河南省政務數(shù)據(jù)安全管理暫行辦法

　　第一章  總  則

　　第一條  為建立健全政務數(shù)據(jù)安全防護體系，保障政務數(shù)據(jù)安全，依據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設施安全保護條例》等法律、法規(guī)和有關(guān)規(guī)定，結(jié)合本省實際，制定本辦法。

　　第二條  本辦法所稱政務部門是指各級行政機關(guān)及法律、法規(guī)授權(quán)具有公共事務管理職能的組織;政務數(shù)據(jù)是指任何以電子或者其他方式對政務相關(guān)信息的記錄;政務數(shù)據(jù)共享是指政務部門因履行職責需要使用其他政務部門的政務數(shù)據(jù)或者為其他政務部門提供政務數(shù)據(jù)的行為;政務數(shù)據(jù)安全是指通過采取必要措施，確保政務數(shù)據(jù)處于有效保護和合法利用狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力;政務信息系統(tǒng)是指政務部門建設的，由計算機及其相關(guān)設備、設施(含網(wǎng)絡)構(gòu)成的，按照一定應用目標和規(guī)則對相關(guān)信息和數(shù)據(jù)進行收集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

　　第三條  本辦法適用于本省行政區(qū)域內(nèi)政務部門非涉密政務數(shù)據(jù)收集、存儲、傳輸、共享、開放、使用、銷毀等行為及相關(guān)管理活動。涉及國家秘密和工作秘密的，按照相關(guān)法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

　　第四條  政務部門要全面貫徹落實總體國家安全觀，堅持安全與發(fā)展并重，完善政務數(shù)據(jù)安全治理體系，不斷提高政務數(shù)據(jù)安全保障能力，保障依法共享和安全利用政務數(shù)據(jù)。

　　第五條  實行政務數(shù)據(jù)安全責任制，按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，保障政務數(shù)據(jù)全生命周期安全?；趶椭?、流通、交換等同時存在多個政務數(shù)據(jù)安全責任人的，分別承擔各自安全責任。

　　第二章  職責分工

　　第六條  省政府統(tǒng)籌全省政務數(shù)據(jù)安全保障工作，市、縣級政府負責本行政區(qū)域內(nèi)政務數(shù)據(jù)安全保障工作，所需經(jīng)費列入本級財政預算。

　　第七條  網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)、檢查指導和相關(guān)監(jiān)督管理等工作。公安部門負責等級保護、日常巡查、執(zhí)法檢查、信息通報、應急處置等監(jiān)督管理工作。保密、國家安全、密碼管理、大數(shù)據(jù)管理、通信管理等部門按照本辦法和有關(guān)法律、法規(guī)、規(guī)章的規(guī)定，在各自職責范圍內(nèi)承擔政務數(shù)據(jù)安全監(jiān)管職責。

　　第八條  大數(shù)據(jù)管理機構(gòu)作為政務數(shù)據(jù)主管部門，負責組織、指導和協(xié)調(diào)本級政務數(shù)據(jù)安全保障工作，履行下列職責：

　　(一)組織重大政務數(shù)據(jù)安全基礎(chǔ)設施建設，按照法律、法規(guī)、規(guī)章和標準，指導政務部門開展政務數(shù)據(jù)安全工作;

　　(二)制定政務數(shù)據(jù)分類分級指南，完善政務數(shù)據(jù)分類分級安全管理制度;

　　(三)會同本級網(wǎng)信、公安等部門按照職責研究解決涉及政務數(shù)據(jù)安全的重大事項，建立政務數(shù)據(jù)安全監(jiān)測預警、信息通報和應急處置機制，檢查、評估政務部門政務數(shù)據(jù)安全工作，指導政務部門建立政務數(shù)據(jù)應急管理制度;

　　(四)組織開展政務數(shù)據(jù)安全教育和安全操作培訓,提升政務數(shù)據(jù)安全保障能力;

　　(五)指導下級大數(shù)據(jù)管理機構(gòu)開展政務數(shù)據(jù)安全工作;

　　(六)完成上級交辦的其他政務數(shù)據(jù)安全工作。

　　第九條  政務部門負責本部門政務數(shù)據(jù)安全保障工作，履行下列職責：

　　(一)貫徹落實政務數(shù)據(jù)安全法律、法規(guī)、規(guī)章和標準，建立人員管理、系統(tǒng)建設與運維、數(shù)據(jù)共享審核、數(shù)據(jù)備份等政務數(shù)據(jù)安全管理制度;

　　(二)明確政務數(shù)據(jù)安全負責人和管理機構(gòu)，落實政務數(shù)據(jù)安全責任制;

　　(三)建立完善政務數(shù)據(jù)安全防護體系，制定政務數(shù)據(jù)安全事件應急預案，定期開展應急演練;

　　(四)建立政務數(shù)據(jù)安全培訓制度，定期開展政務數(shù)據(jù)安全教育和安全操作培訓;

　　(五)定期開展政務數(shù)據(jù)處理活動風險評估，配合有關(guān)部門進行政務數(shù)據(jù)安全檢查，發(fā)現(xiàn)問題及時整改。

　　第三章  建設與運行

　　第十條  政務部門建設政務信息系統(tǒng)應嚴格遵守有關(guān)法律、法規(guī)、標準規(guī)范，同步編制政務數(shù)據(jù)安全建設方案，同步建設政務數(shù)據(jù)安全防護系統(tǒng)，同步開展政務數(shù)據(jù)安全運行工作，定期評估，不斷提高政務數(shù)據(jù)安全防護水平。

　　第十一條  政務部門應落實等級保護、密碼應用等要求，定期開展政務信息系統(tǒng)等級保護和商用密碼應用等安全性評估。

　　第十二條  政務部門應依法確定政務信息系統(tǒng)建設、運維運營等單位。建設、維護政務信息系統(tǒng)，存儲、加工政務數(shù)據(jù)，應嚴格履行審批程序，加強項目實施過程管理，并監(jiān)督建設、運維運營等單位履行數(shù)據(jù)安全保護義務。建設、運維運營等單位應依照法律、法規(guī)規(guī)定和合同約定履行數(shù)據(jù)安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)。

　　第十三條  政務部門應明確收集政務數(shù)據(jù)的目的、依據(jù)和用途，確保政務數(shù)據(jù)收集的合法性、正當性、必要性和業(yè)務關(guān)聯(lián)性;要采取防護措施，確保政務數(shù)據(jù)的完整性、一致性和真實性;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應依法予以保密，不得泄露或者向他人非法提供。政務數(shù)據(jù)涉及工作秘密的，應采取脫敏、加密等措施，確保數(shù)據(jù)可管可控。

　　第十四條  在政務數(shù)據(jù)收集、共享交換、開放等環(huán)節(jié)，政務部門應制定政務數(shù)據(jù)安全傳輸策略，利用安全可信通道或者采取加密等措施，確保傳輸過程可信可控。對關(guān)鍵傳輸鏈路、重要設備節(jié)點實行冗余建設，保障數(shù)據(jù)傳輸可靠性和網(wǎng)絡傳輸服務可用性。

　　第十五條  政務部門要堅持“共享為原則、不共享為例外”的原則,采取加密、脫敏、備份、審計等措施妥善保護政務數(shù)據(jù)。政務部門申請獲得的政務數(shù)據(jù)未經(jīng)授權(quán)不得提供給第三方，不得擅自用于申請理由外的其他場景。

　　第十六條  政務部門應履行數(shù)據(jù)安全審查職責，按照數(shù)據(jù)安全、保護隱私有關(guān)要求和使用需求確定本部門政務數(shù)據(jù)開放范圍。

　　第十七條  政務部門應開展政務數(shù)據(jù)備份工作，建立數(shù)據(jù)備份及恢復制度和應急機制，對關(guān)鍵政務數(shù)據(jù)進行加密存儲、備份。

　　第十八條  政務部門應建立政務數(shù)據(jù)銷毀制度，明確銷毀方式和銷毀要求。銷毀政務數(shù)據(jù)應履行審批程序，妥善保存相關(guān)記錄。

　　第十九條  各政務部門要將政務數(shù)據(jù)安全建設和人員培訓經(jīng)費納入本部門年度部門預算，建立政務數(shù)據(jù)安全經(jīng)費保障制度。

　　第四章  應急管理和安全檢查

　　第二十條  政務部門應按照本級大數(shù)據(jù)管理機構(gòu)和上級業(yè)務主管部門要求，建立政務數(shù)據(jù)安全應急管理機制，明確應急工作機構(gòu)、事件上報流程及應急處置措施。

　　第二十一條  政務部門應及時評估政務數(shù)據(jù)安全事件應急演練情況。發(fā)生政務數(shù)據(jù)安全事件時，應立即啟動應急預案，并按照規(guī)定向網(wǎng)信、公安、大數(shù)據(jù)管理等有關(guān)部門報告。

　　第二十二條  大數(shù)據(jù)管理機構(gòu)應按照規(guī)定開展政務數(shù)據(jù)安全年度檢查和專項檢查,政務部門應予配合,發(fā)現(xiàn)問題及時整改。

　　第五章  責任追究

　　第二十三條  違反本辦法規(guī)定的，按照有關(guān)法律、法規(guī)、規(guī)章的規(guī)定處理。侵害公民、法人或者其他組織的合法權(quán)益的，依法承擔民事責任。構(gòu)成犯罪的，依法追究刑事責任。

　　第六章  附則

　　第二十四條  未盡事項依照有關(guān)法律、法規(guī)處理。

　　第二十五條  本辦法自發(fā)布之日起施行。