关于印发《宝山区公共数据安全暂行管理办法》的通知
各镇人民政府,各街道办事处,各委、办、局,宝山城市工业园区,宝山工业园区,航运经济发展区:
为进一步加强本区公共数据安全,保障数据开发利用,维护国家安全、社会公共利益,区信息委制定了《宝山区公共数据安全暂行管理办法》,现予以发布,请各单位参照执行。
上海市宝山区信息化委员会
2021年10月20日
宝山区公共数据安全暂行管理办法
第一章 总则
第一条(目的和依据)
为进一步加强本区公共数据安全,保障数据开发利用,维护国家安全、社会公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《上海市公共数据和一网通办管理办法》等法律法规,制定本办法。
第二条(适用范围)
本区行政区域内公共数据的获取、存储、处理、共享、应用、安全保障和监督考核等相关管理活动,适用本办法。
法律、行政法规另有规定的,从其规定。
第三条(定义)
本办法所称的公共数据,是指本区各级行政机关、履行公共管理和服务职能的事业单位(以下统称区公共管理和服务机构)在依法履职过程中产生的各类数据资源,以及通过市区两级大数据资源平台获取的市级或者国家级的各类数据资源。
第四条(管理原则)
本区公共数据安全管理应当遵循依法管理、分级分类、规范有序、需求导向、精准服务的原则,坚持保障数据安全与发展并重,积极推进数据资源开发利用,保障数据依法有序自由流动。
第二章 职责分工
第五条(区委网信办职责)
区委网信办是区公共数据安全主管部门,依照有关法律、行政法规的规定,在职责范围内负责统筹协调区公共数据安全和监管工作,协调处理区公共数据重大安全事件,指导区公共管理和服务机构建立本单位公共数据安全管理制度,加强安全保障,推进关键信息基础设施安全保护工作。
第六条(区信息委职责)
区信息委负责建立区公共数据安全体系和标准规范,落实区公共数据安全管理制度,加强对区大数据资源平台的安全管理,负责已集中汇聚至区大数据资源平台的公共数据的安全管理,实施数据安全技术防护,定期开展安全测试、风险评估和应急演练,协调处理区公共数据安全事件。
第七条(区公共管理和服务机构职责)
区公共管理和服务机构对本机构在业务开展中获取、存储、处理、应用的公共数据安全负主体责任,应当依照法律、行政法规的规定和国家标准的强制性要求,履行本机构公共数据安全保护义务,建立健全全流程数据安全管理制度,落实数据安全保护责任,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
第三章 技术措施
第八条(数据分级)
区公共管理和服务机构应定期根据《上海市公共数据分级指南》(DB31DSJ/Z 005-2020)对本机构的公共数据资源进行潜在影响评估,定义其公共数据资源的安全级别。
第九条(数据获取)
区公共管理和服务机构应当遵循必要、适度的原则,采取合法、正当的方式,按照本机构公共数据的规范要求获取公共数据。
(一)明确数据获取目的、获取用途、获取方式、获取范围、获取周期,确保数据获取的合法性、必要性、正当性;
(二)对数据获取的环境、设施、技术采取必要的安全机制和管控机制。
第十条(数据存储)
区公共管理和服务机构的信息系统及其产生的公共数据应根据要求统一部署存储在市区两级电子政务云。区公共管理和服务机构在履职过程中获取的公共数据资源,应按照要求及时把公共数据归集到区大数据资源平台,由区信息委按照应用需求,实行集中统一管理。
(一)数据存储要确保存储的保密性、完整性和可用性;
(二)对敏感的公共数据进行加密存储。
第十一条(数据处理)
区公共管理和服务机构对本机构公共数据开展数据校验、数据治理,应当按照相关技术标准和要求,对公共数据进行整理、清洗、脱敏、格式转换等处理,并建立数据处理过程中的安全机制,防止数据泄露。
第十二条(数据共享)
区公共数据共享通过区大数据资源平台实现公共数据共享交换。区公共数据共享按照关联和最小够用原则,以具体的应用为基础,明确数据共享的具体业务应用场景,建立以业务应用场景为基础的数据共享授权机制。
(一)对数据共享过程进行监控,确保共享数据安全合规,未超出授权范围;
(二)数据共享交换应建立身份鉴别、数据访问控制、数据加密等安全控制措施,并记录所有的数据共享交换的行为记录。
第四章 运营管控
第十三条(日常监督)
区委网信办、区信息委在履行职责中,发现区公共管理和服务机构在数据安全管理责任落实不到位,或发现数据活动存在较大安全风险的,应当及时开展督查整改。
第十四条(数据资源平台安全)
区信息委应当加强区大数据资源平台的安全管理,建立区大数据资源平台管控体系和安全认证机制,通过身份认证、存取访问控制、信息审计跟踪等技术手段,对数据进行脱敏管理、加密管理、授权管理、备份管理等,防止越权存取数据。
区公共管理和服务机构应当按照国家有关规定,落实相关信息系统加密、访问认证等安全防护措施,加强数据获取、存储、处理和使用等全过程的身份鉴别、授权管理和安全保障,防止信息泄露或者被非法获取。
第十五条(数据运行管理)
区公共管理和服务机构应在公共数据获取、存储、处理、共享过程中,加强人员安全管理,强化安全防护,建立公共数据分类分级保护、风险评估、日常监控等管理制度,健全公共数据共享的安全审查等工作机制,定期开展公共数据安全检查。
第十六条(数据服务管理)
区公共管理和服务机构委托他人存储、加工公共数据,或者向他人提供公共数据的,应当经过严格的审批程序,并应当监督数据接收方履行相应的数据安全保护义务。
第十七条(数据安全监测)
区公共管理和服务机构应在公共数据获取、存储、处理、共享、使用过程中加强风险监控,发现数据相关安全缺陷、漏洞等风险以及数据使用异常或违规行为时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时向区委网信办及区信息委报告。
第十八条(数据风险评估)
区公共管理和服务机构应当按照规定对其数据活动定期开展风险评估,形成风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,获取、存储、加工、使用的情况、面临的数据安全风险及其应对措施等。
第十九条(数据应急管理)
区公共管理和服务机构应当建立本机构公共数据安全应急制度,制定有关公共数据安全事件的应急预案并定期组织演练。发生安全事故时,应当立即启动应急预案,迅速采取应急措施降低损害程度,防止事故扩大,保存相关记录,并按规定向区委网信办和区信息委部门报告。
第二十条(违反安全管理规定的责任)
区公共管理和服务机构及其工作人员未按照本办法规定履行安全管理职责的,由区政府责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分。
第五章 附则
第二十一条(参照执行)
运行经费由本区各级财政保障的其他机关、团体等单位在依法履行公共管理和服务职责过程中产生的各类数据资源的管理,参照本办法执行。
第二十二条(应用解释)
本管理办法由区信息委负责解释。
第二十三条(施行日期)
本办法自十一月一日起施行。