【文字解读】关于灵璧县电子政务外网管理办法的解读

关于灵璧县电子政务外网管理办法的解读

灵璧县数据资源管理局

（2022年3月6日）

一、起草背景和依据

为规范灵璧县电子政务外网（以下简称“政务外网”）建设、运维和管理工作，县数据局根据《关于印发〈安徽省电子政务外网管理办法（试行）〉的通知》《关于印发〈宿州市电子政务外网管理办法（试行）〉的通知》等有关规定，结合我县实际，起草了《灵璧县电子政务外网管理办法》（以下简称《办法》）。

二、电子政务外网现状及制定办法的必要性

截至2021年12月31日，我县电子政务外网已经完成了20个乡镇（经济开发区）、126家党政机关(含二级机构)、事业单位、310个村（社区）接入电子政务外网，接入单位数量多，各单位管理水平参差不齐，责任分工不明确，存在一定的安全风险。

建立规范的制度机制，能消除部门制度不一致造成的工作障碍，降低安全风险，提高工作效率，降低建设维护成本。有利于加强电子政务外网的安全管理，有利于加强电子政务外网建设与运维，能进一步加强电子政务应用部署和技术保障，有助于推进数字政府建设。

三、办法的主要内容

本办法共计6章21条。

第一章总则共5条，阐明了办法制定背景和依据，界定政务外网概念和办法适用范围，明确政务外网建设和管理原则。

第二章职责分工共3条，界定了政务外网主管部门（县数据局）、县大数据中心、政务外网接入单位的职责范围。

第三章业务管理共4条，明确了可以接入政务外网的单位，详述了政务外网申请接入流程，电子政务外网资源申请流程。

第四章安全管理共5条，对主管部门建立安全管理制度、落实安全管理责任、采取安全措施保障政务外网网络安全做了具体要求，同时要求接入单位落实安全技术措施。

第五章评估管理共2条，明确由县主管部门每年组织对政务外网运行质量进行综合评估，以及评估的对象和具体内容。

第六章附则共3条。明确本办法由县数据资源管理局负责解释和修订；全县各接入单位可根据本办法结合实际编制修订本单位政务外网管理相关制度；提出本办法自印发之日起实施。

四、征求意见及修改情况

本办法征求意见稿由县数据局起草，2022年2月初根据市数据局指导意见进行了部分修改和调整，2月15日向全县各乡镇、经济开发区，县直各部门意见，截止2月22日共收到县总工会、县住建局、县农业农村局、尹集镇、虞姬镇等11家单位反馈意见，均无意见。后送审稿经公平竞争性审查和合法性审查，本办法符合相关规定和要求。

现提请县政府常务会议审议，建议会议审议通过后以县政府办公室文件印发，并在县政府政务公开网及有关部门网站发布。

 灵璧县电子政务外网管理办法

（送审稿）

第一章  总  则

第一条  为规范灵璧县电子政务外网（以下简称“政务外网”）管理工作，根据《关于印发〈安徽省电子政务外网管理办法（试行）〉的通知》《关于印发〈宿州市电子政务外网管理办法（试行）〉的通知》等有关规定，制定本办法。

第二条  本办法所称政务外网，是国家政务外网的组成部分，是我县电子政务重要基础设施，与互联网逻辑隔离。

政务外网主要包括县政务外网城域网，覆盖县级政务部门，并向乡镇、开发区、行政村（社区）延伸。

政务外网主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，满足各级政务部门社会管理、公共服务等需要。

第三条  政务外网的建设和管理遵循统一规划、统一建设和统一管理的原则。

第四条  本办法适用于我县政务外网建设和管理的主管部门（以下简称主管部门）、接入政务外网的乡镇、经济开发区、县直各部门和相关单位（以下简称接入单位）。

第五条  除国家和省、市另有规定外，行政机关不得新建非涉密专网；已经建成的，原则上应当分类实现与政务外网迁移整合或融合互联。

第二章  职责分工

第六条  灵璧县数据资源管理局是县主管部门，负责以下工作：

（一）贯彻落实国家和省、市关于政务外网发展相关的方针政策和决策部署；

（二）负责政务外网相关制度、规范的制定；

（三）负责全县政务外网的规划、建设和管理工作；

（四）负责县级政务外网的接入审核、政务外网资源的申请审核与监督管理；

（五）负责我县政务外网与市政务外网间的互联互通。

（六）配合市主管部门完成外网纵向信息系统在本行政区的落地实施；

（七）负责与市主管部门对接，并接受业务和技术指导。

第七条  县主管部门所属的县大数据中心负责以下工作：

（一）县级政务外网的接入、运维和安全管理工作；

（二）全县政务外网网络地址和域名的统筹规划、分配和管理工作；

（三）对全县政务外网的运维进行技术指导；

（四）与省、市电子政务网络管理机构的业务联系，以及我县政务外网与省、市政务外网的连接和业务开通工作。

第八条  政务外网接入单位负责以下工作：

（一）按照政务外网技术规范要求，负责本单位局域网的规划、建设、运维和安全管理工作；

（二）负责协调完成本单位局域网与政务外网的对接工作；

（三）负责本单位接入政务外网终端和业务系统的安全管理工作；

（四）负责本单位申请的政务外网资源的使用和管理工作。

第三章  业务管理

第八条  属于下列情形之一的单位，可以接入政务外网：

（一）我县各类行政机关和事业单位；

（二）中央和国家部门、省直、市直部门要求接入政务外网的驻灵单位；

（三）为保障我县业务主管部门履行工作职责，确有需要接入政务外网的其他单位。

第九条  申请接入政务外网执行以下流程：

（一）申请。接入单位向县主管部门提出网络接入或变更申请，填写《灵璧县电子政务外网接入申请登记表》，签订《灵璧县电子政务外网网络安全承诺书》；

（二）审核。县主管部门对申请、变更依据等进行合规性、合理性审核。审核通过的，县主管部门向市级主管部门报备，安排县大数据中心落实网络接入开通或变更；审核未通过的，应当将理由及时告知相关单位；

（三）实施。具备实施条件的，县大数据中心应在5个工作日内配合接入单位组织完成。涉及跨乡镇、跨部门的网络接入，由接入单位会同县主管部门联合组织实施；

（四）连通测试。接入单位测试网络运行状况，向县主管部门反馈测试结果。

第十条  接入单位在政务外网网络开通后三个月内未开展联网应用的，县主管部门有权关闭其接入链路，并书面通知接入单位。接入单位申请重新开通的，应当重新申请并说明理由。

第十一条  申请政务外网资源执行以下流程：

（一）申请。使用单位向县主管部门提出资源使用或变更申请，申请59段地址填写《灵璧县电子政务外网59段IP地址申请表》，申请VPN帐号填写《灵璧县电子政务外网VPN帐号申请表》；

（二）审核。主管部门对申请、变更依据等进行合规性、合理性审核。审核通过的，县主管部门向市级主管部门报备，安排县大数据中心落实资源分配或变更；审核未通过的，应当将理由及时告知相关单位；

（三）实施。主管部门审核通过的资源申请，县大数据中心应在5个工作日内分配或变更资源并配合使用单位完成配置工作。使用单位测试正常后向县主管部门反馈。

第四章  安全管理

第十二条  县主管部门应当建立安全管理制度，落实安全管理责任，采取安全措施，保障政务外网网络安全。接入单位应当建立本单位安全管理制度，采取安全措施，保障本单位网络安全。

第十三条  县级政务外网应达到网络安全等级保护第二级的要求。主管部门按相关规定，主动做好网络安全等级保护备案测评等工作。

第十四条  县主管部门要加强政务外网安全防护，主要负责包括但不限于以下工作：

（一）做好县级政务外网安全保障工作；

（二）在进行政务外网规划、设计和建设时，应同步规划、同步建设、同步使用安全技术措施；

（三）利用全市智慧政务信息安全监测预警及处置服务平台，组织开展网络安全监测、大数据分析、态势感知、预警通报等网络安全管理工作，形成可视、可管、可控、可调度、可持续扩展的安全防护体系；

（四）建立网络安全检查工作的流程、管理机制，定期开展网络安全检查和风险评估，及时发现、定位、分析、控制安全事件，责成存在问题的单位进行整改，定期向上级主管部门和本级网络安全主管部门报告网络安全状况；

（五）制定网络安全事件应急预案，并定期开展应急演练。发现重大故障、安全事件要及时处理，并向上级主管部门及时报告，对较大及以上网络安全事件需同步向县网信、公安部门报告；接入单位出现网络安全问题，影响或可能影响政务外网正常运行的，县主管部门有权中断其与政务外网的连接；

（六） 加强网络安全审计工作，审计记录的保存时间不少于半年。

第十五条  接入单位落实安全技术措施，保障本单位内部的服务器、虚拟机和终端的安全，避免引入病毒或木马；加强本单位所辖账户安全管理，避免账户信息泄露，对所辖账户的所有操作负责。接入单位应防止本单位局域网设备攻击政务外网，如若出现这种情况，由接入单位开展溯源、查杀等安全处置。

第十六条  接入单位不得随意变更政务外网的连接线路和网络接入设备；不得将涉密计算机、设备（含存储介质）和网络接入政务外网，不得利用政务外网存储、处理、传输涉密信息；严禁通过政务外网从事非法活动。

第五章  评估管理

第十七条  县主管部门每年组织对政务外网运行质量进行综合评估：

（一）对全县的综合评估。主要对政务外网网络覆盖范围、运行质量和安全保护等网络建设情况，以及服务响应及时性、服务满意度等进行综合评估，并根据评估结果，对相关单位政务外网工作提出整改或者优化的意见建议。

（二）接入单位的评估。主要评估接入单位的管理配合度、安全保护等情况。对于危害政务外网正常运行和利用政务外网从事不法活动的，给予通报批评，情节严重或造成严重后果的，依法依规进行责任追究。

（三）运维服务部门的评估。主要对政务外网网络保障、网络覆盖、网络管理和网络安全等情况进行综合评估，评估结果作为运维服务费用支付依据。每年可根据工作需要设置不同的评估指标。

第十八条  县综合评估工作由县主管部门组织实施。

第六章  附  则

第十九条  本办法由县数据资源管理局负责解释和修订。

第二十条  全县各接入单位可根据本办法结合实际编制修订本单位政务外网管理相关制度。

第二十一条  本办法自印发之日起实施。

关于灵璧县政务数据安全管理办法的起草说明

灵璧县数据资源管理局

（2022年3月6日）

一、起草背景和依据

为加强政务数据安全管理，落实好政务数据安全责任，预防政务数据安全事件发生，进一步推动政务信息系统互联互通和政务数据归集、共享、应用，推进“数字灵璧”建设，提升政府治理能力和公共服务水平，根据《宿州市政务数据安全管理办法（暂行）》等有关规定，结合我县实际，起草了《灵璧县政务数据安全管理办法》（送审稿）。

二、办法的主要内容

本办法共计6章35条。

第一章总则共6条，阐明了办法制定背景和依据，界定政务数据资源概念和办法适用范围，明确政务数据安全管理原则。

第二章职责与分工共3条，界定了县政府、数据资源管理部门、各行政机关关于政务数据安全工作的职责范围。

第三章安全管理共18条，明确各行政机关政务数据安全第一责任人、管理岗位和职责，各行政机关应当建立政务数据安全培训制度、开展政务系统定级工作、建立服务安全管理措施，以及数据归集、采集、共享交换、开放、传输、存储、访问、脱敏、处理、分析、清理销毁等过程中应遵循的原则，明确数据资源管理部门在政务数据分类分级工作中的职责。

第四章监督检查和事件处置共3条，明确数据资源管理管理部门组织开展政务数据安全调查评估和各行政机关处置政务数据安全事件的流程。

第五章责任追究共3条，明确违反本办法的相关责任。

第六章附则共2条，明确执行和参照本办法执行范围。

三、征求意见及修改情况

本办法征求意见稿由县数据局起草，2022年2月初根据市数据局指导意见进行了部分修改和调整，2月15日向全县各乡镇、经济开发区，县直各部门征求意见，截止2月22日共收到县总工会、县住建局、县农业农村局、尹集镇、虞姬镇等9家单位反馈意见，均无意见。后送审稿经公平竞争性审查和合法性审查，本办法符合相关规定和要求。

现提请县政府常务会议审议，建议会议审议通过后以县政府办公室文件印发，并在县政府政务公开网及有关部门网站发布。

灵璧县政务数据安全管理办法

（送审稿）

第一章 总则

第一条 为加强政务数据安全管理，落实政务数据安全责任，预防政务数据安全事件发生，推动政务信息系统互联互通和政务数据归集、共享、应用，推进“数字灵璧”建设，提升政府治理能力和公共服务水平，根据有关法律、法规，结合我县实际，制定本办法。

第二条 本办法适用于本县行政区域内非涉密政务数据资源的收集、存储、传输、处理、使用、销毁等活动，以及政务数据安全保护和监督管理。个人数据、涉密数据按照有关法律法规执行。

第三条 本办法所称政务数据资源，是指政务部门在履行职责过程中制作或者获取的，以一定形式记录、保存的文件、资料、图表等数据资源，包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。

本办法所称政务部门是指政府部门及法律、法规授权具有行政职能的组织。

本办法所称政务数据安全，是指采取预防、管理、处置等策略和措施，防范政务数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故，保障政务数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

第四条 本办法所称政务数据安全事件，是指由于各种原因导致政务信息系统出现关键业务中断、系统瘫痪、关键数据丢失或核心数据失窃等现象，给国家安全、社会稳定或公众利益等造成重大影响和严重经济损失的事件。

第五条 政务数据安全采取“主动防御、综合防范”方针，坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则，实行政府主导、主管部门统筹协调、分工负责，与信息化工作同步规划、同步建设、同步实施、同步发展。政务数据安全保障经费纳入财政预算。

第六条 鼓励开展政务数据安全知识宣传普及、教育培训，增强全社会政务数据安全意识，提高政务数据安全风险防范能力。

第二章 职责与分工

第七条 县人民政府负责加强全县政务数据安全工作的领导，统筹处置政务数据安全事件。

第八条 县数据资源管理局负责全县政务数据安全管理相关工作，统筹推进全县政务数据安全保障体系建设，完善数据安全管理制度和技术支撑能力，指导监督全县政务数据安全保障工作，向县政府及有关部门报告处置全县各行政机关的政务数据安全事件。

第九条 各行政机关负责本单位的政务数据安全工作，完善政务数据安全保障措施，开展政务数据安全等级保护、风险评估、安全自查、安全培训等工作，保护政务数据安全，制定信息安全应急预案，及时报告和处置政务数据安全事件。

第三章 安全管理

第十条 各行政机关的法定代表人或者主要负责人是本单位政务数据安全的第一责任人，各行政机关应按照法律法规和相关标准，指定本单位数据安全管理部门，明确数据安全管理岗位和职责。

第十一条 各行政机关应当建立政务数据安全培训制度，定期开展政务数据安全培训，对系统建设、运维人员和政务数据安全从业人员进行专项技能培训。

第十二条 各行政机关应当按照国家等级保护制度要求和技术标准开展政务系统定级工作，建设符合要求的政务数据安全保护设施。

第十三条 各行政机关应当建立政务数据技术外包服务和远程技术服务安全管理措施。需要外包服务或远程技术服务的，应当与服务提供商签订安全保密协议。

第十四条 各行政机关归集的数据应确保来源真实有效、合法正当，同时应明确数据共享范围和用途。县数据资源管理部门归集的数据应保留原始表，以满足溯源、数据质量核查等需求。

第十五条 各行政机关在政务数据归集过程中，应对不同的数据归集场景定义数据溯源策略和机制，确保管理人员能够追踪其加工和计算数据的原始数据来源。

第十六条 各行政机关应建立数据归集过程中的质量管理规则，明确数据质量监控范围及监控方式，并对在线和离线归集到的数据进行监控，实现对异常数据的发现和处理。

第十七条 各行政机关在数据采集、共享交换、开放等数据传输环节中，应当制定并执行数据安全传输策略和规程，采用安全可信通道或数据加密等安全控制措施，确保传输过程可信、可控。

第十八条 各行政机关应对传输数据的完整性进行检测，并提供异常数据的恢复技术方案；数据传输方式和安全策略变更前，需要进行评估和审核。

第十九条 各行政机关在选择政务数据存储载体时，应选择安全性能、防护级别与数据安全等级相匹配的存储载体，应采用符合国家认定的密码算法对高敏感数据进行加密存储。

第二十条 各行政机关应建立数据存储冗余策略，明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等；应建立数据复制、数据备份与恢复的定期检查和更新工作程序，确保数据副本或备份数据的有效性。

第二十一条 各行政机关应建立数据资源安全访问策略，授予数据使用者为完成工作所需要的最小权限；应采用多种方式对数据资源访问主体的身份进行鉴别；应采用必要的措施使数据使用者的访问和修改等行为具有不可抵赖性。

第二十二条 各行政机关应建立数据脱敏规范，明确需要脱敏处理的应用场景和处理方法；应提供面向使用者的定制化数据脱敏功能，可基于场景需求自定义脱敏规则；应提供数据脱敏处理过程日志记录，满足数据脱敏处理安全审计要求。

第二十三条 各行政机关应采取数据处理日志管理，记录用户数据处理和加工操作，以备后期追溯；应支持对用户数据处理进行审计，确定用户对数据的加工未超出所申请数据使用目的。

第二十四条 各行政机关应对数据分析结果进行评估，确保衍生数据不超过原始数据的授权范围和安全使用要求；应对利用多源数据进行大数据分析的过程进行日志记录，以满足对分析结果质量、真实性和合规性的溯源要求；应避免分析结果输出中包含可恢复的个人信息、重要数据等，从而防止个人信息、重要数据等敏感信息的泄漏。

第二十五条 各行政机关共享开放本部门政务数据，应当遵守保守国家秘密、政府信息公开等法律、法规的规定，并按照数据安全、隐私保护和使用需求等确定本部门政务数据的共享开放范围；应建立规范的数据共享开放审核流程，确保没有超出数据提供者所允许的数据授权使用范围。

第二十六条 各行政机关应制定数据清理和过期数据销毁策略，对于需要依法销毁的数据，各行政机关应当采取必要措施予以销毁，并对销毁过程进行记录和备案；应提出各类数据销毁场景应采用的销毁手段，明确销毁方式和销毁要求；应建立数据销毁的审批和记录流程，指定人员监督数据销毁操作过程。

第二十七条 县数据资源管理局负责制定政务数据分类分级制度规范，指导、协调全县行政机关开展政务数据分类分级工作。

第四章 监督检查和事件处置

第二十八条 县数据资源管理局可以委托第三方专业机构对全县政务数据安全开展调查评估，各行政机关对发现的问题应当及时整改。

第二十九条 各行政机关应设立或指定工作机构，负责政务数据安全事件应急处置工作；应制定政务数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，补充修订应急预案。

第三十条 各行政机关政务数据出现泄漏、毁损、丢失等情形，或者存在数据安全风险时，应当立即采取补救措施，并按照规定向县公安局网安支队、县数据资源管理局和县委网信办报告，并于应急工作结束后 30 日内补充上报事件处置情况。

第五章 责任追究

第三十一条 对违反本办法规定的行为，法律、法规已经规定法律责任的，适用其规定。

第三十二条 违反本办法，相关人员不依法履行职责，或者玩忽职守、滥用职权、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法予以处分。

第三十三条 危害政务数据安全，或者利用政务数据实施违法行为的，依法追究法律责任。

第六章 附则

第三十四条 法律、法规授权的具有管理公共事务职能的事业单位和社会组织的政务数据安全管理工作，执行本办法。

邮政、通信、水务、电力、燃气、公共交通、铁路等公用事业运营单位在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的安全管理，参照本办法。法律、法规另有规定的，依照其规定。

第三十五条 本办法自发布之日起施行。