各市@@、县@@、自治县@@人民政府@@,省政府直属各单位@@:
《海南省公共信息资源安全使用@@管理办法@@》已经省政府同意@@,现印发给你们@@,请认真贯彻执行@@。
海南省人民政府办公厅@@
2019年@@7月@@22日@@
(此件主动公开@@)
海南省公共信息资源安全使用@@管理办法@@
第一章@@ 总@@ 则@@
第一条@@ 为规范和@@促进海南省公共信息资源共享@@@@@@和@@开放@@@@,保障共享@@和@@开放@@安全有序@@,更好地发挥数据价值@@,提升政府治理能力和@@公共服务水平@@,依据@@《中华人民共和@@国网络安全法@@》、《国务院关于印发政务信息资源共享@@管理暂行办法的通知@@@@》(国发@@〔2016〕51号@@)、《国务院办公厅关于印发政务信息系统整合共享@@实施方案的通知@@@@》(国办发@@〔2017〕39号@@)和@@《海南省信息化条例@@》、《海南省公共信息资源管理办法@@》等规定@@,结合本省实际@@,制定本办法@@。
第二条@@ 公共信息资源安全使用@@管理是指公共信息资源共享@@@@@@、开放@@等活动中@@,为防范公共信息资源遭受攻击@@、泄露@@、窃取@@、篡改@@、毁损@@、非法使用@@等风险@@,所采取的监测@@、防御@@、处置和@@监管等管理策略和@@技术措施@@。
第三条@@ 本办法用于规范在本行政区域内履职或开展生产经营活动的公共机构共享@@@@、开放@@和@@使用@@公共信息资源的行为@@。社会组织及个人使用@@开放@@数据适用本办法@@。
涉及国家秘密的数据活动@@,按国家相关保密法律法规的@@有关规定执行@@。
第四条@@ 公共信息资源共享@@@@交换应当通过省电子政务信息共享@@交换平台@@进行共享@@交换@@,公共信息资源开放@@应当通过省政府数据开放@@平台@@向社会统一开放@@@@。
公共机构在共享@@@@@@、开放@@和@@使用@@公共信息资源过程中@@, 应当遵循制度约束和@@技术支撑并重原则@@@@,将安全使用@@管理要求落到实处@@,建立并不断完善相应的长效机制@@,提高数据安全管理水平和@@技术能力@@@@。对敏感数据应当采取相应措施进行保护@@。
实施公共信息资源安全使用@@管理@@,应当遵循全覆盖原则@@@@,覆盖信息资源提供@@方@@、使用@@方@@、平台@@管理方和@@监管方等相关责任主体@@@@,覆盖公共信息资源提供@@@@、使用@@、共享@@、开放@@、召回等关键环节@@,覆盖公共机构共享@@@@、开放@@和@@使用@@的所有公共信息资源@@。
第二章@@ 信息资源主体@@@@
第五条@@ 公共信息资源安全使用@@管理涉及信息资源提供@@方@@(以下简称提供方@@)、信息资源使用@@@@方@@(以下简称使用@@方@@@@)、共享@@与开放@@平台@@管理方@@(以下简称平台@@管理方@@)和@@监管方四类主体@@@@。
提供方是指提供公共信息资源共享@@@@@@、开放@@服务@@的公共机构@@;使用@@方@@是指获取@@、处理并利用共享@@@@、开放@@数据的公共机构@@,也包括获取@@、处理并利用开放@@数据的社会组织及个人@@;平台@@管理方是指为提供方和@@使用@@方@@提供公共信息资源共享@@@@@@、开放@@业务支撑的信息资源管理机构@@;监管方是指依照法律法规和@@政策文件的要求对公共信息资源共享@@@@@@、开放@@安全管理实施监督审查和@@指导的管理部门@@。
第六条@@ 省网信部门和@@省信息化主管部门在职责范围内对全省公共信息资源安全使用@@工作进行指导和@@监督@@。省大数据管理机构负责全省公共信息资源安全使用@@管理工作@@,负责全省公共信息资源目录@@、数据分类分级@@@@、敏感数据脱敏和@@销毁@@等数据安全管理工作@@。公共机构负责本机构的公共信息资源安全使用@@管理工作@@。各市@@县@@政府要加强对本辖区公共信息资源安全使用@@管理工作@@。
第七条@@ 公共机构应当明确公共信息资源共享@@@@@@、开放@@数据安全相关责任人@@,指定专人负责本单位数据安全审计工作@@。各公共机构应建立数据安全使用@@管理责任制度@@,发现数据安全重大风险或事故@@,应及时报告省信息化主管部门@@、省网信部门和@@平台@@管理方@@,并积极配合处理@@。
第八条@@ 公共机构应切实加强本单位公共信息资源的分类和@@分级工作@@,并采取相应的安全防护措施@@。公共信息资源分类方法参照@@《国家发展改革委@@ 中央网信办关于印发@@〈政务信息资源目录编制指南@@(试行@@)〉的通知@@》(发改高技@@〔2017〕1272号@@)。公共信息资源分级应根据业务属性要求@@,在共享@@@@、开放@@中考虑数据在被破坏@@、非法使用@@或泄露@@后对个人及企业权益@@、社会公共利益@@、国家安全可能造成的危害程度进行分级@@,界定数据敏感属性@@。
具体分级方法及安全防护策略参见附@@件@@@@。
第三章@@ 信息资源提供@@
第九条@@ 提供方应当制定公共信息资源共享@@@@和@@开放@@计划@@,实行目录管理制度@@@@,做好本部门公共信息资源共享@@@@和@@开放@@目录登记@@、审核@@、发布@@、更新等工作的管理@@,确保目录内容的完整性@@@@、逻辑的一致性@@、命名的规范性@@。
第十条@@ 公共信息资源共享@@@@、开放@@实行发布@@注册制度@@,提供方应将经审核@@确认的公共信息资源共享@@@@目录通过省电子政务信息共享@@交换平台@@进行发布@@注册@@,开放@@数据通过省政府数据开放@@平台@@进行发布@@注册@@。注册内容应包含信息资源名称@@@@、信息资源代码@@、提供方名称@@、提供方代码@@、信息资源摘要@@、信息资源格式@@、信息项名称@@、数据类型@@、共享@@类型@@、共享@@条件@@、共享@@方式@@、开放@@属性@@、分类分级@@、更新周期@@、发布@@日@@期和@@关联资源代码等@@。
第十一条@@ 提供方向平台@@管理方进行发布@@注册时@@,其身份得到有效鉴别验证后方可有权向省电子政务信息共享@@交换平台@@和@@省政府数据开放@@平台@@发布@@信息资源@@。无条件共享@@@@、开放@@的信息资源@@,提供方应向平台@@管理方整体授权@@,由平台@@管理方向使用@@方@@提供共享@@@@、开放@@服务@@。
第十二条@@ 提供方应在公共信息资源共享@@@@和@@开放@@前自行开展风险评估@@,对敏感数据应当采用数据加密方式和@@密码算法等技术手段进行加密存储保护@@,必要时可进行分级分域存储@@。
第十三条@@ 提供方应制定完备的敏感数据脱敏规则@@和@@流程@@,以保证数据脱敏工作执行的规范性和@@有效性@@;对敏感数据进行脱敏时@@,应结合使用@@方@@申请的业务需求进行相应脱敏@@。
第十四条@@ 提供方应定期维护共享@@和@@开放@@的公共信息资源@@@@,确保所提供数据的准确性@@、完整性@@、时效性@@、可用性@@,建立并落实数据质量控制机制@@,对问题@@数据或过期数据应及时进行数据更新@@、召回或销毁@@@@,并通过省电子政务信息共享@@交换平台@@和@@省政府数据开放@@平台@@发布@@数据更新@@、召回或销毁@@@@通告@@,加强对数据的安全审计@@。
第四章@@ 信息资源使用@@@@
第十五条@@ 公共信息资源共享@@@@、开放@@实行使用@@注册登记制度@@。使用@@方@@对公共信息资源的使用@@@@,须通过省电子政务信息共享@@交换平台@@和@@省政府数据开放@@平台@@进行注册登记@@,经平台@@管理方进行有效鉴别验证后方可申请使用@@公共信息资源@@。使用@@方@@可通过公共信息资源共享@@@@目录和@@开放@@目录分别查询所需的信息资源@@,根据自身业务需要向平台@@管理方提出使用@@申请@@。
第十六条@@ 对于有条件共享@@@@、开放@@的公共信息资源@@,使用@@方@@须向提供方提出使用@@申请@@,经提供方审核@@通过后使用@@方@@方可使用@@@@数据@@。申请内容包括使用@@申请信息项@@、申请机构名称@@、机构代码@@、资源名称@@、资源类别@@、提供方名称@@、申请依据@@说明@@(行政依据@@@@、工作参考@@、数据校核@@、业务协调等@@)、需求字段@@、需求时效@@、采用的安全保障措施等@@。
第十七条@@ 对于无条件共享@@@@@@、开放@@的公共信息资源@@,使用@@方@@向平台@@管理方提出使用@@申请后@@,即可获取和@@使用@@@@。
第十八条@@ 使用@@方@@有义务对获取的共享@@@@、开放@@的公共信息资源@@作基本校核@@,发现有疑义或错误的@@,应及时向平台@@管理方反馈@@,并配合开展数据召回@@、更新和@@销毁@@等操作@@。对有问题@@的数据@@,使用@@方@@接到通告后应及时进行相关数据更新@@、销毁@@,并向省电子政务信息共享@@交换平台@@和@@省政府数据开放@@平台@@反馈处理结果@@。
第十九条@@ 数据使用@@应遵循@@“最小够用@@”的原则@@@@,使用@@方@@应当按照@@提供方发布@@的共享@@@@、开放@@公共信息资源的数据类型@@@@、级别等安全管理要求进行合理共享@@使用@@@@,并采取相应的安全管理策略和@@技术手段@@,对使用@@的公共信息资源在存储@@、传输@@、应用等过程进行有效管理@@。
使用@@方@@申请使用@@敏感数据时@@,应遵循最小化原则@@@@,仅申请使用@@本机构履职所需的必要数据@@。原则@@上能通过查询@@、校验方式@@满足业务开展需要的应采用查询@@、校验方式@@。
使用@@方@@获取的共享@@@@、开放@@信息资源@@,只能按照@@明确的使用@@用途用于本机构履行职责需要@@,未经授权不得以直接或间接改变数据形式等方式转给第三方@@,也不得用于或变相用于其他目的@@,不得擅自向社会发布@@所获取的信息资源@@。使用@@方@@应加强共享@@@@、开放@@信息资源@@使用@@环节的日@@志审计@@。
第二十条@@ 使用@@方@@不能随意扩大敏感数据使用@@范围@@@@、改变敏感数据使用@@目的@@,并控制敏感数据知悉范围@@。使用@@方@@应建立适当的敏感数据安全保障手段@@,将敏感数据分级分域存储@@。对敏感数据的操作应复合采用两种或两种以上的鉴别技术进行身份认证@@。对敏感类数据的使用@@应经过二次授权@@,按照@@最小授权原则@@@@,严格限制敏感数据批量修改@@、复制@@、下载等重要操作权限@@,采用技术手段防止敏感数据在未授权条件下通过下载@@、复制@@、截屏等方式实现数据输出@@。
使用@@方@@应对敏感数据访问及使用@@处理全过程进行安全审计@@,防止非授权访问@@、篡改@@或删除审计记录@@,及时处理审计过程中发现的敏感数据违规使用@@@@、滥用等情况@@,审计过程形成的记录应能对安全事件的处置@@、应急响应和@@事后调查提供支撑@@,在发生任何异常访问时能够快速追踪溯源@@。
使用@@方@@应建立敏感数据销毁@@管理机制@@,在敏感数据过期或失效后@@,以不可逆方式进行销毁@@处理@@;同时应对数据销毁@@处理过程相关的操作进行记录@@,以满足安全审计的要求@@。
第五章@@ 信息资源平台@@管理@@
第二十一条@@ 平台@@管理方应完善平台@@安全管理制度@@和@@数据保护措施@@,采用安全可靠的产品和@@服务@@,完善数据管控@@、属性管理@@、身份识别@@、行为追溯@@、黑名单等管理措施@@,健全防篡改@@@@、防泄露@@@@、防攻击@@、防病毒@@、防越权存取等安全防护体系@@,保障公共信息资源在共享@@@@和@@开放@@环节的安全可控@@。
第二十二条@@ 平台@@管理方应当对提供方和@@使用@@方@@注册登记的身份进行有效鉴别和@@验证确认@@;平台@@管理方应如实记录并妥善保存共享@@@@、开放@@数据发布@@注册@@、使用@@登记以及变更通告的原始记录@@,不得修改@@、删除或泄露@@原始记录数据@@,对共享@@@@、开放@@信息资源@@的流动状况实施监测@@,实现可追踪@@、可考核和@@可责任认定@@;跟踪和@@记录敏感数据共享@@交换全过程@@,特别是异常访问记录@@,确保能满足溯源需要@@,敏感数据共享@@交换记录日@@志应由省电子政务信息共享@@交换平台@@保存至少@@6个月@@@@。
第二十三条@@ 平台@@管理方应加强共享@@@@、开放@@数据安全防护管理@@。通过数据格式合规性审查@@、数据来源抽取验证等方式@@,对提供方提供的共享@@@@、开放@@信息资源@@进行有效性验证@@;通过技术手段加强开放@@数据下载的实名认证@@、授权等防护管理@@,防止数据被恶意使用@@@@。对于归集在省政府数据中心的数据@@,平台@@管理方应做好数据的安全存储保护@@。对于非归集数据@@,平台@@管理方应为提供方和@@使用@@方@@提供便捷@@、安全的数据共享@@交换通道和@@数据安全支撑服务@@,平台@@可根据需要留存数据@@。
第二十四条@@ 平台@@管理方在处理敏感数据共享@@交换时@@,可对提供方和@@使用@@方@@复合采用用户名@@/口令@@、一次性口令@@@@、数字证书@@、标@@识密码@@、生物特征等两种或两种以上鉴别技术进行身份鉴别@@,以增强安全性@@。采用加密机制保证数据传输@@通道安全@@,保证传输@@数据的保密性和@@完整性@@@@。在共享@@@@交换完成后应清除通道历史缓存数据@@。
第二十五条@@ 平台@@管理方应当统筹建立公共信息资源安全监测手段@@、应急响应预案@@、事件处置联动机制和@@应急处置团队@@,加强公共信息资源运行状况的安全监控和@@巡检巡查@@,加强应急处置专门团队的能力培训和@@应急演练@@,及时发现安全隐患@@,避免发生数据泄露@@@@、违法违规使用@@和@@变换等重大安全事件@@。对于归集在平台@@上的公共信息资源@@,平台@@管理方应建立应急处置和@@备份恢复机制@@,加强数据安全监测预警和@@态势感知能力建设@@。发现数据安全重大风险或发生安全事件@@,应及时报告监管方@@,并积极配合处理@@。
第二十六条@@ 平台@@管理方要做好共享@@@@、开放@@数据的使用@@审计工作@@,每六个月@@@@开展对平台@@的安全审计@@,采取必要的技术手段支撑数据可追溯@@、可使用@@@@、可校核@@、可召回@@。
第六章@@ 监督管理@@
第二十七条@@ 省公共信息资源共享@@@@@@、开放@@数据安全监管工作实行全省统筹@@、各部门与各地区分责的机制@@。
第二十八条@@ 省网信部门负责全省公共信息资源共享@@@@@@@@、开放@@数据安全监管工作的统筹协调@@;省信息化主管部门负责省公共信息资源共享@@@@@@@@、开放@@业务中公共信息资源安全使用@@的监管工作@@;省公安厅负责省公共信息资源共享@@@@@@@@、开放@@相关部门信息系统等级保护情况及网络攻击等专项监管工作@@;省国家保密局负责省公共信息资源共享@@@@@@@@、开放@@数据安全保密管理方面的专项监管工作@@;省密码管理局负责省公共信息资源共享@@@@@@@@、开放@@工作中密码应用专项监管工作@@;各市@@县@@政府信息化主管部门负责督促检查本辖区公共信息资源共享@@@@@@、开放@@数据安全管理工作落实情况@@。
第二十九条@@ 监管方应建立公共信息资源共享@@@@@@、开放@@数据安全监督管理@@制度@@,定期对公共机构信息资源安全使用@@管理制度@@及其共享@@@@、开放@@工作进行安全审查@@;不定期对平台@@管理方数据安全保障措施@@、技术能力@@、管理制度@@、应急预案等建设情况进行安全检查@@;建立数据安全监督考核机制@@,定期对公共机构信息资源共享@@@@、开放@@工作进行数据安全监督考核评估@@,对本办法的落实情况进行监督管理@@@@。
监管方应及时总@@结经验@@,提出公共信息资源安全使用@@管理改进性意见@@,不断优化管理办法@@。
监管方应当建立健全敏感数据安全使用@@监督检查机制@@,各市@@县@@政府对本辖区内敏感数据安全使用@@情况进行定期监督检查@@,检查结果应及时报告监管方@@@@。
第三十条@@ 鼓励各公共机构探索@@安全可靠的新技术手段保障公共信息资源安全@@。各公共机构根据业务需要@@,可依托安全可靠的外部专业机构提供数据安全使用@@管理支撑服务@@,但须同时做好外部机构的安全保密管理监督工作@@,确保公共信息资源共享@@@@@@、开放@@的安全@@。
第七章@@ 附@@ 则@@
第三十一条@@ 公共机构之间公共信息资源共享@@@@交换及公共信息资源开放@@须依托省电子政务信息共享@@交换平台@@和@@省政府数据开放@@平台@@进行@@,擅自通过其他方式进行共享@@交换及开放@@@@,需承担相关责任@@。
对提供不准确@@、不完整公共信息资源共享@@@@@@、开放@@目录和@@信息资源的@@,以及未按照@@规定时限发布@@@@、更新公共信息资源共享@@@@@@、开放@@目录和@@信息资源所造成的责任@@,由提供方负责@@。
使用@@方@@未按要求对所获取的信息资源进行有效防护@@,未严格按照@@约定的使用@@目的@@、使用@@范围@@、传输@@载体等规定@@造成的责任@@,由使用@@方@@负责@@。
平台@@管理方未经授权擅自将公共信息资源提供@@给使用@@方@@或对外开放@@所造成的责任@@,由平台@@管理方负责@@。
第三十二条@@ 违反@@本办法相关规定@@,在共享@@@@、开放@@工作中造成公共信息资源泄露@@特别是敏感数据泄露@@等安全事件的@@,监管方依照数据追溯报告@@,按照@@“谁提供@@,谁负责@@”“谁经手@@,谁使用@@@@,谁管理@@,谁负责@@”的原则@@@@定位具体的直接责任主体@@@@,以及关联责任主体@@@@。
公共机构应当建立数据安全事故报告制度@@,做好应急预案@@。对未履行数据安全保护义务@@,安全管理责任落实不到位@@,存在较大安全风险或发生安全事件的@@,监管方将予以警告并责令其整改@@。拒不改正或者导致危害数据安全产生不良后果的@@,按照@@相关行政规章予以追责@@。违反@@《中华人民共和@@国网络安全法@@》等法律@@、法规的@@,承担相应的法律责任@@。
第三十三条@@ 本办法由省信息化主管部门负责解释@@。
第三十四条@@ 本办法自印发之日@@起施行@@。
附@@件@@:海南省公共信息资源分级体系表@@
