各单位应加强数据安全教育，定期组织数据安全宣传教育活动，增强本单位人员数据安全意识。

安全责任单位每年至少开展一次安全自查，开展风险评估，发现问题及时整改，自查结果报数据主管部门。制定完善信息安全事件应急预案和重要政务数据备份方案，每年至少组织一次信息安全应急演练和灾难恢复演练。

政务信息系统因发生重大安全事件或发现重大安全隐患而下线整改的，整改后应通过信息安全测评，方可恢复上线运行。

第十一条  为保障政务数据共享安全，规范数据共享使用流程，政务数据资源细分为：

1．公共开放数据。可面向社会公众开放的政府公共数据，该类数据通过共享平台可以直接共享。

2．不落地的无条件共享数据。数据需求方利用共享平台，可以对所需数据进行浏览、查询、比对等操作，但不可将数据批量拷贝、下载或交换至其它信息系统。

3．落地的无条件共享数据。数据需求方利用共享平台提出共享申请，且需将数据拷贝、下载或交换至其它信息系统时，数据提供方就所申请的数据内容、使用目的、使用方式等提出是否共享的意见，数据主管部门根据数据提供方意见进行审核。

4．有条件共享数据。数据需求方利用共享平台提出共享申请，数据提供方就所申请的数据内容、使用目的、使用方式等提出是否共享的意见，数据主管部门根据数据提供方意见进行审核。

5．不共享数据。数据需求方利用共享平台提出共享申请，数据主管部门、数据提供方、数据需求方等三方在遵从有关法律、行政法规或党中央、国务院政策等前提下，审慎会商决定。

6．其他数据。该数据是指尚未纳入《连云港市政务信息资源目录》的数据。数据主管部门调研调查后，根据实际情况会同数据产生部门完善《连云港市政务信息资源目录》。

安全责任单位应将产生的数据按照上述属性进行归类并规范使用。

 

第四章  安全保障

 

第十二条  安全责任单位要按照职责明确、意图合规、质量保障、最小量化数据、最小授权操作、分类分级保护和可审计的原则，采取有效措施保护数据的保密性、完整性、真实性、可控性、可靠性和可核查性。

第十三条  安全责任单位要根据数据类型、级别、敏感程度以及数据安全需求等，制定完善安全规则、操作规程和管理策略，采取授权访问、身份认证等技术措施，防止未经授权查询、复制、修改或者传输数据。对个人信息和重要数据实行加密等安全保护，对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。

第十四条  安全责任单位要建立数据安全审计制度，规定审计工作流程，记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程，定期进行安全审计分析。

第十五条  安全责任单位服务外包业务涉及收集、存储、传输或者应用数据的，应当依法与外包服务提供商签订安全保护协议，采取安全保护措施，并对导出、复制、销毁数据等行为进行监督。

 

第五章  绩效考核

 

第十六条  建立政务数据安全绩效考核制度，数据主管部门每年负责对各单位政务数据安全绩效进行考核评分，适时公布安全绩效考核结果。

 

第六章  违规处理

 

第十七条  有违反本办法行为的，由数据主管部门责令其限期改正；逾期不改正的，给予通报批评；情节严重且未完成改正的，不能申请下一年度政务信息化项目；造成重大损失的，依法追究责任单位主要负责人和有关责任人员的责任。

涉嫌犯罪的，移送有关机关依法处理。

 

第七章  附则

 

第十八条  国家、省和市对涉及国家秘密、国家安全的政务信息系统有特殊安全保密规定的，从其规定。

第十九条  本办法自发布之日起施行。