灵璧县政务数据安全管理办法

第一章 总则

第一条 为加强政务数据安全管理，落实政务数据安全责任，预防政务数据安全事件发生，推动政务信息系统互联互通和政务数据归集、共享、应用，推进“数字灵璧”建设，提升政府治理能力和公共服务水平，根据有关法律、法规，结合我县实际，制定本办法。

第二条 本办法适用于本县行政区域内非涉密政务数据资源的收集、存储、传输、处理、使用、销毁等活动，以及政务数据安全保护和监督管理。个人数据、涉密数据按照有关法律法规执行。

第三条 本办法所称政务数据资源，是指政务部门在履行职责过程中制作或者获取的，以一定形式记录、保存的文件、资料、图表等数据资源，包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。

本办法所称政务部门是指政府部门及法律、法规授权具有行政职能的组织。

本办法所称政务数据安全，是指采取预防、管理、处置等策略和措施，防范政务数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故，保障政务数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

第四条 本办法所称政务数据安全事件，是指由于各种原因导致政务信息系统出现关键业务中断、系统瘫痪、关键数据丢失或核心数据失窃等现象，给国家安全、社会稳定或公众利益等造成重大影响和严重经济损失的事件。

第五条 政务数据安全采取“主动防御、综合防范”方针，坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则，实行政府主导、主管部门统筹协调、分工负责，与信息化工作同步规划、同步建设、同步实施、同步发展。政务数据安全保障经费纳入财政预算。

第六条 鼓励开展政务数据安全知识宣传普及、教育培训，增强全社会政务数据安全意识，提高政务数据安全风险防范能力。

第二章 职责与分工

第七条 县人民政府负责加强全县政务数据安全工作的领导，统筹处置政务数据安全事件。

第八条 县数据资源管理局负责全县政务数据安全管理相关工作，统筹推进全县政务数据安全保障体系建设，完善数据安全管理制度和技术支撑能力，指导监督全县政务数据安全保障工作，向县政府及有关部门报告处置全县各行政机关的政务数据安全事件。

第九条 各行政机关负责本单位的政务数据安全工作，完善政务数据安全保障措施，开展政务数据安全等级保护、风险评估、安全自查、安全培训等工作，保护政务数据安全，制定信息安全应急预案，及时报告和处置政务数据安全事件。

第三章 安全管理

第十条 各行政机关的法定代表人或者主要负责人是本单位政务数据安全的第一责任人，各行政机关应按照法律法规和相关标准，指定本单位数据安全管理部门，明确数据安全管理岗位和职责。

第十一条 各行政机关应当建立政务数据安全培训制度，定期开展政务数据安全培训，对系统建设、运维人员和政务数据安全从业人员进行专项技能培训。

第十二条 各行政机关应当按照国家等级保护制度要求和技术标准开展政务系统定级工作，建设符合要求的政务数据安全保护设施。

第十三条 各行政机关应当建立政务数据技术外包服务和远程技术服务安全管理措施。需要外包服务或远程技术服务的，应当与服务提供商签订安全保密协议。

第十四条 各行政机关归集的数据应确保来源真实有效、合法正当，同时应明确数据共享范围和用途。县数据资源管理部门归集的数据应保留原始表，以满足溯源、数据质量核查等需求。

第十五条 各行政机关在政务数据归集过程中，应对不同的数据归集场景定义数据溯源策略和机制，确保管理人员能够追踪其加工和计算数据的原始数据来源。

第十六条 各行政机关应建立数据归集过程中的质量管理规则，明确数据质量监控范围及监控方式，并对在线和离线归集到的数据进行监控，实现对异常数据的发现和处理。

第十七条 各行政机关在数据采集、共享交换、开放等数据传输环节中，应当制定并执行数据安全传输策略和规程，采用安全可信通道或数据加密等安全控制措施，确保传输过程可信、可控。

第十八条 各行政机关应对传输数据的完整性进行检测，并提供异常数据的恢复技术方案；数据传输方式和安全策略变更前，需要进行评估和审核。

第十九条 各行政机关在选择政务数据存储载体时，应选择安全性能、防护级别与数据安全等级相匹配的存储载体，应采用符合国家认定的密码算法对高敏感数据进行加密存储。

第二十条 各行政机关应建立数据存储冗余策略，明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等；应建立数据复制、数据备份与恢复的定期检查和更新工作程序，确保数据副本或备份数据的有效性。

第二十一条 各行政机关应建立数据资源安全访问策略，授予数据使用者为完成工作所需要的最小权限；应采用多种方式对数据资源访问主体的身份进行鉴别；应采用必要的措施使数据使用者的访问和修改等行为具有不可抵赖性。

第二十二条 各行政机关应建立数据脱敏规范，明确需要脱敏处理的应用场景和处理方法；应提供面向使用者的定制化数据脱敏功能，可基于场景需求自定义脱敏规则；应提供数据脱敏处理过程日志记录，满足数据脱敏处理安全审计要求。

第二十三条 各行政机关应采取数据处理日志管理，记录用户数据处理和加工操作，以备后期追溯；应支持对用户数据处理进行审计，确定用户对数据的加工未超出所申请数据使用目的。

第二十四条 各行政机关应对数据分析结果进行评估，确保衍生数据不超过原始数据的授权范围和安全使用要求；应对利用多源数据进行大数据分析的过程进行日志记录，以满足对分析结果质量、真实性和合规性的溯源要求；应避免分析结果输出中包含可恢复的个人信息、重要数据等，从而防止个人信息、重要数据等敏感信息的泄漏。

第二十五条 各行政机关共享开放本部门政务数据，应当遵守保守国家秘密、政府信息公开等法律、法规的规定，并按照数据安全、隐私保护和使用需求等确定本部门政务数据的共享开放范围；应建立规范的数据共享开放审核流程，确保没有超出数据提供者所允许的数据授权使用范围。

第二十六条 各行政机关应制定数据清理和过期数据销毁策略，对于需要依法销毁的数据，各行政机关应当采取必要措施予以销毁，并对销毁过程进行记录和备案；应提出各类数据销毁场景应采用的销毁手段，明确销毁方式和销毁要求；应建立数据销毁的审批和记录流程，指定人员监督数据销毁操作过程。

第二十七条 县数据资源管理局负责制定政务数据分类分级制度规范，指导、协调全县行政机关开展政务数据分类分级工作。

第四章 监督检查和事件处置

第二十八条 县数据资源管理局可以委托第三方专业机构对全县政务数据安全开展调查评估，各行政机关对发现的问题应当及时整改。

第二十九条 各行政机关应设立或指定工作机构，负责政务数据安全事件应急处置工作；应制定政务数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，补充修订应急预案。

第三十条 各行政机关政务数据出现泄漏、毁损、丢失等情形，或者存在数据安全风险时，应当立即采取补救措施，并按照规定向县公安局网安支队、县数据资源管理局和县委网信办报告，并于应急工作结束后 30 日内补充上报事件处置情况。

第五章 责任追究

第三十一条 对违反本办法规定的行为，法律、法规已经规定法律责任的，适用其规定。

第三十二条 违反本办法，相关人员不依法履行职责，或者玩忽职守、滥用职权、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法予以处分。

第三十三条 危害政务数据安全，或者利用政务数据实施违法行为的，依法追究法律责任。

第六章 附则

第三十四条 法律、法规授权的具有管理公共事务职能的事业单位和社会组织的政务数据安全管理工作，执行本办法。

邮政、通信、水务、电力、燃气、公共交通、铁路等公用事业运营单位在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的安全管理，参照本办法。法律、法规另有规定的，依照其规定。

第三十五条 本办法自发布之日起施行。