石家莊市人民政府
關于印發(fā)《石家莊市政務數(shù)據(jù)資源共享
安全管理規(guī)定》的通知
各縣(市、區(qū))人民政府,高新區(qū)、循環(huán)化工園區(qū)和綜合保稅區(qū)管委會,市政府各部門:
《石家莊市政務數(shù)據(jù)資源共享安全管理規(guī)定》已經市政府第75次常務會議研究通過,現(xiàn)印發(fā)給你們,請認真貫徹執(zhí)行。
石家莊市人民政府
2020年9月1日
(此件公開發(fā)布)
石家莊市政務數(shù)據(jù)資源共享安全管理規(guī)定
第一章 總則
第一條 為規(guī)范政務數(shù)據(jù)共享安全管理,加快推動政務數(shù)據(jù)共享和應用,依據(jù)《中華人民共和國網絡安全法》和《河北省政務信息資源共享管理規(guī)定》等法律規(guī)章規(guī)定,結合本市實際,制定本規(guī)定。
第二條 本市行政區(qū)域內的政務部門政務數(shù)據(jù)資源的采集、存儲、使用、開放、共享及其相關管理活動,適用本規(guī)定。
本規(guī)定所稱政務部門,是指市級行政機關及法律法規(guī)授權具有行政職能的社會組織。
本規(guī)定所稱政務數(shù)據(jù),是指政務部門在依法履行職責過程中制作或獲取的,以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各類信息資源,包括政務部門直接或通過第三方依法采集的、依法授權管理的和因履行職責需要依托政務信息系統(tǒng)形成的信息資源等。涉及國家秘密的政務數(shù)據(jù)不在本管理規(guī)定范圍內,按照國家、河北省和石家莊市有關規(guī)定執(zhí)行。
第三條 政務數(shù)據(jù)共享安全要求包括基本安全要求,以及數(shù)據(jù)歸集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)共享和數(shù)據(jù)銷毀等流程環(huán)節(jié)安全要求。各參與方應根據(jù)自身角色和責任遵照執(zhí)行。
第四條 政務數(shù)據(jù)共享安全管理采取主動防御、綜合防范方針,堅持保障政務數(shù)據(jù)安全與促進應用發(fā)展相協(xié)調、管理與技術并重的原則,實行統(tǒng)一協(xié)調、分工負責、分級管理。各參與方數(shù)據(jù)安全和信息化工作應同步規(guī)劃、同步建設、同步運行。
第二章 基本安全要求
第五條 市數(shù)據(jù)資源管理局是全市數(shù)據(jù)資源安全管理的主管部門,負責組織、指導、協(xié)調和監(jiān)督全市政務數(shù)據(jù)資源共享安全工作;負責會同市委網信辦、市公安局等部門,建立政務數(shù)據(jù)資源共享安全管理制度,督促政務數(shù)據(jù)采集、共享、使用全過程的安全保障工作,指導推進政務數(shù)據(jù)資源共享風險評估和安全審查。
第六條 市數(shù)據(jù)資源管理局負責制定滿足業(yè)務需求的數(shù)據(jù)安全策略,明確安全方針、安全目標和安全原則。負責基于安全策略,建立相關的制度規(guī)程,形成以數(shù)據(jù)為核心的安全制度體系。負責市級政務數(shù)據(jù)交換、開放和共享平臺(以下簡稱“平臺”)數(shù)據(jù)的安全保障和運行監(jiān)管。
第七條 政務部門是本部門數(shù)據(jù)資源安全管理的責任主體,負責明確本部門數(shù)據(jù)資源共享安全的崗位及職能,指定專人負責,并向市數(shù)據(jù)資源管理局備案,如進行人員調整,應及時更新;負責制定本部門與各參與方人員的標準合同協(xié)議,明確相關人員與組織的數(shù)據(jù)資源安全責任;負責建立本部門離任審計機制,對關鍵人員的離任進行審查,及時回收相關資源和授權。
第八條 政務部門負責制定本部門數(shù)據(jù)資產安全管理制度,明確數(shù)據(jù)資產安全管理目標和安全原則、數(shù)據(jù)資產的全生命周期管理要求、資產登記要求和分類標記要求,并針對安全管理制度執(zhí)行定期審核和更新。
第九條 政務部門負責建立本部門元數(shù)據(jù)語義統(tǒng)一規(guī)范和管理規(guī)則,建立元數(shù)據(jù)訪問控制策略,明確元數(shù)據(jù)管理角色及其授權控制機制,并通過技術手段實現(xiàn)對元數(shù)據(jù)管理角色的授權和訪問管理。
第十條 政務部門負責做好本部門所提供和使用數(shù)據(jù)資源安全的運行監(jiān)管。制定日志記錄規(guī)范和監(jiān)管要求,對所提供數(shù)據(jù)的采集、傳輸以及共享數(shù)據(jù)在本部門內部的存儲、處理、銷毀等過程進行有效的日志記錄,實現(xiàn)對數(shù)據(jù)濫用、違規(guī)使用、締約過失、越權使用等行為的識別、監(jiān)控、預警和追責。
第十一條 政務部門負責本部門所有數(shù)據(jù)資源共享終端的安全。應使用符合安全規(guī)定的終端設備,并做好終端的行為日志記錄,采取主動防御、終端接入控制等手段保障終端安全。
第十二條 政務部門負責建立本部門所提供和使用數(shù)據(jù)防泄露規(guī)范,明確數(shù)據(jù)泄露防護處理的應用場景和處理方法;負責提供數(shù)據(jù)和使用數(shù)據(jù)防泄漏處理過程的日志記錄,滿足數(shù)據(jù)防泄漏處理安全審計要求;負責制定數(shù)據(jù)使用過程中安全應急預案,實現(xiàn)政務數(shù)據(jù)共享安全突發(fā)事件的應急處置。
第三章 數(shù)據(jù)歸集與傳輸安全
第十三條 市數(shù)據(jù)資源管理局負責制定政務數(shù)據(jù)分類分級標準。政務部門負責按照數(shù)據(jù)類型及信息安全等級保護要求,確定數(shù)據(jù)敏感度等級,根據(jù)數(shù)據(jù)敏感度等級、場景數(shù)據(jù)使用風險等級確定相應的控制措施。
第十四條 市數(shù)據(jù)資源管理局在政務數(shù)據(jù)歸集過程中,負責數(shù)據(jù)資源管理制度規(guī)范的制定,針對不同的數(shù)據(jù)歸集場景定義數(shù)據(jù)溯源策略和機制,制定平臺數(shù)據(jù)傳輸?shù)募用芗跋嚓P安全策略,提供有效的工具對歸集的數(shù)據(jù)和數(shù)據(jù)源進行識別和記錄,確保管理人員能夠追蹤原始數(shù)據(jù)來源。
第十五條 市數(shù)據(jù)資源管理局負責建立數(shù)據(jù)歸集過程中的質量監(jiān)控規(guī)則,明確數(shù)據(jù)質量監(jiān)控范圍及監(jiān)控方式,并利用技術工具對在線和離線歸集到的數(shù)據(jù)進行監(jiān)控,實現(xiàn)對異常數(shù)據(jù)的告警。
第十六條 政務部門要確保本部門提供的數(shù)據(jù)來源真實有效、合法正當,明確數(shù)據(jù)共享范圍和用途;負責實現(xiàn)與平臺之間的有效聯(lián)通,部門業(yè)務數(shù)據(jù)庫與前置交換數(shù)據(jù)庫的同步更新;負責其使用的平臺前置交換系統(tǒng)的運行及安全保障工作。
第十七條 政務部門負責明確本部門需要傳輸加密的業(yè)務場景,支持對個人信息和重要數(shù)據(jù)的加密傳輸;負責對傳輸數(shù)據(jù)的完整性進行檢測并執(zhí)行恢復控制。
第十八條 支撐政務數(shù)據(jù)資源共享的平臺基礎設施和網絡應符合國家等級保護和關鍵信息基礎設施保護的相關法規(guī)和標準。
第四章 數(shù)據(jù)存儲安全
第十九條 市數(shù)據(jù)資源管理局負責平臺的數(shù)據(jù)存儲安全,做好共享數(shù)據(jù)的備份和恢復。
第二十條 政務部門負責制定本部門各類數(shù)據(jù)存儲系統(tǒng)的安全配置規(guī)則,采取技術手段和工具支撐數(shù)據(jù)存儲系統(tǒng)的安全管理。
第二十一條 政務部門負責做好本部門政務數(shù)據(jù)的備份與恢復。負責建立數(shù)據(jù)存儲冗余策略、管理制度與規(guī)范,明確定義數(shù)據(jù)復制、備份和恢復的范圍、頻率、工具、過程、日志記錄規(guī)范、數(shù)據(jù)保存時長等。
第二十二條 政務部門負責建立本部門政務數(shù)據(jù)安全訪問策略,由授權主體進行訪問策略配置,授予數(shù)據(jù)使用者為完成各自任務所需要的最小權限。
第五章 數(shù)據(jù)處理安全
第二十三條 政務數(shù)據(jù)共享過程中,市數(shù)據(jù)資源管理局協(xié)同政務部門做好數(shù)據(jù)共享脫敏工作。政務部門負責明確脫敏處理的應用場景和處理方法,市數(shù)據(jù)資源管理局負責制定規(guī)則和技術處理實現(xiàn)數(shù)據(jù)脫敏。
第二十四條 政務部門在利用原始共享數(shù)據(jù)進行數(shù)據(jù)分析過程中,要對分析結果進行風險評估,確保衍生數(shù)據(jù)不超過原始共享數(shù)據(jù)的授權范圍和安全使用要求;負責對利用多源數(shù)據(jù)進行大數(shù)據(jù)分析的過程進行日志記錄,對分析結果質量、真實性和合規(guī)性進行數(shù)據(jù)溯源;負責對利用數(shù)據(jù)分析算法輸出的結果進行風險評估,避免分析結果輸出中包含可恢復的個人信息、重要數(shù)據(jù)等數(shù)據(jù)和結構標識,從而防止個人信息、重要數(shù)據(jù)等敏感信息的泄漏。
第二十五條 政務部門負責制定本部門數(shù)據(jù)使用權限管理制度,規(guī)定各參與方身份及訪問權限的授予、變更、撤銷等流程,以及數(shù)據(jù)全生命周期的管理要求和責任制;負責定義并執(zhí)行統(tǒng)一的身份及訪問管理流程;負責建立數(shù)據(jù)使用正當性的監(jiān)督審核機制,保證在數(shù)據(jù)使用聲明的范圍內對受保護的個人信息、重要數(shù)據(jù)等進行使用和分析處理。
第六章 數(shù)據(jù)共享安全
第二十六條 市數(shù)據(jù)資源管理局負責建立數(shù)據(jù)獲取和使用安全規(guī)范,明確數(shù)據(jù)使用者的數(shù)據(jù)獲取方式、服務接口、授權機制和數(shù)據(jù)使用的權限范圍等;負責制定規(guī)范的政務數(shù)據(jù)共享審核流程,確保沒有超出數(shù)據(jù)提供者所允許的數(shù)據(jù)授權范圍。
第二十七條 政務部門負責配合市數(shù)據(jù)資源管理局建立政務數(shù)據(jù)共享線上實時通道。原則上,平臺中任何數(shù)據(jù)都不得導入導出,經市數(shù)據(jù)資源管理局同意,在確保數(shù)據(jù)安全的前提下除外。
第七章 數(shù)據(jù)銷毀安全
第二十八條 政務部門負責制定本部門數(shù)據(jù)銷毀規(guī)范,提出各類數(shù)據(jù)銷毀場景的銷毀手段,明確銷毀方式和銷毀要求。
第二十九條 政務部門負責建立本部門數(shù)據(jù)銷毀的審批和記錄流程,并設置數(shù)據(jù)銷毀監(jiān)督角色,監(jiān)督數(shù)據(jù)銷毀操作過程。
第八章 附則
第三十條 本規(guī)定由市數(shù)據(jù)資源管理局負責解釋。
第三十一條 各縣(市、區(qū))參照本規(guī)定執(zhí)行。
第三十二條 本規(guī)定自發(fā)布之日起施行。
