UedBet体育
UedBet体育印发《石家庄市政务数据资源共享
安全管理规定》的通知
各县(市、区)人民政府,高新区、循环化工园区和综合保税区管委会,市政府各部门:
《石家庄市政务数据资源共享安全管理规定》已经市政府第75次常务会议研究通过,现印发给你们,请认真贯彻执行。
UedBet体育
2020年9月1日
(此件公开发布)
石家庄市政务数据资源共享安全管理规定
第一章 总则
第一条 为规范政务数据共享安全管理,加快推动政务数据共享和应用,依据《中华人民共和国网络安全法》和《河北省政务信息资源共享管理规定》等法律规章规定,结合本市实际,制定本规定。
第二条 本市行政区域内的政务部门政务数据资源的采集、存储、使用、开放、共享及其相关管理活动,适用本规定。
本规定所称政务部门,是指市级行政机关及法律法规授权具有行政职能的社会组织。
本规定所称政务数据,是指政务部门在依法履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。涉及国家秘密的政务数据不在本管理规定范围内,按照国家、河北省和石家庄市有关规定执行。
第三条 政务数据共享安全要求包括基本安全要求,以及数据归集、数据传输、数据存储、数据处理、数据共享和数据销毁等流程环节安全要求。各参与方应根据自身角色和责任遵照执行。
第四条 政务数据共享安全管理采取主动防御、综合防范方针,坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。各参与方数据安全和信息化工作应同步规划、同步建设、同步运行。
第二章 基本安全要求
第五条 市数据资源管理局是全市数据资源安全管理的主管部门,负责组织、指导、协调和监督全市政务数据资源共享安全工作;负责会同UedBet体育网信办、市公安局等部门,建立政务数据资源共享安全管理制度,督促政务数据采集、共享、使用全过程的安全保障工作,指导推进政务数据资源共享风险评估和安全审查。
第六条 市数据资源管理局负责制定满足业务需求的数据安全策略,明确安全方针、安全目标和安全原则。负责基于安全策略,建立相关的制度规程,形成以数据为核心的安全制度体系。负责市级政务数据交换、开放和共享平台(以下简称“平台”)数据的安全保障和运行监管。
第七条 政务部门是本部门数据资源安全管理的责任主体,负责明确本部门数据资源共享安全的岗位及职能,指定专人负责,并向市数据资源管理局备案,如进行人员调整,应及时更新;负责制定本部门与各参与方人员的标准合同协议,明确相关人员与组织的数据资源安全责任;负责建立本部门离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权。
第八条 政务部门负责制定本部门数据资产安全管理制度,明确数据资产安全管理目标和安全原则、数据资产的全生命周期管理要求、资产登记要求和分类标记要求,并针对安全管理制度执行定期审核和更新。
第九条 政务部门负责建立本部门元数据语义统一规范和管理规则,建立元数据访问控制策略,明确元数据管理角色及其授权控制机制,并通过技术手段实现对元数据管理角色的授权和访问管理。
第十条 政务部门负责做好本部门所提供和使用数据资源安全的运行监管。制定日志记录规范和监管要求,对所提供数据的采集、传输以及共享数据在本部门内部的存储、处理、销毁等过程进行有效的日志记录,实现对数据滥用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责。
第十一条 政务部门负责本部门所有数据资源共享终端的安全。应使用符合安全规定的终端设备,并做好终端的行为日志记录,采取主动防御、终端接入控制等手段保障终端安全。
第十二条 政务部门负责建立本部门所提供和使用数据防泄露规范,明确数据泄露防护处理的应用场景和处理方法;负责提供数据和使用数据防泄漏处理过程的日志记录,满足数据防泄漏处理安全审计要求;负责制定数据使用过程中安全应急预案,实现政务数据共享安全突发事件的应急处置。
第三章 数据归集与传输安全
第十三条 市数据资源管理局负责制定政务数据分类分级标准。政务部门负责按照数据类型及信息安全等级保护要求,确定数据敏感度等级,根据数据敏感度等级、场景数据使用风险等级确定相应的控制措施。
第十四条 市数据资源管理局在政务数据归集过程中,负责数据资源管理制度规范的制定,针对不同的数据归集场景定义数据溯源策略和机制,制定平台数据传输的加密及相关安全策略,提供有效的工具对归集的数据和数据源进行识别和记录,确保管理人员能够追踪原始数据来源。
第十五条 市数据资源管理局负责建立数据归集过程中的质量监控规则,明确数据质量监控范围及监控方式,并利用技术工具对在线和离线归集到的数据进行监控,实现对异常数据的告警。
第十六条 政务部门要确保本部门提供的数据来源真实有效、合法正当,明确数据共享范围和用途;负责实现与平台之间的有效联通,部门业务数据库与前置交换数据库的同步更新;负责其使用的平台前置交换系统的运行及安全保障工作。
第十七条 政务部门负责明确本部门需要传输加密的业务场景,支持对个人信息和重要数据的加密传输;负责对传输数据的完整性进行检测并执行恢复控制。
第十八条 支撑政务数据资源共享的平台基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准。
第四章 数据存储安全
第十九条 市数据资源管理局负责平台的数据存储安全,做好共享数据的备份和恢复。
第二十条 政务部门负责制定本部门各类数据存储系统的安全配置规则,采取技术手段和工具支撑数据存储系统的安全管理。
第二十一条 政务部门负责做好本部门政务数据的备份与恢复。负责建立数据存储冗余策略、管理制度与规范,明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等。
第二十二条 政务部门负责建立本部门政务数据安全访问策略,由授权主体进行访问策略配置,授予数据使用者为完成各自任务所需要的最小权限。
第五章 数据处理安全
第二十三条 政务数据共享过程中,市数据资源管理局协同政务部门做好数据共享脱敏工作。政务部门负责明确脱敏处理的应用场景和处理方法,市数据资源管理局负责制定规则和技术处理实现数据脱敏。
第二十四条 政务部门在利用原始共享数据进行数据分析过程中,要对分析结果进行风险评估,确保衍生数据不超过原始共享数据的授权范围和安全使用要求;负责对利用多源数据进行大数据分析的过程进行日志记录,对分析结果质量、真实性和合规性进行数据溯源;负责对利用数据分析算法输出的结果进行风险评估,避免分析结果输出中包含可恢复的个人信息、重要数据等数据和结构标识,从而防止个人信息、重要数据等敏感信息的泄漏。
第二十五条 政务部门负责制定本部门数据使用权限管理制度,规定各参与方身份及访问权限的授予、变更、撤销等流程,以及数据全生命周期的管理要求和责任制;负责定义并执行统一的身份及访问管理流程;负责建立数据使用正当性的监督审核机制,保证在数据使用声明的范围内对受保护的个人信息、重要数据等进行使用和分析处理。
第六章 数据共享安全
第二十六条 市数据资源管理局负责建立数据获取和使用安全规范,明确数据使用者的数据获取方式、服务接口、授权机制和数据使用的权限范围等;负责制定规范的政务数据共享审核流程,确保没有超出数据提供者所允许的数据授权范围。
第二十七条 政务部门负责配合市数据资源管理局建立政务数据共享线上实时通道。原则上,平台中任何数据都不得导入导出,经市数据资源管理局同意,在确保数据安全的前提下除外。
第七章 数据销毁安全
第二十八条 政务部门负责制定本部门数据销毁规范,提出各类数据销毁场景的销毁手段,明确销毁方式和销毁要求。
第二十九条 政务部门负责建立本部门数据销毁的审批和记录流程,并设置数据销毁监督角色,监督数据销毁操作过程。
第八章 附则
第三十条 本规定由市数据资源管理局负责解释。
第三十一条 各县(市、区)参照本规定执行。
第三十二条 本规定自发布之日起施行。