索引號:16012022E/2023-00064 | |
發布機構:縣政府辦公室 | 發布日期:2023-12-29 09:31:15 |
名稱:麟游縣數字政府智慧城市建設工作辦公室關于印發《麟游縣數據安全管理暫行辦法》的通知 | |
有 效 性:有效 | 文號:麟數建辦發〔2023〕1號 |
麟規〔2023〕002-縣政府辦-004
各鎮人民政府,縣級有關部門:
現將《麟游縣數據安全管理暫行辦法》予以印發,請結合實際,認真抓好貫徹落實。
麟游縣數字政府智慧城市建設工作辦公室(代章)
2023年12月21日
麟游縣數據安全管理暫行辦法
第一章 總 則
第一條 為提升麟游縣數據安全管理水平,降低數據服務安全風險,建立健全數據安全保障體系,維護國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《陜西省大數據條例》《寶雞市數據安全管理暫行辦法》等相關法律法規,結合我縣實際,制定本辦法。
第二條 本辦法適用于全縣行政區域內非涉密數據安全管理工作。涉及國家秘密和工作秘密的數據,應按照相關法律、法規、規章的規定執行。
第三條 數據安全應堅持正確數據安全觀,遵循保障數據安全與促進信息化發展相協調、管理與技術統籌兼顧的原則,在充分發揮數據價值的同時,切實做好數據安全防護工作。
第四條 數據安全涉及數據全生命周期環節的安全防護,應充分保障數據的完整性、保密性、真實性、可用性。
第五條 本辦法所稱各單位,是指各鎮政府、縣政府各工作部門和法律、法規授權具有管理公共事務職能的組織。
第六條 各單位應制定本單位數據安全管理制度,定時開展數據安全管理自查提升工作。
第二章 職責體系
第七條 各單位對本單位的數據安全負有主體責任,其主要負責人是本單位數據安全的第一責任人。
第八條 麟游縣數字政府、智慧城市建設和數字經濟發展工作領導小組統一領導全縣數據安全管理工作,形成統一協調、分級管理、分工負責的數據安全管理職責體系。
第九條 縣政府辦公室(縣數字化信息服務中心)負責全縣數據安全工作的總體規劃,重大安全基礎設施的建設,整體數據安全工作的指導、培訓、檢查、調查、通報等工作。
第十條 縣委網信辦、縣公安局、縣政府辦公室(縣數字化信息服務中心)負責全縣數據安全監督管理,協助指導、監督、檢查各單位數據安全管理工作;負責全縣數據安全的日常巡查、執法檢查、信息通報、應急處置等監督管理工作。
第十一條 各單位要加強數據安全能力建設,明確專人負責,履行數據安全保護職責,做好數據安全宣傳教育工作和專項安全技能培訓,接受有關部門監管和社會監督。
第十二條 任何單位和個人都有權投訴舉報危害數據安全的行為;有關部門應當對投訴舉報予以保密。
第三章 安全保障
第十三條 行業主管部門應當建立本行業系統數據安全信息備案制度,會同有關部門對以下重要數據和個人數據,開展備案工作:
(一)數據所有單位主體信息;
(二)數據收集和使用規則;
(三)數據收集的目的、方式、范圍、類型等,不包括數據本身;
(四)采集、傳輸、存儲、處理、使用、保護個人信息和重要數據的應用、系統、平臺等信息;
(五)提供數據安全服務的企業及其人員、產品、技術等信息;
(六)其他事關全縣數據安全保護工作的信息。
第十四條 各單位應當對業務數據外部系統接入進行嚴格管理,建立外部系統接入審批制度。在接入之前應當對接入方案進行審核和安全評估,確認達到國家、省、市、縣數據安全要求并簽訂安全協議后方可授權接入。
第十五條 各單位應當按照國家等級保護制度要求和技術標準,組織開展信息系統定級工作,新建信息系統或者信息系統發生重大變更時,應當首先確定信息系統的安全保護等級,并同步建設符合該安全保護等級要求的安全保護設施。
第十六條 各單位應當定期對信息系統安全狀況開展風險評估。安全保護等級為第二級(含)以上的信息系統應當按照國家和行業有關規定進行等級保護測評,未達到安全保護等級要求的,應當進行整改。實施等級保護測評的機構應當具備國家認可的信息安全等級保護測評資質。
第十七條 各單位應當建立信息系統資產管理制度,編制資產清單,明確資產管理責任部門和人員,定期對照資產清單對資產進行一致性檢查并保留檢查記錄。
第十八條 各單位應當按照相關規定,選用符合國家有關規定、安全可控的信息技術產品和服務,采購的數據安全產品和服務應當經過國家認證。同時對數據做安全評估,并把評估結果作為項目立項的必備材料。
第十九條 各單位應當建立數據技術外包服務和遠程技術服務安全管理制度,需要外包服務或遠程技術服務的,應當與提供者簽訂安全保密協議。
第二十條 各單位應當建立數據安全經費保障制度,將數據安全經費納入本單位年度預算,新建系統方案中必須單獨列支數據安全建設專項經費。
第二十一條 各單位應當建立重要系統和核心數據的容災備份制度,明確業務系統的恢復目標以及相應的恢復預案,保證關鍵業務的連續性。重要信息系統在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。重要網絡設備和通信線路應當具有冗余備份。
第二十二條 各單位應當嚴格對工作信息和業務數據進行安全管理,應在數據集中存儲系統中提供數據保密檢查權限及通道。
第二十三條 各單位應當建立信息系統數據資源清單,并建立數據資源分類分級資源目錄,定期對照數據資源清單進行一致性檢查并更新,保留檢查記錄。
第二十四條 在構建數據資源目錄的基礎上,重點識別重要敏感數據,并對重要敏感數據進行分類、分級標記管理,針對不同敏感級別數據采取相應安全防護措施。
第二十五條 各單位應當制定公民、企業信息等敏感數據保護制度,對在提供服務過程中收集、使用的公民、企業信息,應當采取相應措施嚴格保護,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。在發生或者可能發生信息泄露時,應當立即采取補救措施。
第二十六條 各單位收集、使用公民、企業信息,應當遵循合法、正當、必要的原則,不得收集與其提供的服務無關的公民、企業信息,不得違反法律、法規的規定收集、使用和向第三方提供公民、企業信息。
第二十七條 各單位將公民、企業信息等敏感數據轉移或委托給其他組織或機構使用的,應當與該組織或機構簽訂公民、企業信息保護協議,明確公民、企業信息使用范圍和保護責任。
第二十八條 各單位應當建立訪問控制策略,采取授權訪問、身份認證等技術措施,防止未經授權查詢、復制、修改或者傳輸數據。對個人信息和重要數據實行加密等安全保護,對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏處理。
第二十九條 各單位應按照職責明確、意圖合規、質量保障、數據最小化、最小授權操作、分類分級保護和可審計的原則,建立完善的數據使用管控審批流程,全面加強數據的管控能力,防止未授權訪問數據,防止超授權使用數據。
第三十條 各單位應圍繞數據全生命周期的采集、傳輸、存儲、處理、共享、銷毀各個環節,采取安全加固措施,切實提升數據安全保障能力。
第三十一條 各單位應加強數據安全技術的升級應用,積極研究利用新的數據安全技術及創新的安全管理辦法,不斷增強數據安全防護管理水平。
第三十二條 按照《寶雞市政務信息資源共享管理辦法》《麟游縣建立健全政務數據共享協調機制 加快推進數據有序共享工作方案》建立數據共享管理制度,對于法律法規、規章和政策要求共享的數據予以安全保護。數據提供單位應當與數據獲取單位簽訂數據使用和數據安全保護協議,明確數據共享內容、使用期限以及雙方的權利、義務和責任。數據獲取單位對于共享的數據具有相同的安全管理責任,數據提供單位應承擔保密審查職責。
第四章 監督檢查與應急處理
第三十三條 建立健全數據安全工作監督檢查機制,明確監督檢查的責任分工、內容、重點、目標、方式和標準。監督檢查的情況,應當在有關主管部門之間互通和共享。
第三十四條 安全監督檢查按照“全覆蓋、全監控、全檢查、全評估”的原則,覆蓋數據生命周期各環節,對網絡認證、主機訪問、數據庫操作、系統應用界面及接口的訪問、使用等各類情況均需記錄日志,并定期檢查、分析、審計,評估安全隱患。
第三十五條 對檢查中發現的重大安全隱患,應當責令有關單位立即排除;對檢查中發現的安全管理缺陷或安全隱患,應當向有關單位提出限期整改要求;對檢查中發現的違法行為,應當立即制止,并提請縣公安局依法查處。
第三十六條 被檢查單位應當積極配合,根據主管部門的整改意見進行整改,并且反饋整改情況。主管部門根據需要對被檢查單位整改情況組織復檢。
第三十七條 各單位對于上級主管部門通知或社會披露的與本單位相關的數據安全風險信息,如系統漏洞、業務漏洞等,應立即組織自查,排查安全隱患,消除安全風險。對于不實信息,應及時回應并向社會澄清。
第三十八條 各單位應當建立數據安全應急管理制度,制定數據安全事件應急處置預案,定期開展應急演練,并對演練情況進行評估,針對演練中發現的問題,補充修訂應急預案。
第三十九條 發生數據安全事件時,安全責任單位應當啟動應急預案,采取相應措施防止危害擴大并保存相關記錄,告知可能受到影響的用戶,按照規定向有關主管部門報告。
第四十條 對重大數據安全事件應當啟動調查工作,形成調查報告,根據調查報告提出處理意見,并將事件調查資料歸檔。
第五章 附 則
第四十一條 涉及國家秘密信息等數據安全管理行為,按照國家有關規定執行。
第四十二條 本辦法由縣數字化信息服務中心負責解釋。
第四十三條 本辦法有效期為二年,自2024年1月1日起施行。