石家莊市政務數據資源共享安全管理規定

石家莊市人民政府檔案

石政規〔2020〕4號

石家莊市人民政府關於印發《石家莊市政務數據資源共享安全管理規定》的通知

各縣（市、區）人民政府，高新區、循環化工園區和綜合保稅區管委會，市政府各部門：

《石家莊市政務數據資源共享安全管理規定》已經市政府第75次常務會議研究通過，現印發給你們，請認真貫徹執行。

石家莊市人民政府

2020年9月1日

（此件公開發布）

第一條　為規範政務數據共享安全管理，加快推動政務數據共享和套用，依據《中華人民共和國網路安全法》和《河北省政務信息資源共享管理規定》等法律規章規定，結合本市實際，制定本規定。

第二條　本市行政區域內的政務部門政務數據資源的採集、存儲、使用、開放、共享及其相關管理活動，適用本規定。

本規定所稱政務部門，是指市級行政機關及法律法規授權具有行政職能的社會組織。

本規定所稱政務數據，是指政務部門在依法履行職責過程中製作或獲取的，以一定形式記錄、保存的檔案、資料、圖表和數據等各類信息資源，包括政務部門直接或通過第三方依法採集的、依法授權管理的和因履行職責需要依託政務信息系統形成的信息資源等。涉及國家秘密的政務數據不在本管理規定範圍內，按照國家、河北省和石家莊市有關規定執行。

第三條　政務數據共享安全要求包括基本安全要求，以及數據歸集、數據傳輸、數據存儲、數據處理、數據共享和數據銷毀等流程環節安全要求。各參與方應根據自身角色和責任遵照執行。

第四條　政務數據共享安全管理採取主動防禦、綜合防範方針，堅持保障政務數據安全與促進套用發展相協調、管理與技術並重的原則，實行統一協調、分工負責、分級管理。各參與方數據安全和信息化工作應同步規劃、同步建設、同步運行。

第五條　市數據資源管理局是全市數據資源安全管理的主管部門，負責組織、指導、協調和監督全市政務數據資源共享安全工作；負責會同市委網信辦、市公安局等部門，建立政務數據資源共享安全管理制度，督促政務數據採集、共享、使用全過程的安全保障工作，指導推進政務數據資源共享風險評估和安全審查。

第六條　市數據資源管理局負責制定滿足業務需求的數據安全策略，明確安全方針、安全目標和安全原則。負責基於安全策略，建立相關的制度規程，形成以數據為核心的安全制度體系。負責市級政務數據交換、開放和共享平台（以下簡稱“平台”）數據的安全保障和運行監管。

第七條　政務部門是本部門數據資源安全管理的責任主體，負責明確本部門數據資源共享安全的崗位及職能，指定專人負責，並向市數據資源管理局備案，如進行人員調整，應及時更新；負責制定本部門與各參與方人員的標準契約協定，明確相關人員與組織的數據資源安全責任；負責建立本部門離任審計機制，對關鍵人員的離任進行審查，及時回收相關資源和授權。

第八條　政務部門負責制定本部門數據資產安全管理制度，明確數據資產安全管理目標和安全原則、數據資產的全生命周期管理要求、資產登記要求和分類標記要求，並針對安全管理制度執行定期審核和更新。

第九條　政務部門負責建立本部門元數據語義統一規範和管理規則，建立元數據訪問控制策略，明確元數據管理角色及其授權控制機制，並通過技術手段實現對元數據管理角色的授權和訪問管理。

第十條　政務部門負責做好本部門所提供和使用數據資源安全的運行監管。制定日誌記錄規範和監管要求，對所提供數據的採集、傳輸以及共享數據在本部門內部的存儲、處理、銷毀等過程進行有效的日誌記錄，實現對數據濫用、違規使用、締約過失、越權使用等行為的識別、監控、預警和追責。

第十一條　政務部門負責本部門所有數據資源共享終端的安全。應使用符合安全規定的終端設備，並做好終端的行為日誌記錄，採取主動防禦、終端接入控制等手段保障終端安全。

第十二條　政務部門負責建立本部門所提供和使用數據防泄露規範，明確數據泄露防護處理的套用場景和處理方法；負責提供數據和使用數據防泄漏處理過程的日誌記錄,滿足數據防泄漏處理安全審計要求；負責制定數據使用過程中安全應急預案，實現政務數據共享安全突發事件的應急處置。

第十三條　市數據資源管理局負責制定政務數據分類分級標準。政務部門負責按照數據類型及信息安全等級保護要求，確定數據敏感度等級，根據數據敏感度等級、場景數據使用風險等級確定相應的控制措施。

第十四條　市數據資源管理局在政務數據歸集過程中，負責數據資源管理制度規範的制定，針對不同的數據歸集場景定義數據溯源策略和機制，制定平台數據傳輸的加密及相關安全策略，提供有效的工具對歸集的數據和數據源進行識別和記錄，確保管理人員能夠追蹤原始數據來源。

第十五條　市數據資源管理局負責建立數據歸集過程中的質量監控規則，明確數據質量監控範圍及監控方式，並利用技術工具對線上和離線歸集到的數據進行監控，實現對異常數據的告警。

第十六條　政務部門要確保本部門提供的數據來源真實有效、合法正當，明確數據共享範圍和用途；負責實現與平台之間的有效聯通，部門業務資料庫與前置交換資料庫的同步更新；負責其使用的平台前置交換系統的運行及安全保障工作。

第十七條　政務部門負責明確本部門需要傳輸加密的業務場景，支持對個人信息和重要數據的加密傳輸；負責對傳輸數據的完整性進行檢測並執行恢復控制。

第十八條　支撐政務數據資源共享的平台基礎設施和網路應符合國家等級保護和關鍵信息基礎設施保護的相關法規和標準。

第十九條　市數據資源管理局負責平台的數據存儲安全，做好共享數據的備份和恢復。

第二十條　政務部門負責制定本部門各類數據存儲系統的安全配置規則，採取技術手段和工具支撐數據存儲系統的安全管理。

第二十一條　政務部門負責做好本部門政務數據的備份與恢復。負責建立數據存儲冗餘策略、管理制度與規範，明確定義數據複製、備份和恢復的範圍、頻率、工具、過程、日誌記錄規範、數據保存時長等。

第二十二條　政務部門負責建立本部門政務數據安全訪問策略，由授權主體進行訪問策略配置，授予數據使用者為完成各自任務所需要的最小許可權。

第二十三條　政務數據共享過程中，市數據資源管理局協同政務部門做好數據共享脫敏工作。政務部門負責明確脫敏處理的套用場景和處理方法，市數據資源管理局負責制定規則和技術處理實現數據脫敏。

第二十四條　政務部門在利用原始共享數據進行數據分析過程中，要對分析結果進行風險評估，確保衍生數據不超過原始共享數據的授權範圍和安全使用要求；負責對利用多源數據進行大數據分析的過程進行日誌記錄，對分析結果質量、真實性和合規性進行數據溯源；負責對利用數據分析算法輸出的結果進行風險評估，避免分析結果輸出中包含可恢復的個人信息、重要數據等數據和結構標識，從而防止個人信息、重要數據等敏感信息的泄漏。

第二十五條　政務部門負責制定本部門數據使用許可權管理制度，規定各參與方身份及訪問許可權的授予、變更、撤銷等流程，以及數據全生命周期的管理要求和責任制；負責定義並執行統一的身份及訪問管理流程；負責建立數據使用正當性的監督審核機制，保證在數據使用聲明的範圍內對受保護的個人信息、重要數據等進行使用和分析處理。

第二十六條　市數據資源管理局負責建立數據獲取和使用安全規範，明確數據使用者的數據獲取方式、服務接口、授權機制和數據使用的許可權範圍等；負責制定規範的政務數據共享審核流程，確保沒有超出數據提供者所允許的數據授權範圍。

第二十七條　政務部門負責配合市數據資源管理局建立政務數據共享線上實時通道。原則上，平台中任何數據都不得導入導出，經市數據資源管理局同意，在確保數據安全的前提下除外。

第二十八條　政務部門負責制定本部門數據銷毀規範，提出各類數據銷毀場景的銷毀手段，明確銷毀方式和銷毀要求。

第二十九條　政務部門負責建立本部門數據銷毀的審批和記錄流程，並設定數據銷毀監督角色，監督數據銷毀操作過程。

第八章　附則

第三十條　本規定由市數據資源管理局負責解釋。

第三十一條　各縣（市、區）參照本規定執行。

第三十二條　本規定自發布之日起施行。

隨著大數據時代的到來,數據的重要性及潛在價值日益顯現,由此引發的數據安全問題與日俱增。規範政務數據開放共享過程中的安全管理，是加快推動政務數據共享和套用的根本保障。已出台的《石家莊市政務數據資源共享管理規定》中對政務數據安全保障提出了總體要求，但根據其他城市經驗和實際工作需求看，仍有必要進一步細化政務信息資源共享安全管理制度，督促指導政務數據資源採集、共享、使用全過程的數據安全保障工作的落實。

為此，依據《中華人民共和國網路安全法》和《河北省政務信息資源共享管理規定》等法律規章規定，結合杭州、西安等城市的經驗，研究出台了《石家莊市政務數據資源共享安全管理規定》（以下簡稱《安全管理規定》）。

《安全管理規定》共分八章32條，分別為總則、基本安全要求、數據歸集與傳輸安全、數據存儲安全、數據處理安全、數據共享安全、數據銷毀安全和附則。

1.總則。提出了《安全管理規定》制定的依據、適用範圍、政務數據共享安全要求內容和安全管理原則。

2.基本安全要求。提出了政務數據資源安全管理的組織機構和責任分工。

3.數據歸集與傳輸安全。提出了政務數據歸集與傳輸過程中的責任分工和具體任務。

4.數據存儲安全。提出了政務數據存儲過程中的責任分工和具體任務。

5.數據處理安全。提出了政務數據處理過程中的責任分工和具體任務。

6.數據共享安全。提出了政務數據共享過程中的責任分工和具體任務。

7.數據銷毀安全。提出了政務數據銷毀過程中的責任分工和具體任務。

8.附則。提出了《安全管理規定》的解釋權、實施時間等。