河南省政务数据安全管理暂行办法

  第一章  总  则

  第一条  为建立健全政务数据安全防护体系,保障政务数据安全,依据《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律、法规和有关规定,结合本省实际,制定本办法。

  第二条  本办法所称政务部门是指各级行政机关及法律、法规授权具有公共事务管理职能的组织;政务数据是指任何以电子或者其他方式对政务相关信息的记录;政务数据共享是指政务部门因履行职责需要使用其他政务部门的政务数据或者为其他政务部门提供政务数据的行为;政务数据安全是指通过采取必要措施,确保政务数据处于有效保护和合法利用状态,以及具备保障持续安全状态的能力;政务信息系统是指政务部门建设的,由计算机及其相关设备、设施(含网络)构成的,按照一定应用目标和规则对相关信息和数据进行收集、加工、存储、传输、检索等处理的人机系统。

  第三条  本办法适用于本省行政区域内政务部门非涉密政务数据收集、存储、传输、共享、开放、使用、销毁等行为及相关管理活动。涉及国家秘密和工作秘密的,按照相关法律、法规、规章的规定执行。

  第四条  政务部门要全面贯彻落实总体国家安全观,坚持安全与发展并重,完善政务数据安全治理体系,不断提高政务数据安全保障能力,保障依法共享和安全利用政务数据。

  第五条  实行政务数据安全责任制,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,保障政务数据全生命周期安全。基于复制、流通、交换等同时存在多个政务数据安全责任人的,分别承担各自安全责任。

  第二章  职责分工

  第六条  省政府统筹全省政务数据安全保障工作,市、县级政府负责本行政区域内政务数据安全保障工作,所需经费列入本级财政预算。

  第七条  网信部门负责统筹协调、检查指导和相关监督管理等工作。公安部门负责等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。保密、国家安全、密码管理、大数据管理、通信管理等部门按照本办法和有关法律、法规、规章的规定,在各自职责范围内承担政务数据安全监管职责。

  第八条  大数据管理机构作为政务数据主管部门,负责组织、指导和协调本级政务数据安全保障工作,履行下列职责:

  (一)组织重大政务数据安全基础设施建设,按照法律、法规、规章和标准,指导政务部门开展政务数据安全工作;

  (二)制定政务数据分类分级指南,完善政务数据分类分级安全管理制度;

  (三)会同本级网信、公安等部门按照职责研究解决涉及政务数据安全的重大事项,建立政务数据安全监测预警、信息通报和应急处置机制,检查、评估政务部门政务数据安全工作,指导政务部门建立政务数据应急管理制度;

  (四)组织开展政务数据安全教育和安全操作培训,提升政务数据安全保障能力;

  (五)指导下级大数据管理机构开展政务数据安全工作;

  (六)完成上级交办的其他政务数据安全工作。

  第九条  政务部门负责本部门政务数据安全保障工作,履行下列职责:

  (一)贯彻落实政务数据安全法律、法规、规章和标准,建立人员管理、系统建设与运维、数据共享审核、数据备份等政务数据安全管理制度;

  (二)明确政务数据安全负责人和管理机构,落实政务数据安全责任制;

  (三)建立完善政务数据安全防护体系,制定政务数据安全事件应急预案,定期开展应急演练;

  (四)建立政务数据安全培训制度,定期开展政务数据安全教育和安全操作培训;

  (五)定期开展政务数据处理活动风险评估,配合有关部门进行政务数据安全检查,发现问题及时整改。

  第三章  建设与运行

  第十条  政务部门建设政务信息系统应严格遵守有关法律、法规、标准规范,同步编制政务数据安全建设方案,同步建设政务数据安全防护系统,同步开展政务数据安全运行工作,定期评估,不断提高政务数据安全防护水平。

  第十一条  政务部门应落实等级保护、密码应用等要求,定期开展政务信息系统等级保护和商用密码应用等安全性评估。

  第十二条  政务部门应依法确定政务信息系统建设、运维运营等单位。建设、维护政务信息系统,存储、加工政务数据,应严格履行审批程序,加强项目实施过程管理,并监督建设、运维运营等单位履行数据安全保护义务。建设、运维运营等单位应依照法律、法规规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

  第十三条  政务部门应明确收集政务数据的目的、依据和用途,确保政务数据收集的合法性、正当性、必要性和业务关联性;要采取防护措施,确保政务数据的完整性、一致性和真实性;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应依法予以保密,不得泄露或者向他人非法提供。政务数据涉及工作秘密的,应采取脱敏、加密等措施,确保数据可管可控。

  第十四条  在政务数据收集、共享交换、开放等环节,政务部门应制定政务数据安全传输策略,利用安全可信通道或者采取加密等措施,确保传输过程可信可控。对关键传输链路、重要设备节点实行冗余建设,保障数据传输可靠性和网络传输服务可用性。

  第十五条  政务部门要坚持“共享为原则、不共享为例外”的原则,采取加密、脱敏、备份、审计等措施妥善保护政务数据。政务部门申请获得的政务数据未经授权不得提供给第三方,不得擅自用于申请理由外的其他场景。

  第十六条  政务部门应履行数据安全审查职责,按照数据安全、保护隐私有关要求和使用需求确定本部门政务数据开放范围。

  第十七条  政务部门应开展政务数据备份工作,建立数据备份及恢复制度和应急机制,对关键政务数据进行加密存储、备份。

  第十八条  政务部门应建立政务数据销毁制度,明确销毁方式和销毁要求。销毁政务数据应履行审批程序,妥善保存相关记录。

  第十九条  各政务部门要将政务数据安全建设和人员培训经费纳入本部门年度部门预算,建立政务数据安全经费保障制度。

  第四章  应急管理和安全检查

  第二十条  政务部门应按照本级大数据管理机构和上级业务主管部门要求,建立政务数据安全应急管理机制,明确应急工作机构、事件上报流程及应急处置措施。

  第二十一条  政务部门应及时评估政务数据安全事件应急演练情况。发生政务数据安全事件时,应立即启动应急预案,并按照规定向网信、公安、大数据管理等有关部门报告。

  第二十二条  大数据管理机构应按照规定开展政务数据安全年度检查和专项检查,政务部门应予配合,发现问题及时整改。

  第五章  责任追究

  第二十三条  违反本办法规定的,按照有关法律、法规、规章的规定处理。侵害公民、法人或者其他组织的合法权益的,依法承担民事责任。构成犯罪的,依法追究刑事责任。

  第六章  附则

  第二十四条  未尽事项依照有关法律、法规处理。

  第二十五条  本办法自发布之日起施行。