瓊府辦〔2019〕18號《海南省人民政府辦公廳關(guān)于印發(fā)海南省公共信息資源安全使用管理辦法的通知》

海南省人民政府辦公廳關(guān)于印發(fā)海南省公共信息資源安全使用管理辦法的通知









瓊府辦〔2019〕18號

各市、縣、自治縣人民政府，省政府直屬各單位：

《海南省公共信息資源安全使用管理辦法》已經(jīng)省政府同意，現印發(fā)給你們，請認真貫徹執行。








 

海南省人民政府辦公廳

2019年7月22日

 

海南省公共信息資源安全使用管理辦法

第一章 總 則

第一條 為規范和促進(jìn)海南省公共信息資源共享和開(kāi)放，保障共享和開(kāi)放安全有序，更好地發(fā)揮數據價(jià)值，提升政府治理能力和公共服務(wù)水平，依據《中華人民共和國網(wǎng)絡(luò )安全法》、《國務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》(國發(fā)〔2016〕51號)、《國務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統整合共享實(shí)施方案的通知》(國辦發(fā)〔2017〕39號)和《海南省信息化條例》、《海南省公共信息資源管理辦法》等規定，結合本省實(shí)際，制定本辦法。

第二條 公共信息資源安全使用管理是指公共信息資源共享、開(kāi)放等活動(dòng)中，為防范公共信息資源遭受攻擊、泄露、竊取、篡改、毀損、非法使用等風(fēng)險，所采取的監測、防御、處置和監管等管理策略和技術(shù)措施。

第三條 本辦法用于規范在本行政區域內履職或開(kāi)展生產(chǎn)經(jīng)營(yíng)活動(dòng)的公共機構共享、開(kāi)放和使用公共信息資源的行為。社會(huì )組織及個(gè)人使用開(kāi)放數據適用本辦法。

涉及國家秘密的數據活動(dòng)，按國家相關(guān)保密法律法規的有關(guān)規定執行。

第四條 公共信息資源共享交換應當通過(guò)省電子政務(wù)信息共享交換平臺進(jìn)行共享交換，公共信息資源開(kāi)放應當通過(guò)省政府數據開(kāi)放平臺向社會(huì )統一開(kāi)放。

公共機構在共享、開(kāi)放和使用公共信息資源過(guò)程中, 應當遵循制度約束和技術(shù)支撐并重原則，將安全使用管理要求落到實(shí)處，建立并不斷完善相應的長(cháng)效機制，提高數據安全管理水平和技術(shù)能力。對敏感數據應當采取相應措施進(jìn)行保護。

實(shí)施公共信息資源安全使用管理，應當遵循全覆蓋原則，覆蓋信息資源提供方、使用方、平臺管理方和監管方等相關(guān)責任主體，覆蓋公共信息資源提供、使用、共享、開(kāi)放、召回等關(guān)鍵環(huán)節，覆蓋公共機構共享、開(kāi)放和使用的所有公共信息資源。
 

第二章 信息資源主體

第五條 公共信息資源安全使用管理涉及信息資源提供方(以下簡(jiǎn)稱(chēng)提供方)、信息資源使用方(以下簡(jiǎn)稱(chēng)使用方)、共享與開(kāi)放平臺管理方(以下簡(jiǎn)稱(chēng)平臺管理方)和監管方四類(lèi)主體。

提供方是指提供公共信息資源共享、開(kāi)放服務(wù)的公共機構;使用方是指獲取、處理并利用共享、開(kāi)放數據的公共機構，也包括獲取、處理并利用開(kāi)放數據的社會(huì )組織及個(gè)人;平臺管理方是指為提供方和使用方提供公共信息資源共享、開(kāi)放業(yè)務(wù)支撐的信息資源管理機構;監管方是指依照法律法規和政策文件的要求對公共信息資源共享、開(kāi)放安全管理實(shí)施監督審查和指導的管理部門(mén)。

第六條 省網(wǎng)信部門(mén)和省信息化主管部門(mén)在職責范圍內對全省公共信息資源安全使用工作進(jìn)行指導和監督。省大數據管理機構負責全省公共信息資源安全使用管理工作，負責全省公共信息資源目錄、數據分類(lèi)分級、敏感數據脫敏和銷(xiāo)毀等數據安全管理工作。公共機構負責本機構的公共信息資源安全使用管理工作。各市縣政府要加強對本轄區公共信息資源安全使用管理工作。

第七條 公共機構應當明確公共信息資源共享、開(kāi)放數據安全相關(guān)責任人，指定專(zhuān)人負責本單位數據安全審計工作。各公共機構應建立數據安全使用管理責任制度，發(fā)現數據安全重大風(fēng)險或事故，應及時(shí)報告省信息化主管部門(mén)、省網(wǎng)信部門(mén)和平臺管理方，并積極配合處理。

第八條 公共機構應切實(shí)加強本單位公共信息資源的分類(lèi)和分級工作，并采取相應的安全防護措施。公共信息資源分類(lèi)方法參照《國家發(fā)展改革委中央網(wǎng)信辦關(guān)于印發(fā)〈政務(wù)信息資源目錄編制指南（試行）〉的通知》(發(fā)改高技〔2017〕1272號)。公共信息資源分級應根據業(yè)務(wù)屬性要求，在共享、開(kāi)放中考慮數據在被破壞、非法使用或泄露后對個(gè)人及企業(yè)權益、社會(huì )公共利益、國家安全可能造成的危害程度進(jìn)行分級，界定數據敏感屬性。

具體分級方法及安全防護策略參見(jiàn)附件。

 

第三章 信息資源提供
 

第九條 提供方應當制定公共信息資源共享和開(kāi)放計劃，實(shí)行目錄管理制度，做好本部門(mén)公共信息資源共享和開(kāi)放目錄登記、審核、發(fā)布、更新等工作的管理，確保目錄內容的完整性、邏輯的一致性、命名的規范性。

第十條 公共信息資源共享、開(kāi)放實(shí)行發(fā)布注冊制度，提供方應將經(jīng)審核確認的公共信息資源共享目錄通過(guò)省電子政務(wù)信息共享交換平臺進(jìn)行發(fā)布注冊，開(kāi)放數據通過(guò)省政府數據開(kāi)放平臺進(jìn)行發(fā)布注冊。注冊?xún)热輵畔①Y源名稱(chēng)、信息資源代碼、提供方名稱(chēng)、提供方代碼、信息資源摘要、信息資源格式、信息項名稱(chēng)、數據類(lèi)型、共享類(lèi)型、共享條件、共享方式、開(kāi)放屬性、分類(lèi)分級、更新周期、發(fā)布日期和關(guān)聯(lián)資源代碼等。

第十一條 提供方向平臺管理方進(jìn)行發(fā)布注冊時(shí)，其身份得到有效鑒別驗證后方可有權向省電子政務(wù)信息共享交換平臺和省政府數據開(kāi)放平臺發(fā)布信息資源。無(wú)條件共享、開(kāi)放的信息資源，提供方應向平臺管理方整體授權，由平臺管理方向使用方提供共享、開(kāi)放服務(wù)。

第十二條 提供方應在公共信息資源共享和開(kāi)放前自行開(kāi)展風(fēng)險評估，對敏感數據應當采用數據加密方式和密碼算法等技術(shù)手段進(jìn)行加密存儲保護，必要時(shí)可進(jìn)行分級分域存儲。

第十三條 提供方應制定完備的敏感數據脫敏規則和流程，以保證數據脫敏工作執行的規范性和有效性;對敏感數據進(jìn)行脫敏時(shí)，應結合使用方申請的業(yè)務(wù)需求進(jìn)行相應脫敏。

第十四條 提供方應定期維護共享和開(kāi)放的公共信息資源，確保所提供數據的準確性、完整性、時(shí)效性、可用性，建立并落實(shí)數據質(zhì)量控制機制，對問(wèn)題數據或過(guò)期數據應及時(shí)進(jìn)行數據更新、召回或銷(xiāo)毀，并通過(guò)省電子政務(wù)信息共享交換平臺和省政府數據開(kāi)放平臺發(fā)布數據更新、召回或銷(xiāo)毀通告，加強對數據的安全審計。

 

第四章 信息資源使用

第十五條 公共信息資源共享、開(kāi)放實(shí)行使用注冊登記制度。使用方對公共信息資源的使用，須通過(guò)省電子政務(wù)信息共享交換平臺和省政府數據開(kāi)放平臺進(jìn)行注冊登記，經(jīng)平臺管理方進(jìn)行有效鑒別驗證后方可申請使用公共信息資源。使用方可通過(guò)公共信息資源共享目錄和開(kāi)放目錄分別查詢(xún)所需的信息資源，根據自身業(yè)務(wù)需要向平臺管理方提出使用申請。

第十六條 對于有條件共享、開(kāi)放的公共信息資源，使用方須向提供方提出使用申請，經(jīng)提供方審核通過(guò)后使用方方可使用數據。申請內容包括使用申請信息項、申請機構名稱(chēng)、機構代碼、資源名稱(chēng)、資源類(lèi)別、提供方名稱(chēng)、申請依據說(shuō)明(行政依據、工作參考、數據校核、業(yè)務(wù)協(xié)調等)、需求字段、需求時(shí)效、采用的安全保障措施等。

第十七條 對于無(wú)條件共享、開(kāi)放的公共信息資源，使用方向平臺管理方提出使用申請后，即可獲取和使用。

第十八條 使用方有義務(wù)對獲取的共享、開(kāi)放的公共信息資源作基本校核，發(fā)現有疑義或錯誤的，應及時(shí)向平臺管理方反饋，并配合開(kāi)展數據召回、更新和銷(xiāo)毀等操作。對有問(wèn)題的數據，使用方接到通告后應及時(shí)進(jìn)行相關(guān)數據更新、銷(xiāo)毀，并向省電子政務(wù)信息共享交換平臺和省政府數據開(kāi)放平臺反饋處理結果。

第十九條 數據使用應遵循“最小夠用”的原則，使用方應當按照提供方發(fā)布的共享、開(kāi)放公共信息資源的數據類(lèi)型、級別等安全管理要求進(jìn)行合理共享使用，并采取相應的安全管理策略和技術(shù)手段，對使用的公共信息資源在存儲、傳輸、應用等過(guò)程進(jìn)行有效管理。

使用方申請使用敏感數據時(shí)，應遵循最小化原則，僅申請使用本機構履職所需的必要數據。原則上能通過(guò)查詢(xún)、校驗方式滿(mǎn)足業(yè)務(wù)開(kāi)展需要的應采用查詢(xún)、校驗方式。

使用方獲取的共享、開(kāi)放信息資源，只能按照明確的使用用途用于本機構履行職責需要，未經(jīng)授權不得以直接或間接改變數據形式等方式轉給第三方，也不得用于或變相用于其他目的，不得擅自向社會(huì )發(fā)布所獲取的信息資源。使用方應加強共享、開(kāi)放信息資源使用環(huán)節的日志審計。

第二十條 使用方不能隨意擴大敏感數據使用范圍、改變敏感數據使用目的，并控制敏感數據知悉范圍。使用方應建立適當的敏感數據安全保障手段，將敏感數據分級分域存儲。對敏感數據的操作應復合采用兩種或兩種以上的鑒別技術(shù)進(jìn)行身份認證。對敏感類(lèi)數據的使用應經(jīng)過(guò)二次授權，按照最小授權原則，嚴格限制敏感數據批量修改、復制、下載等重要操作權限，采用技術(shù)手段防止敏感數據在未授權條件下通過(guò)下載、復制、截屏等方式實(shí)現數據輸出。

使用方應對敏感數據訪(fǎng)問(wèn)及使用處理全過(guò)程進(jìn)行安全審計，防止非授權訪(fǎng)問(wèn)、篡改或刪除審計記錄，及時(shí)處理審計過(guò)程中發(fā)現的敏感數據違規使用、濫用等情況，審計過(guò)程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐，在發(fā)生任何異常訪(fǎng)問(wèn)時(shí)能夠快速追蹤溯源。

使用方應建立敏感數據銷(xiāo)毀管理機制，在敏感數據過(guò)期或失效后，以不可逆方式進(jìn)行銷(xiāo)毀處理;同時(shí)應對數據銷(xiāo)毀處理過(guò)程相關(guān)的操作進(jìn)行記錄，以滿(mǎn)足安全審計的要求。

 

第五章 信息資源平臺管理

第二十一條 平臺管理方應完善平臺安全管理制度和數據保護措施，采用安全可靠的產(chǎn)品和服務(wù)，完善數據管控、屬性管理、身份識別、行為追溯、黑名單等管理措施，健全防篡改、防泄露、防攻擊、防病毒、防越權存取等安全防護體系，保障公共信息資源在共享和開(kāi)放環(huán)節的安全可控。

第二十二條 平臺管理方應當對提供方和使用方注冊登記的身份進(jìn)行有效鑒別和驗證確認;平臺管理方應如實(shí)記錄并妥善保存共享、開(kāi)放數據發(fā)布注冊、使用登記以及變更通告的原始記錄，不得修改、刪除或泄露原始記錄數據，對共享、開(kāi)放信息資源的流動(dòng)狀況實(shí)施監測，實(shí)現可追蹤、可考核和可責任認定;跟蹤和記錄敏感數據共享交換全過(guò)程，特別是異常訪(fǎng)問(wèn)記錄，確保能滿(mǎn)足溯源需要，敏感數據共享交換記錄日志應由省電子政務(wù)信息共享交換平臺保存至少6個(gè)月。

第二十三條 平臺管理方應加強共享、開(kāi)放數據安全防護管理。通過(guò)數據格式合規性審查、數據來(lái)源抽取驗證等方式，對提供方提供的共享、開(kāi)放信息資源進(jìn)行有效性驗證;通過(guò)技術(shù)手段加強開(kāi)放數據下載的實(shí)名認證、授權等防護管理，防止數據被惡意使用。對于歸集在省政府數據中心的數據，平臺管理方應做好數據的安全存儲保護。對于非歸集數據，平臺管理方應為提供方和使用方提供便捷、安全的數據共享交換通道和數據安全支撐服務(wù)，平臺可根據需要留存數據。

第二十四條 平臺管理方在處理敏感數據共享交換時(shí)，可對提供方和使用方復合采用用戶(hù)名/口令、一次性口令、數字證書(shū)、標識密碼、生物特征等兩種或兩種以上鑒別技術(shù)進(jìn)行身份鑒別，以增強安全性。采用加密機制保證數據傳輸通道安全，保證傳輸數據的保密性和完整性。在共享交換完成后應清除通道歷史緩存數據。

第二十五條 平臺管理方應當統籌建立公共信息資源安全監測手段、應急響應預案、事件處置聯(lián)動(dòng)機制和應急處置團隊，加強公共信息資源運行狀況的安全監控和巡檢巡查，加強應急處置專(zhuān)門(mén)團隊的能力培訓和應急演練，及時(shí)發(fā)現安全隱患，避免發(fā)生數據泄露、違法違規使用和變換等重大安全事件。對于歸集在平臺上的公共信息資源，平臺管理方應建立應急處置和備份恢復機制，加強數據安全監測預警和態(tài)勢感知能力建設。發(fā)現數據安全重大風(fēng)險或發(fā)生安全事件，應及時(shí)報告監管方，并積極配合處理。

第二十六條 平臺管理方要做好共享、開(kāi)放數據的使用審計工作，每六個(gè)月開(kāi)展對平臺的安全審計，采取必要的技術(shù)手段支撐數據可追溯、可使用、可校核、可召回。

 

第六章 監督管理

第二十七條 省公共信息資源共享、開(kāi)放數據安全監管工作實(shí)行全省統籌、各部門(mén)與各地區分責的機制。

第二十八條 省網(wǎng)信部門(mén)負責全省公共信息資源共享、開(kāi)放數據安全監管工作的統籌協(xié)調;省信息化主管部門(mén)負責省公共信息資源共享、開(kāi)放業(yè)務(wù)中公共信息資源安全使用的監管工作;省公安廳負責省公共信息資源共享、開(kāi)放相關(guān)部門(mén)信息系統等級保護情況及網(wǎng)絡(luò )攻擊等專(zhuān)項監管工作;省國家保密局負責省公共信息資源共享、開(kāi)放數據安全保密管理方面的專(zhuān)項監管工作;省密碼管理局負責省公共信息資源共享、開(kāi)放工作中密碼應用專(zhuān)項監管工作;各市縣政府信息化主管部門(mén)負責督促檢查本轄區公共信息資源共享、開(kāi)放數據安全管理工作落實(shí)情況。

第二十九條 監管方應建立公共信息資源共享、開(kāi)放數據安全監督管理制度，定期對公共機構信息資源安全使用管理制度及其共享、開(kāi)放工作進(jìn)行安全審查;不定期對平臺管理方數據安全保障措施、技術(shù)能力、管理制度、應急預案等建設情況進(jìn)行安全檢查;建立數據安全監督考核機制，定期對公共機構信息資源共享、開(kāi)放工作進(jìn)行數據安全監督考核評估，對本辦法的落實(shí)情況進(jìn)行監督管理。

監管方應及時(shí)總結經(jīng)驗，提出公共信息資源安全使用管理改進(jìn)性意見(jiàn)，不斷優(yōu)化管理辦法。

監管方應當建立健全敏感數據安全使用監督檢查機制，各市縣政府對本轄區內敏感數據安全使用情況進(jìn)行定期監督檢查，檢查結果應及時(shí)報告監管方。

第三十條 鼓勵各公共機構探索安全可靠的新技術(shù)手段保障公共信息資源安全。各公共機構根據業(yè)務(wù)需要，可依托安全可靠的外部專(zhuān)業(yè)機構提供數據安全使用管理支撐服務(wù)，但須同時(shí)做好外部機構的安全保密管理監督工作，確保公共信息資源共享、開(kāi)放的安全。

 

第七章 附 則

第三十一條 公共機構之間公共信息資源共享交換及公共信息資源開(kāi)放須依托省電子政務(wù)信息共享交換平臺和省政府數據開(kāi)放平臺進(jìn)行，擅自通過(guò)其他方式進(jìn)行共享交換及開(kāi)放，需承擔相關(guān)責任。

對提供不準確、不完整公共信息資源共享、開(kāi)放目錄和信息資源的，以及未按照規定時(shí)限發(fā)布、更新公共信息資源共享、開(kāi)放目錄和信息資源所造成的責任，由提供方負責。

使用方未按要求對所獲取的信息資源進(jìn)行有效防護，未嚴格按照約定的使用目的、使用范圍、傳輸載體等規定造成的責任，由使用方負責。

平臺管理方未經(jīng)授權擅自將公共信息資源提供給使用方或對外開(kāi)放所造成的責任，由平臺管理方負責。

第三十二條 違反本辦法相關(guān)規定，在共享、開(kāi)放工作中造成公共信息資源泄露特別是敏感數據泄露等安全事件的，監管方依照數據追溯報告，按照“誰(shuí)提供，誰(shuí)負責”“誰(shuí)經(jīng)手，誰(shuí)使用，誰(shuí)管理，誰(shuí)負責”的原則定位具體的直接責任主體，以及關(guān)聯(lián)責任主體。

公共機構應當建立數據安全事故報告制度，做好應急預案。對未履行數據安全保護義務(wù)，安全管理責任落實(shí)不到位，存在較大安全風(fēng)險或發(fā)生安全事件的，監管方將予以警告并責令其整改。拒不改正或者導致危害數據安全產(chǎn)生不良后果的，按照相關(guān)行政規章予以追責。違反《中華人民共和國網(wǎng)絡(luò )安全法》等法律、法規的，承擔相應的法律責任。

第三十三條 本辦法由省信息化主管部門(mén)負責解釋。

第三十四條 本辦法自印發(fā)之日起施行。




附件：海南省公共信息資源分級體系表

本文鏈接：http://www.jumpstarthappiness.com/policy/91650.html

本文關(guān)鍵詞： 瓊府辦, 海南省, 公共, 信息, 資源, 安全, 使用, 管理辦法, 通知