麟游县数字政府智慧城市建设工作办公室关于印发《麟游县数据安全管理暂行办法》的通知

麟规〔2023〕002-县政府办-004

各镇人民政府，县级有关部门：

现将《麟游县数据安全管理暂行办法》予以印发，请结合实际，认真抓好贯彻落实。

 麟游县数字政府智慧城市建设工作办公室（代章）

2023年12月21日

麟游县数据安全管理暂行办法

第一章 总 则

第一条 为提升麟游县数据安全管理水平，降低数据服务安全风险，建立健全数据安全保障体系，维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《陕西省大数据条例》《宝鸡市数据安全管理暂行办法》等相关法律法规，结合我县实际，制定本办法。

第二条 本办法适用于全县行政区域内非涉密数据安全管理工作。涉及国家秘密和工作秘密的数据，应按照相关法律、法规、规章的规定执行。

第三条 数据安全应坚持正确数据安全观，遵循保障数据安全与促进信息化发展相协调、管理与技术统筹兼顾的原则，在充分发挥数据价值的同时，切实做好数据安全防护工作。

第四条 数据安全涉及数据全生命周期环节的安全防护，应充分保障数据的完整性、保密性、真实性、可用性。

第五条 本办法所称各单位，是指各镇政府、县政府各工作部门和法律、法规授权具有管理公共事务职能的组织。

第六条 各单位应制定本单位数据安全管理制度，定时开展数据安全管理自查提升工作。

第二章 职责体系

第七条 各单位对本单位的数据安全负有主体责任，其主要负责人是本单位数据安全的第一责任人。

第八条 麟游县数字政府、智慧城市建设和数字经济发展工作领导小组统一领导全县数据安全管理工作，形成统一协调、分级管理、分工负责的数据安全管理职责体系。

第九条 县政府办公室（县数字化信息服务中心）负责全县数据安全工作的总体规划，重大安全基础设施的建设，整体数据安全工作的指导、培训、检查、调查、通报等工作。

第十条 县委网信办、县公安局、县政府办公室（县数字化信息服务中心）负责全县数据安全监督管理，协助指导、监督、检查各单位数据安全管理工作；负责全县数据安全的日常巡查、执法检查、信息通报、应急处置等监督管理工作。

第十一条 各单位要加强数据安全能力建设，明确专人负责，履行数据安全保护职责，做好数据安全宣传教育工作和专项安全技能培训，接受有关部门监管和社会监督。

第十二条 任何单位和个人都有权投诉举报危害数据安全的行为；有关部门应当对投诉举报予以保密。

第三章 安全保障

第十三条 行业主管部门应当建立本行业系统数据安全信息备案制度，会同有关部门对以下重要数据和个人数据，开展备案工作:

（一）数据所有单位主体信息；

（二）数据收集和使用规则；

（三）数据收集的目的、方式、范围、类型等，不包括数据本身；

（四）采集、传输、存储、处理、使用、保护个人信息和重要数据的应用、系统、平台等信息；

（五）提供数据安全服务的企业及其人员、产品、技术等信息；

（六）其他事关全县数据安全保护工作的信息。

第十四条 各单位应当对业务数据外部系统接入进行严格管理，建立外部系统接入审批制度。在接入之前应当对接入方案进行审核和安全评估，确认达到国家、省、市、县数据安全要求并签订安全协议后方可授权接入。

第十五条 各单位应当按照国家等级保护制度要求和技术标准，组织开展信息系统定级工作，新建信息系统或者信息系统发生重大变更时，应当首先确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的安全保护设施。

第十六条 各单位应当定期对信息系统安全状况开展风险评估。安全保护等级为第二级（含）以上的信息系统应当按照国家和行业有关规定进行等级保护测评，未达到安全保护等级要求的，应当进行整改。实施等级保护测评的机构应当具备国家认可的信息安全等级保护测评资质。

第十七条 各单位应当建立信息系统资产管理制度，编制资产清单，明确资产管理责任部门和人员，定期对照资产清单对资产进行一致性检查并保留检查记录。

第十八条 各单位应当按照相关规定，选用符合国家有关规定、安全可控的信息技术产品和服务，采购的数据安全产品和服务应当经过国家认证。同时对数据做安全评估，并把评估结果作为项目立项的必备材料。

第十九条 各单位应当建立数据技术外包服务和远程技术服务安全管理制度，需要外包服务或远程技术服务的，应当与提供者签订安全保密协议。

第二十条 各单位应当建立数据安全经费保障制度，将数据安全经费纳入本单位年度预算，新建系统方案中必须单独列支数据安全建设专项经费。

第二十一条 各单位应当建立重要系统和核心数据的容灾备份制度，明确业务系统的恢复目标以及相应的恢复预案，保证关键业务的连续性。重要信息系统在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。重要网络设备和通信线路应当具有冗余备份。

第二十二条 各单位应当严格对工作信息和业务数据进行安全管理，应在数据集中存储系统中提供数据保密检查权限及通道。

第二十三条 各单位应当建立信息系统数据资源清单，并建立数据资源分类分级资源目录，定期对照数据资源清单进行一致性检查并更新，保留检查记录。

第二十四条 在构建数据资源目录的基础上，重点识别重要敏感数据，并对重要敏感数据进行分类、分级标记管理，针对不同敏感级别数据采取相应安全防护措施。

第二十五条 各单位应当制定公民、企业信息等敏感数据保护制度，对在提供服务过程中收集、使用的公民、企业信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。在发生或者可能发生信息泄露时，应当立即采取补救措施。

第二十六条 各单位收集、使用公民、企业信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的公民、企业信息，不得违反法律、法规的规定收集、使用和向第三方提供公民、企业信息。

第二十七条 各单位将公民、企业信息等敏感数据转移或委托给其他组织或机构使用的，应当与该组织或机构签订公民、企业信息保护协议，明确公民、企业信息使用范围和保护责任。

第二十八条 各单位应当建立访问控制策略，采取授权访问、身份认证等技术措施，防止未经授权查询、复制、修改或者传输数据。对个人信息和重要数据实行加密等安全保护，对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏处理。

第二十九条 各单位应按照职责明确、意图合规、质量保障、数据最小化、最小授权操作、分类分级保护和可审计的原则，建立完善的数据使用管控审批流程，全面加强数据的管控能力，防止未授权访问数据，防止超授权使用数据。

第三十条 各单位应围绕数据全生命周期的采集、传输、存储、处理、共享、销毁各个环节，采取安全加固措施，切实提升数据安全保障能力。

第三十一条 各单位应加强数据安全技术的升级应用，积极研究利用新的数据安全技术及创新的安全管理办法，不断增强数据安全防护管理水平。

第三十二条 按照《宝鸡市政务信息资源共享管理办法》《麟游县建立健全政务数据共享协调机制 加快推进数据有序共享工作方案》建立数据共享管理制度，对于法律法规、规章和政策要求共享的数据予以安全保护。数据提供单位应当与数据获取单位签订数据使用和数据安全保护协议，明确数据共享内容、使用期限以及双方的权利、义务和责任。数据获取单位对于共享的数据具有相同的安全管理责任，数据提供单位应承担保密审查职责。

第四章 监督检查与应急处理

第三十三条 建立健全数据安全工作监督检查机制，明确监督检查的责任分工、内容、重点、目标、方式和标准。监督检查的情况，应当在有关主管部门之间互通和共享。

第三十四条 安全监督检查按照“全覆盖、全监控、全检查、全评估”的原则，覆盖数据生命周期各环节，对网络认证、主机访问、数据库操作、系统应用界面及接口的访问、使用等各类情况均需记录日志，并定期检查、分析、审计，评估安全隐患。

第三十五条 对检查中发现的重大安全隐患，应当责令有关单位立即排除；对检查中发现的安全管理缺陷或安全隐患，应当向有关单位提出限期整改要求；对检查中发现的违法行为，应当立即制止，并提请县公安局依法查处。

第三十六条 被检查单位应当积极配合，根据主管部门的整改意见进行整改，并且反馈整改情况。主管部门根据需要对被检查单位整改情况组织复检。

第三十七条 各单位对于上级主管部门通知或社会披露的与本单位相关的数据安全风险信息，如系统漏洞、业务漏洞等，应立即组织自查，排查安全隐患，消除安全风险。对于不实信息，应及时回应并向社会澄清。

第三十八条 各单位应当建立数据安全应急管理制度，制定数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，补充修订应急预案。

第三十九条 发生数据安全事件时，安全责任单位应当启动应急预案，采取相应措施防止危害扩大并保存相关记录，告知可能受到影响的用户，按照规定向有关主管部门报告。

第四十条 对重大数据安全事件应当启动调查工作，形成调查报告，根据调查报告提出处理意见，并将事件调查资料归档。

第五章 附 则

第四十一条 涉及国家秘密信息等数据安全管理行为，按照国家有关规定执行。

第四十二条 本办法由县数字化信息服务中心负责解释。

第四十三条 本办法有效期为二年，自2024年1月1日起施行。

【图片解读】：《麟游县数据安全管理暂行办法》