河南省政務數據安全管理暫行辦法,是為建立健全政務數據安全防護體系,保障政務數據安全,依據《中華人民共和國保守國家秘密法》《中華人民共和國網路安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律、法規和有關規定,結合本省實際,制定的辦法。
2022年4月21日,河南省人民政府辦公廳印發《河南省政務數據安全管理暫行辦法》。
基本介紹
- 中文名:河南省政務數據安全管理暫行辦法
- 印發單位:河南省人民政府辦公廳
- 印發日期:2022年4月21日
- 實施時間:2022年4月21日
發布通知,辦法全文,政策解讀,
發布通知
河南省人民政府辦公廳關於印發河南省政務數據安全管理暫行辦法的通知
豫政辦〔2022〕39號
各省轄市人民政府,濟源示範區、航空港區管委會,省人民政府各部門:
《河南省政務數據安全管理暫行辦法》已經省政府同意,現印發給你們,請認真貫徹執行。
河南省人民政府辦公廳
2022年4月21日
辦法全文
河南省政務數據安全管理暫行辦法
第一章 總 則
第一條 為建立健全政務數據安全防護體系,保障政務數據安全,依據《中華人民共和國保守國家秘密法》《中華人民共和國網路安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律、法規和有關規定,結合本省實際,制定本辦法。
第二條 本辦法所稱政務部門是指各級行政機關及法律、法規授權具有公共事務管理職能的組織;政務數據是指任何以電子或者其他方式對政務相關信息的記錄;政務數據共享是指政務部門因履行職責需要使用其他政務部門的政務數據或者為其他政務部門提供政務數據的行為;政務數據安全是指通過採取必要措施,確保政務數據處於有效保護和合法利用狀態,以及具備保障持續安全狀態的能力;政務信息系統是指政務部門建設的,由計算機及其相關設備、設施(含網路)構成的,按照一定套用目標和規則對相關信息和數據進行收集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條 本辦法適用於本省行政區域內政務部門非涉密政務數據收集、存儲、傳輸、共享、開放、使用、銷毀等行為及相關管理活動。涉及國家秘密和工作秘密的,按照相關法律、法規、規章的規定執行。
第四條 政務部門要全面貫徹落實總體國家安全觀,堅持安全與發展並重,完善政務數據安全治理體系,不斷提高政務數據安全保障能力,保障依法共享和安全利用政務數據。
第五條 實行政務數據安全責任制,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,保障政務數據全生命周期安全。基於複製、流通、交換等同時存在多個政務數據安全責任人的,分別承擔各自安全責任。
第二章 職責分工
第六條 省政府統籌全省政務數據安全保障工作,市、縣級政府負責本行政區域內政務數據安全保障工作,所需經費列入本級財政預算。
第七條 網信部門負責統籌協調、檢查指導和相關監督管理等工作。公安部門負責等級保護、日常巡查、執法檢查、信息通報、應急處置等監督管理工作。保密、國家安全、密碼管理、大數據管理、通信管理等部門按照本辦法和有關法律、法規、規章的規定,在各自職責範圍內承擔政務數據安全監管職責。
第八條 大數據管理機構作為政務數據主管部門,負責組織、指導和協調本級政務數據安全保障工作,履行下列職責:
(一)組織重大政務數據安全基礎設施建設,按照法律、法規、規章和標準,指導政務部門開展政務數據安全工作;
(二)制定政務數據分類分級指南,完善政務數據分類分級安全管理制度;
(三)會同本級網信、公安等部門按照職責研究解決涉及政務數據安全的重大事項,建立政務數據安全監測預警、信息通報和應急處置機制,檢查、評估政務部門政務數據安全工作,指導政務部門建立政務數據應急管理制度
(四)組織開展政務數據安全教育和安全操作培訓,提升政務數據安全保障能力;
(五)指導下級大數據管理機構開展政務數據安全工作;
(六)完成上級交辦的其他政務數據安全工作。
第九條 政務部門負責本部門政務數據安全保障工作,履行下列職責:
(一)貫徹落實政務數據安全法律、法規、規章和標準,建立人員管理、系統建設與運維、數據共享審核、數據備份等政務數據安全管理制度;
(二)明確政務數據安全負責人和管理機構,落實政務數據安全責任制;
(三)建立完善政務數據安全防護體系,制定政務數據安全事件應急預案,定期開展應急演練;
(四)建立政務數據安全培訓制度,定期開展政務數據安全教育和安全操作培訓;
(五)定期開展政務數據處理活動風險評估,配合有關部門進行政務數據安全檢查,發現問題及時整改。
第三章 建設與運行
第十條 政務部門建設政務信息系統應嚴格遵守有關法律、法規、標準規範,同步編制政務數據安全建設方案,同步建設政務數據安全防護系統,同步開展政務數據安全運行工作,定期評估,不斷提高政務數據安全防護水平。
第十一條 政務部門應落實等級保護、密碼套用等要求,定期開展政務信息系統等級保護和商用密碼套用等安全性評估。
第十二條 政務部門應依法確定政務信息系統建設、運維運營等單位。建設、維護政務信息系統,存儲、加工政務數據,應嚴格履行審批程式,加強項目實施過程管理,並監督建設、運維運營等單位履行數據安全保護義務。建設、運維運營等單位應依照法律、法規規定和契約約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。
第十三條 政務部門應明確收集政務數據的目的、依據和用途,確保政務數據收集的合法性、正當性、必要性和業務關聯性;要採取防護措施,確保政務數據的完整性、一致性和真實性;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應依法予以保密,不得泄露或者向他人非法提供。政務數據涉及工作秘密的,應採取脫敏、加密等措施,確保數據可管可控。
第十四條 在政務數據收集、共享交換、開放等環節,政務部門應制定政務數據安全傳輸策略,利用安全可信通道或者採取加密等措施,確保傳輸過程可信可控。對關鍵傳輸鏈路、重要設備節點實行冗餘建設,保障數據傳輸可靠性和網路傳輸服務可用性。
第十五條 政務部門要堅持“共享為原則、不共享為例外”的原則,採取加密、脫敏、備份、審計等措施妥善保護政務數據。政務部門申請獲得的政務數據未經授權不得提供給第三方,不得擅自用於申請理由外的其他場景。
第十六條 政務部門應履行數據安全審查職責,按照數據安全、保護隱私有關要求和使用需求確定本部門政務數據開放範圍。
第十七條 政務部門應開展政務數據備份工作,建立數據備份及恢複製度和應急機制,對關鍵政務數據進行加密存儲、備份。
第十八條 政務部門應建立政務數據銷毀制度,明確銷毀方式和銷毀要求。銷毀政務數據應履行審批程式,妥善保存相關記錄。
第十九條 各政務部門要將政務數據安全建設和人員培訓經費納入本部門年度部門預算,建立政務數據安全經費保障制度。
第四章 應急管理和安全檢查
第二十條 政務部門應按照本級大數據管理機構和上級業務主管部門要求,建立政務數據安全應急管理機制,明確應急工作機構、事件上報流程及應急處置措施。
第二十一條 政務部門應及時評估政務數據安全事件應急演練情況。發生政務數據安全事件時,應立即啟動應急預案,並按照規定向網信、公安、大數據管理等有關部門報告。
第二十二條 大數據管理機構應按照規定開展政務數據安全年度檢查和專項檢查,政務部門應予配合,發現問題及時整改。
第五章 責任追究
第二十三條 違反本辦法規定的,按照有關法律、法規、規章的規定處理。侵害公民、法人或者其他組織的合法權益的,依法承擔民事責任。構成犯罪的,依法追究刑事責任。
第六章 附 則
第二十四條 未盡事項依照有關法律、法規處理。
第二十五條 本辦法自發布之日起施行。
政策解讀
2022年3月15日,河南省人民政府第148次常務會議審議通過了《河南省政務數據安全管理暫行辦法》(以下簡稱《暫行辦法》),目前已經正式公布,相關內容解讀如下:
一、制定出台《暫行辦法》的必要性和重要性
2015年,國務院印發《關於積極推進“網際網路+”行動的指導意見》(國發〔2015〕40號)、《促進大數據發展行動綱要》(國發〔2015〕50號),對加強數據安全管理,提高風險防範能力等提出了具體要求。2016年11月7日,國家出台了《中華人民共和國網路安全法》,保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民組織的合法權益。2017年12月8日,中共中央政治局就實施國家大數據戰略進行第二次集體學習,習近平總書記發表重要講話,強調要切實保障國家數據安全,加強關鍵信息基礎設施安全保護,強化國家關鍵數據資源保護能力,增強數據安全預警和溯源能力。2021年9月1日,《中華人民共和國數據安全法》和《關鍵信息基礎設施安全保護條例》(國務院令第745號)正式施行,規範了數據處理活動,明確了各方責任,保障關鍵信息基礎設施安全穩定運行。隨著我省數位化進程的加速,政務信息系統規模不斷擴大,政務數據共享範圍不斷增加,政務數據匯聚數量急劇上升。為了加強全省政務數據安全管理,省大數據局研究制定了《暫行辦法》。
二、《暫行辦法》的主要特點
在政務數據安全管理方面,《暫行辦法》主要體現了三個方面的特點:
(一)充分遵循吸收《中華人民共和國數據安全法》等法律法規中相關條款。如《中華人民共和國數據安全法》中提出的建立數據分類分級保護制度、開展風險評估、加強風險監測等要求,在《暫行辦法》中均有所體現。
(二)突出了強化組織領導。政務數據安全是一項全局性、綜合性的工作,牽涉到多個職能部門,需強化組織領導。在《暫行辦法》中,明確由省人民政府統一領導全省政務數據安全保障工作,市、縣人民政府領導本轄區內政務數據安全保障工作。同時對網信、公安、保密、密碼管理和大數據管理機構等多個職能部門工作邊界進行了劃分,確保政務數據安全工作有序開展,紮實推進。
(三)建立專項經費制度。在《暫行辦法》中要求明確政務數據安全負責人和管理機構,將政務數據安全建設和人員培訓經費納入本部門年度部門預算,確保政務數據安全經費落到實處。
三、主要內容
《暫行辦法》分為總則、職責分工、建設與運行、應急管理和安全檢查、責任追究以及附則共6章29條。第一章總則,包括相關概念定義、適用範圍和指導思想。第二章職責分工,明確了各級人民政府、網信部門、公安部門、大數據管理機構和各部門的職責分工。第三章建設與運行,包括同步規劃、同步建設、同步運行政務數據安全防護體系、對信息化合作企業人員進行背景調查和安全教育、開展等保和密評工作、建立安全經費保障制度、安全運行管理制度、安全培訓制度、制定安全傳輸策略、進行數據備份等相關內容。第四章應急管理和安全檢查,明確了各部門應建立應急預案,進行應急演練;發生數據安全事件時,立即啟動應急預案,進行事件處置,並向相關部門報告;明確政務數據安全檢查的方式方法。第五章責任追究,明確了違反該《暫行辦法》的責任追究。第六章附則,明確了該《暫行辦法》由省大數據管理局進行解釋以及生效日期。
