瓊府辦〔2019〕18號《海南省人民政府辦公廳關(guān)于印發(fā)海南省公共信息資源安全使用管理辦法的通知》

海南省人民政府辦公廳關(guān)于印發(fā)海南省公共信息資源安全使用管理辦法的通知









瓊府辦〔2019〕18號

各市、縣、自治縣人民政府，省政府直屬各單位：

《海南省公共信息資源安全使用管理辦法》已經(jīng)省政府同意，現(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。








 

海南省人民政府辦公廳

2019年7月22日

 

海南省公共信息資源安全使用管理辦法

第一章 總 則

第一條 為規(guī)范和促進海南省公共信息資源共享和開放，保障共享和開放安全有序，更好地發(fā)揮數(shù)據(jù)價值，提升政府治理能力和公共服務(wù)水平，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《國務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》(國發(fā)〔2016〕51號)、《國務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統(tǒng)整合共享實施方案的通知》(國辦發(fā)〔2017〕39號)和《海南省信息化條例》、《海南省公共信息資源管理辦法》等規(guī)定，結(jié)合本省實際，制定本辦法。

第二條 公共信息資源安全使用管理是指公共信息資源共享、開放等活動中，為防范公共信息資源遭受攻擊、泄露、竊取、篡改、毀損、非法使用等風(fēng)險，所采取的監(jiān)測、防御、處置和監(jiān)管等管理策略和技術(shù)措施。

第三條 本辦法用于規(guī)范在本行政區(qū)域內(nèi)履職或開展生產(chǎn)經(jīng)營活動的公共機構(gòu)共享、開放和使用公共信息資源的行為。社會組織及個人使用開放數(shù)據(jù)適用本辦法。

涉及國家秘密的數(shù)據(jù)活動，按國家相關(guān)保密法律法規(guī)的有關(guān)規(guī)定執(zhí)行。

第四條 公共信息資源共享交換應(yīng)當(dāng)通過省電子政務(wù)信息共享交換平臺進行共享交換，公共信息資源開放應(yīng)當(dāng)通過省政府?dāng)?shù)據(jù)開放平臺向社會統(tǒng)一開放。

公共機構(gòu)在共享、開放和使用公共信息資源過程中, 應(yīng)當(dāng)遵循制度約束和技術(shù)支撐并重原則，將安全使用管理要求落到實處，建立并不斷完善相應(yīng)的長效機制，提高數(shù)據(jù)安全管理水平和技術(shù)能力。對敏感數(shù)據(jù)應(yīng)當(dāng)采取相應(yīng)措施進行保護。

實施公共信息資源安全使用管理，應(yīng)當(dāng)遵循全覆蓋原則，覆蓋信息資源提供方、使用方、平臺管理方和監(jiān)管方等相關(guān)責(zé)任主體，覆蓋公共信息資源提供、使用、共享、開放、召回等關(guān)鍵環(huán)節(jié)，覆蓋公共機構(gòu)共享、開放和使用的所有公共信息資源。
 

第二章 信息資源主體

第五條 公共信息資源安全使用管理涉及信息資源提供方(以下簡稱提供方)、信息資源使用方(以下簡稱使用方)、共享與開放平臺管理方(以下簡稱平臺管理方)和監(jiān)管方四類主體。

提供方是指提供公共信息資源共享、開放服務(wù)的公共機構(gòu);使用方是指獲取、處理并利用共享、開放數(shù)據(jù)的公共機構(gòu)，也包括獲取、處理并利用開放數(shù)據(jù)的社會組織及個人;平臺管理方是指為提供方和使用方提供公共信息資源共享、開放業(yè)務(wù)支撐的信息資源管理機構(gòu);監(jiān)管方是指依照法律法規(guī)和政策文件的要求對公共信息資源共享、開放安全管理實施監(jiān)督審查和指導(dǎo)的管理部門。

第六條 省網(wǎng)信部門和省信息化主管部門在職責(zé)范圍內(nèi)對全省公共信息資源安全使用工作進行指導(dǎo)和監(jiān)督。省大數(shù)據(jù)管理機構(gòu)負責(zé)全省公共信息資源安全使用管理工作，負責(zé)全省公共信息資源目錄、數(shù)據(jù)分類分級、敏感數(shù)據(jù)脫敏和銷毀等數(shù)據(jù)安全管理工作。公共機構(gòu)負責(zé)本機構(gòu)的公共信息資源安全使用管理工作。各市縣政府要加強對本轄區(qū)公共信息資源安全使用管理工作。

第七條 公共機構(gòu)應(yīng)當(dāng)明確公共信息資源共享、開放數(shù)據(jù)安全相關(guān)責(zé)任人，指定專人負責(zé)本單位數(shù)據(jù)安全審計工作。各公共機構(gòu)應(yīng)建立數(shù)據(jù)安全使用管理責(zé)任制度，發(fā)現(xiàn)數(shù)據(jù)安全重大風(fēng)險或事故，應(yīng)及時報告省信息化主管部門、省網(wǎng)信部門和平臺管理方，并積極配合處理。

第八條 公共機構(gòu)應(yīng)切實加強本單位公共信息資源的分類和分級工作，并采取相應(yīng)的安全防護措施。公共信息資源分類方法參照《國家發(fā)展改革委中央網(wǎng)信辦關(guān)于印發(fā)〈政務(wù)信息資源目錄編制指南（試行）〉的通知》(發(fā)改高技〔2017〕1272號)。公共信息資源分級應(yīng)根據(jù)業(yè)務(wù)屬性要求，在共享、開放中考慮數(shù)據(jù)在被破壞、非法使用或泄露后對個人及企業(yè)權(quán)益、社會公共利益、國家安全可能造成的危害程度進行分級，界定數(shù)據(jù)敏感屬性。

具體分級方法及安全防護策略參見附件。

 

第三章 信息資源提供
 

第九條 提供方應(yīng)當(dāng)制定公共信息資源共享和開放計劃，實行目錄管理制度，做好本部門公共信息資源共享和開放目錄登記、審核、發(fā)布、更新等工作的管理，確保目錄內(nèi)容的完整性、邏輯的一致性、命名的規(guī)范性。

第十條 公共信息資源共享、開放實行發(fā)布注冊制度，提供方應(yīng)將經(jīng)審核確認的公共信息資源共享目錄通過省電子政務(wù)信息共享交換平臺進行發(fā)布注冊，開放數(shù)據(jù)通過省政府?dāng)?shù)據(jù)開放平臺進行發(fā)布注冊。注冊內(nèi)容應(yīng)包含信息資源名稱、信息資源代碼、提供方名稱、提供方代碼、信息資源摘要、信息資源格式、信息項名稱、數(shù)據(jù)類型、共享類型、共享條件、共享方式、開放屬性、分類分級、更新周期、發(fā)布日期和關(guān)聯(lián)資源代碼等。

第十一條 提供方向平臺管理方進行發(fā)布注冊時，其身份得到有效鑒別驗證后方可有權(quán)向省電子政務(wù)信息共享交換平臺和省政府?dāng)?shù)據(jù)開放平臺發(fā)布信息資源。無條件共享、開放的信息資源，提供方應(yīng)向平臺管理方整體授權(quán)，由平臺管理方向使用方提供共享、開放服務(wù)。

第十二條 提供方應(yīng)在公共信息資源共享和開放前自行開展風(fēng)險評估，對敏感數(shù)據(jù)應(yīng)當(dāng)采用數(shù)據(jù)加密方式和密碼算法等技術(shù)手段進行加密存儲保護，必要時可進行分級分域存儲。

第十三條 提供方應(yīng)制定完備的敏感數(shù)據(jù)脫敏規(guī)則和流程，以保證數(shù)據(jù)脫敏工作執(zhí)行的規(guī)范性和有效性;對敏感數(shù)據(jù)進行脫敏時，應(yīng)結(jié)合使用方申請的業(yè)務(wù)需求進行相應(yīng)脫敏。

第十四條 提供方應(yīng)定期維護共享和開放的公共信息資源，確保所提供數(shù)據(jù)的準確性、完整性、時效性、可用性，建立并落實數(shù)據(jù)質(zhì)量控制機制，對問題數(shù)據(jù)或過期數(shù)據(jù)應(yīng)及時進行數(shù)據(jù)更新、召回或銷毀，并通過省電子政務(wù)信息共享交換平臺和省政府?dāng)?shù)據(jù)開放平臺發(fā)布數(shù)據(jù)更新、召回或銷毀通告，加強對數(shù)據(jù)的安全審計。

 

第四章 信息資源使用

第十五條 公共信息資源共享、開放實行使用注冊登記制度。使用方對公共信息資源的使用，須通過省電子政務(wù)信息共享交換平臺和省政府?dāng)?shù)據(jù)開放平臺進行注冊登記，經(jīng)平臺管理方進行有效鑒別驗證后方可申請使用公共信息資源。使用方可通過公共信息資源共享目錄和開放目錄分別查詢所需的信息資源，根據(jù)自身業(yè)務(wù)需要向平臺管理方提出使用申請。

第十六條 對于有條件共享、開放的公共信息資源，使用方須向提供方提出使用申請，經(jīng)提供方審核通過后使用方方可使用數(shù)據(jù)。申請內(nèi)容包括使用申請信息項、申請機構(gòu)名稱、機構(gòu)代碼、資源名稱、資源類別、提供方名稱、申請依據(jù)說明(行政依據(jù)、工作參考、數(shù)據(jù)校核、業(yè)務(wù)協(xié)調(diào)等)、需求字段、需求時效、采用的安全保障措施等。

第十七條 對于無條件共享、開放的公共信息資源，使用方向平臺管理方提出使用申請后，即可獲取和使用。

第十八條 使用方有義務(wù)對獲取的共享、開放的公共信息資源作基本校核，發(fā)現(xiàn)有疑義或錯誤的，應(yīng)及時向平臺管理方反饋，并配合開展數(shù)據(jù)召回、更新和銷毀等操作。對有問題的數(shù)據(jù)，使用方接到通告后應(yīng)及時進行相關(guān)數(shù)據(jù)更新、銷毀，并向省電子政務(wù)信息共享交換平臺和省政府?dāng)?shù)據(jù)開放平臺反饋處理結(jié)果。

第十九條 數(shù)據(jù)使用應(yīng)遵循“最小夠用”的原則，使用方應(yīng)當(dāng)按照提供方發(fā)布的共享、開放公共信息資源的數(shù)據(jù)類型、級別等安全管理要求進行合理共享使用，并采取相應(yīng)的安全管理策略和技術(shù)手段，對使用的公共信息資源在存儲、傳輸、應(yīng)用等過程進行有效管理。

使用方申請使用敏感數(shù)據(jù)時，應(yīng)遵循最小化原則，僅申請使用本機構(gòu)履職所需的必要數(shù)據(jù)。原則上能通過查詢、校驗方式滿足業(yè)務(wù)開展需要的應(yīng)采用查詢、校驗方式。

使用方獲取的共享、開放信息資源，只能按照明確的使用用途用于本機構(gòu)履行職責(zé)需要，未經(jīng)授權(quán)不得以直接或間接改變數(shù)據(jù)形式等方式轉(zhuǎn)給第三方，也不得用于或變相用于其他目的，不得擅自向社會發(fā)布所獲取的信息資源。使用方應(yīng)加強共享、開放信息資源使用環(huán)節(jié)的日志審計。

第二十條 使用方不能隨意擴大敏感數(shù)據(jù)使用范圍、改變敏感數(shù)據(jù)使用目的，并控制敏感數(shù)據(jù)知悉范圍。使用方應(yīng)建立適當(dāng)?shù)拿舾袛?shù)據(jù)安全保障手段，將敏感數(shù)據(jù)分級分域存儲。對敏感數(shù)據(jù)的操作應(yīng)復(fù)合采用兩種或兩種以上的鑒別技術(shù)進行身份認證。對敏感類數(shù)據(jù)的使用應(yīng)經(jīng)過二次授權(quán)，按照最小授權(quán)原則，嚴格限制敏感數(shù)據(jù)批量修改、復(fù)制、下載等重要操作權(quán)限，采用技術(shù)手段防止敏感數(shù)據(jù)在未授權(quán)條件下通過下載、復(fù)制、截屏等方式實現(xiàn)數(shù)據(jù)輸出。

使用方應(yīng)對敏感數(shù)據(jù)訪問及使用處理全過程進行安全審計，防止非授權(quán)訪問、篡改或刪除審計記錄，及時處理審計過程中發(fā)現(xiàn)的敏感數(shù)據(jù)違規(guī)使用、濫用等情況，審計過程形成的記錄應(yīng)能對安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐，在發(fā)生任何異常訪問時能夠快速追蹤溯源。

使用方應(yīng)建立敏感數(shù)據(jù)銷毀管理機制，在敏感數(shù)據(jù)過期或失效后，以不可逆方式進行銷毀處理;同時應(yīng)對數(shù)據(jù)銷毀處理過程相關(guān)的操作進行記錄，以滿足安全審計的要求。

 

第五章 信息資源平臺管理

第二十一條 平臺管理方應(yīng)完善平臺安全管理制度和數(shù)據(jù)保護措施，采用安全可靠的產(chǎn)品和服務(wù)，完善數(shù)據(jù)管控、屬性管理、身份識別、行為追溯、黑名單等管理措施，健全防篡改、防泄露、防攻擊、防病毒、防越權(quán)存取等安全防護體系，保障公共信息資源在共享和開放環(huán)節(jié)的安全可控。

第二十二條 平臺管理方應(yīng)當(dāng)對提供方和使用方注冊登記的身份進行有效鑒別和驗證確認;平臺管理方應(yīng)如實記錄并妥善保存共享、開放數(shù)據(jù)發(fā)布注冊、使用登記以及變更通告的原始記錄，不得修改、刪除或泄露原始記錄數(shù)據(jù)，對共享、開放信息資源的流動狀況實施監(jiān)測，實現(xiàn)可追蹤、可考核和可責(zé)任認定;跟蹤和記錄敏感數(shù)據(jù)共享交換全過程，特別是異常訪問記錄，確保能滿足溯源需要，敏感數(shù)據(jù)共享交換記錄日志應(yīng)由省電子政務(wù)信息共享交換平臺保存至少6個月。

第二十三條 平臺管理方應(yīng)加強共享、開放數(shù)據(jù)安全防護管理。通過數(shù)據(jù)格式合規(guī)性審查、數(shù)據(jù)來源抽取驗證等方式，對提供方提供的共享、開放信息資源進行有效性驗證;通過技術(shù)手段加強開放數(shù)據(jù)下載的實名認證、授權(quán)等防護管理，防止數(shù)據(jù)被惡意使用。對于歸集在省政府?dāng)?shù)據(jù)中心的數(shù)據(jù)，平臺管理方應(yīng)做好數(shù)據(jù)的安全存儲保護。對于非歸集數(shù)據(jù)，平臺管理方應(yīng)為提供方和使用方提供便捷、安全的數(shù)據(jù)共享交換通道和數(shù)據(jù)安全支撐服務(wù)，平臺可根據(jù)需要留存數(shù)據(jù)。

第二十四條 平臺管理方在處理敏感數(shù)據(jù)共享交換時，可對提供方和使用方復(fù)合采用用戶名/口令、一次性口令、數(shù)字證書、標識密碼、生物特征等兩種或兩種以上鑒別技術(shù)進行身份鑒別，以增強安全性。采用加密機制保證數(shù)據(jù)傳輸通道安全，保證傳輸數(shù)據(jù)的保密性和完整性。在共享交換完成后應(yīng)清除通道歷史緩存數(shù)據(jù)。

第二十五條 平臺管理方應(yīng)當(dāng)統(tǒng)籌建立公共信息資源安全監(jiān)測手段、應(yīng)急響應(yīng)預(yù)案、事件處置聯(lián)動機制和應(yīng)急處置團隊，加強公共信息資源運行狀況的安全監(jiān)控和巡檢巡查，加強應(yīng)急處置專門團隊的能力培訓(xùn)和應(yīng)急演練，及時發(fā)現(xiàn)安全隱患，避免發(fā)生數(shù)據(jù)泄露、違法違規(guī)使用和變換等重大安全事件。對于歸集在平臺上的公共信息資源，平臺管理方應(yīng)建立應(yīng)急處置和備份恢復(fù)機制，加強數(shù)據(jù)安全監(jiān)測預(yù)警和態(tài)勢感知能力建設(shè)。發(fā)現(xiàn)數(shù)據(jù)安全重大風(fēng)險或發(fā)生安全事件，應(yīng)及時報告監(jiān)管方，并積極配合處理。

第二十六條 平臺管理方要做好共享、開放數(shù)據(jù)的使用審計工作，每六個月開展對平臺的安全審計，采取必要的技術(shù)手段支撐數(shù)據(jù)可追溯、可使用、可校核、可召回。

 

第六章 監(jiān)督管理

第二十七條 省公共信息資源共享、開放數(shù)據(jù)安全監(jiān)管工作實行全省統(tǒng)籌、各部門與各地區(qū)分責(zé)的機制。

第二十八條 省網(wǎng)信部門負責(zé)全省公共信息資源共享、開放數(shù)據(jù)安全監(jiān)管工作的統(tǒng)籌協(xié)調(diào);省信息化主管部門負責(zé)省公共信息資源共享、開放業(yè)務(wù)中公共信息資源安全使用的監(jiān)管工作;省公安廳負責(zé)省公共信息資源共享、開放相關(guān)部門信息系統(tǒng)等級保護情況及網(wǎng)絡(luò)攻擊等專項監(jiān)管工作;省國家保密局負責(zé)省公共信息資源共享、開放數(shù)據(jù)安全保密管理方面的專項監(jiān)管工作;省密碼管理局負責(zé)省公共信息資源共享、開放工作中密碼應(yīng)用專項監(jiān)管工作;各市縣政府信息化主管部門負責(zé)督促檢查本轄區(qū)公共信息資源共享、開放數(shù)據(jù)安全管理工作落實情況。

第二十九條 監(jiān)管方應(yīng)建立公共信息資源共享、開放數(shù)據(jù)安全監(jiān)督管理制度，定期對公共機構(gòu)信息資源安全使用管理制度及其共享、開放工作進行安全審查;不定期對平臺管理方數(shù)據(jù)安全保障措施、技術(shù)能力、管理制度、應(yīng)急預(yù)案等建設(shè)情況進行安全檢查;建立數(shù)據(jù)安全監(jiān)督考核機制，定期對公共機構(gòu)信息資源共享、開放工作進行數(shù)據(jù)安全監(jiān)督考核評估，對本辦法的落實情況進行監(jiān)督管理。

監(jiān)管方應(yīng)及時總結(jié)經(jīng)驗，提出公共信息資源安全使用管理改進性意見，不斷優(yōu)化管理辦法。

監(jiān)管方應(yīng)當(dāng)建立健全敏感數(shù)據(jù)安全使用監(jiān)督檢查機制，各市縣政府對本轄區(qū)內(nèi)敏感數(shù)據(jù)安全使用情況進行定期監(jiān)督檢查，檢查結(jié)果應(yīng)及時報告監(jiān)管方。

第三十條 鼓勵各公共機構(gòu)探索安全可靠的新技術(shù)手段保障公共信息資源安全。各公共機構(gòu)根據(jù)業(yè)務(wù)需要，可依托安全可靠的外部專業(yè)機構(gòu)提供數(shù)據(jù)安全使用管理支撐服務(wù)，但須同時做好外部機構(gòu)的安全保密管理監(jiān)督工作，確保公共信息資源共享、開放的安全。

 

第七章 附 則

第三十一條 公共機構(gòu)之間公共信息資源共享交換及公共信息資源開放須依托省電子政務(wù)信息共享交換平臺和省政府?dāng)?shù)據(jù)開放平臺進行，擅自通過其他方式進行共享交換及開放，需承擔(dān)相關(guān)責(zé)任。

對提供不準確、不完整公共信息資源共享、開放目錄和信息資源的，以及未按照規(guī)定時限發(fā)布、更新公共信息資源共享、開放目錄和信息資源所造成的責(zé)任，由提供方負責(zé)。

使用方未按要求對所獲取的信息資源進行有效防護，未嚴格按照約定的使用目的、使用范圍、傳輸載體等規(guī)定造成的責(zé)任，由使用方負責(zé)。

平臺管理方未經(jīng)授權(quán)擅自將公共信息資源提供給使用方或?qū)ν忾_放所造成的責(zé)任，由平臺管理方負責(zé)。

第三十二條 違反本辦法相關(guān)規(guī)定，在共享、開放工作中造成公共信息資源泄露特別是敏感數(shù)據(jù)泄露等安全事件的，監(jiān)管方依照數(shù)據(jù)追溯報告，按照“誰提供，誰負責(zé)”“誰經(jīng)手，誰使用，誰管理，誰負責(zé)”的原則定位具體的直接責(zé)任主體，以及關(guān)聯(lián)責(zé)任主體。

公共機構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全事故報告制度，做好應(yīng)急預(yù)案。對未履行數(shù)據(jù)安全保護義務(wù)，安全管理責(zé)任落實不到位，存在較大安全風(fēng)險或發(fā)生安全事件的，監(jiān)管方將予以警告并責(zé)令其整改。拒不改正或者導(dǎo)致危害數(shù)據(jù)安全產(chǎn)生不良后果的，按照相關(guān)行政規(guī)章予以追責(zé)。違反《中華人民共和國網(wǎng)絡(luò)安全法》等法律、法規(guī)的，承擔(dān)相應(yīng)的法律責(zé)任。

第三十三條 本辦法由省信息化主管部門負責(zé)解釋。

第三十四條 本辦法自印發(fā)之日起施行。




附件：海南省公共信息資源分級體系表

本文鏈接：http://www.dyerandpostasalon.com/policy/91650.html

本文關(guān)鍵詞： 瓊府辦, 海南省, 公共, 信息, 資源, 安全, 使用, 管理辦法, 通知