關(guān)于印發(fā)《寶山區(qū)公共數(shù)據(jù)安全暫行管理辦法》的通知

各鎮(zhèn)人民政府，各街道辦事處，各委、辦、局，寶山城市工業(yè)園區(qū)，寶山工業(yè)園區(qū)，航運經(jīng)濟發(fā)展區(qū)：

??為進一步加強本區(qū)公共數(shù)據(jù)安全，保障數(shù)據(jù)開發(fā)利用，維護國家安全、社會公共利益，區(qū)信息委制定了《寶山區(qū)公共數(shù)據(jù)安全暫行管理辦法》，現(xiàn)予以發(fā)布，請各單位參照執(zhí)行。

??上海市寶山區(qū)信息化委員會

??2021年10月20日

寶山區(qū)公共數(shù)據(jù)安全暫行管理辦法

??第一章 總則

??第一條（目的和依據(jù)）

??為進一步加強本區(qū)公共數(shù)據(jù)安全，保障數(shù)據(jù)開發(fā)利用，維護國家安全、社會公共利益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《上海市公共數(shù)據(jù)和一網(wǎng)通辦管理辦法》等法律法規(guī)，制定本辦法。

??第二條（適用范圍）

??本區(qū)行政區(qū)域內(nèi)公共數(shù)據(jù)的獲取、存儲、處理、共享、應(yīng)用、安全保障和監(jiān)督考核等相關(guān)管理活動，適用本辦法。

??法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

??第三條（定義）

??本辦法所稱的公共數(shù)據(jù)，是指本區(qū)各級行政機關(guān)、履行公共管理和服務(wù)職能的事業(yè)單位(以下統(tǒng)稱區(qū)公共管理和服務(wù)機構(gòu))在依法履職過程中產(chǎn)生的各類數(shù)據(jù)資源，以及通過市區(qū)兩級大數(shù)據(jù)資源平臺獲取的市級或者國家級的各類數(shù)據(jù)資源。

??第四條（管理原則）

??本區(qū)公共數(shù)據(jù)安全管理應(yīng)當(dāng)遵循依法管理、分級分類、規(guī)范有序、需求導(dǎo)向、精準(zhǔn)服務(wù)的原則，堅持保障數(shù)據(jù)安全與發(fā)展并重，積極推進數(shù)據(jù)資源開發(fā)利用，保障數(shù)據(jù)依法有序自由流動。

第二章 職責(zé)分工

??第五條（區(qū)委網(wǎng)信辦職責(zé)）

??區(qū)委網(wǎng)信辦是區(qū)公共數(shù)據(jù)安全主管部門，依照有關(guān)法律、行政法規(guī)的規(guī)定，在職責(zé)范圍內(nèi)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)區(qū)公共數(shù)據(jù)安全和監(jiān)管工作，協(xié)調(diào)處理區(qū)公共數(shù)據(jù)重大安全事件，指導(dǎo)區(qū)公共管理和服務(wù)機構(gòu)建立本單位公共數(shù)據(jù)安全管理制度，加強安全保障，推進關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

??第六條（區(qū)信息委職責(zé)）

??區(qū)信息委負(fù)責(zé)建立區(qū)公共數(shù)據(jù)安全體系和標(biāo)準(zhǔn)規(guī)范，落實區(qū)公共數(shù)據(jù)安全管理制度，加強對區(qū)大數(shù)據(jù)資源平臺的安全管理，負(fù)責(zé)已集中匯聚至區(qū)大數(shù)據(jù)資源平臺的公共數(shù)據(jù)的安全管理，實施數(shù)據(jù)安全技術(shù)防護，定期開展安全測試、風(fēng)險評估和應(yīng)急演練，協(xié)調(diào)處理區(qū)公共數(shù)據(jù)安全事件。

??第七條（區(qū)公共管理和服務(wù)機構(gòu)職責(zé)）

??區(qū)公共管理和服務(wù)機構(gòu)對本機構(gòu)在業(yè)務(wù)開展中獲取、存儲、處理、應(yīng)用的公共數(shù)據(jù)安全負(fù)主體責(zé)任，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強制性要求，履行本機構(gòu)公共數(shù)據(jù)安全保護義務(wù)，建立健全全流程數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責(zé)任，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

第三章 技術(shù)措施

??第八條（數(shù)據(jù)分級）

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)定期根據(jù)《上海市公共數(shù)據(jù)分級指南》（DB31DSJ/Z 005-2020）對本機構(gòu)的公共數(shù)據(jù)資源進行潛在影響評估，定義其公共數(shù)據(jù)資源的安全級別。

??第九條（數(shù)據(jù)獲?。?/p>

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)遵循必要、適度的原則，采取合法、正當(dāng)?shù)姆绞?，按照本機構(gòu)公共數(shù)據(jù)的規(guī)范要求獲取公共數(shù)據(jù)。

??（一）明確數(shù)據(jù)獲取目的、獲取用途、獲取方式、獲取范圍、獲取周期，確保數(shù)據(jù)獲取的合法性、必要性、正當(dāng)性；

??（二）對數(shù)據(jù)獲取的環(huán)境、設(shè)施、技術(shù)采取必要的安全機制和管控機制。

??第十條（數(shù)據(jù)存儲）

??區(qū)公共管理和服務(wù)機構(gòu)的信息系統(tǒng)及其產(chǎn)生的公共數(shù)據(jù)應(yīng)根據(jù)要求統(tǒng)一部署存儲在市區(qū)兩級電子政務(wù)云。區(qū)公共管理和服務(wù)機構(gòu)在履職過程中獲取的公共數(shù)據(jù)資源，應(yīng)按照要求及時把公共數(shù)據(jù)歸集到區(qū)大數(shù)據(jù)資源平臺，由區(qū)信息委按照應(yīng)用需求，實行集中統(tǒng)一管理。

??（一）數(shù)據(jù)存儲要確保存儲的保密性、完整性和可用性；

??（二）對敏感的公共數(shù)據(jù)進行加密存儲。

??第十一條（數(shù)據(jù)處理）

??區(qū)公共管理和服務(wù)機構(gòu)對本機構(gòu)公共數(shù)據(jù)開展數(shù)據(jù)校驗、數(shù)據(jù)治理，應(yīng)當(dāng)按照相關(guān)技術(shù)標(biāo)準(zhǔn)和要求，對公共數(shù)據(jù)進行整理、清洗、脫敏、格式轉(zhuǎn)換等處理，并建立數(shù)據(jù)處理過程中的安全機制，防止數(shù)據(jù)泄露。

??第十二條（數(shù)據(jù)共享）

??區(qū)公共數(shù)據(jù)共享通過區(qū)大數(shù)據(jù)資源平臺實現(xiàn)公共數(shù)據(jù)共享交換。區(qū)公共數(shù)據(jù)共享按照關(guān)聯(lián)和最小夠用原則，以具體的應(yīng)用為基礎(chǔ)，明確數(shù)據(jù)共享的具體業(yè)務(wù)應(yīng)用場景，建立以業(yè)務(wù)應(yīng)用場景為基礎(chǔ)的數(shù)據(jù)共享授權(quán)機制。

??（一）對數(shù)據(jù)共享過程進行監(jiān)控，確保共享數(shù)據(jù)安全合規(guī)，未超出授權(quán)范圍；

??（二）數(shù)據(jù)共享交換應(yīng)建立身份鑒別、數(shù)據(jù)訪問控制、數(shù)據(jù)加密等安全控制措施，并記錄所有的數(shù)據(jù)共享交換的行為記錄。

第四章 運營管控

??第十三條（日常監(jiān)督）

??區(qū)委網(wǎng)信辦、區(qū)信息委在履行職責(zé)中，發(fā)現(xiàn)區(qū)公共管理和服務(wù)機構(gòu)在數(shù)據(jù)安全管理責(zé)任落實不到位，或發(fā)現(xiàn)數(shù)據(jù)活動存在較大安全風(fēng)險的，應(yīng)當(dāng)及時開展督查整改。

??第十四條（數(shù)據(jù)資源平臺安全）

??區(qū)信息委應(yīng)當(dāng)加強區(qū)大數(shù)據(jù)資源平臺的安全管理，建立區(qū)大數(shù)據(jù)資源平臺管控體系和安全認(rèn)證機制，通過身份認(rèn)證、存取訪問控制、信息審計跟蹤等技術(shù)手段，對數(shù)據(jù)進行脫敏管理、加密管理、授權(quán)管理、備份管理等，防止越權(quán)存取數(shù)據(jù)。

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)按照國家有關(guān)規(guī)定，落實相關(guān)信息系統(tǒng)加密、訪問認(rèn)證等安全防護措施，加強數(shù)據(jù)獲取、存儲、處理和使用等全過程的身份鑒別、授權(quán)管理和安全保障，防止信息泄露或者被非法獲取。

??第十五條（數(shù)據(jù)運行管理）

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)在公共數(shù)據(jù)獲取、存儲、處理、共享過程中，加強人員安全管理，強化安全防護，建立公共數(shù)據(jù)分類分級保護、風(fēng)險評估、日常監(jiān)控等管理制度，健全公共數(shù)據(jù)共享的安全審查等工作機制，定期開展公共數(shù)據(jù)安全檢查。

??第十六條（數(shù)據(jù)服務(wù)管理）

??區(qū)公共管理和服務(wù)機構(gòu)委托他人存儲、加工公共數(shù)據(jù)，或者向他人提供公共數(shù)據(jù)的，應(yīng)當(dāng)經(jīng)過嚴(yán)格的審批程序，并應(yīng)當(dāng)監(jiān)督數(shù)據(jù)接收方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。

??第十七條（數(shù)據(jù)安全監(jiān)測）

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)在公共數(shù)據(jù)獲取、存儲、處理、共享、使用過程中加強風(fēng)險監(jiān)控，發(fā)現(xiàn)數(shù)據(jù)相關(guān)安全缺陷、漏洞等風(fēng)險以及數(shù)據(jù)使用異?；蜻`規(guī)行為時，應(yīng)當(dāng)立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)按照規(guī)定及時向區(qū)委網(wǎng)信辦及區(qū)信息委報告。

??第十八條（數(shù)據(jù)風(fēng)險評估）

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)活動定期開展風(fēng)險評估，形成風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量，獲取、存儲、加工、使用的情況、面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等。

??第十九條（數(shù)據(jù)應(yīng)急管理）

??區(qū)公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)建立本機構(gòu)公共數(shù)據(jù)安全應(yīng)急制度，制定有關(guān)公共數(shù)據(jù)安全事件的應(yīng)急預(yù)案并定期組織演練。發(fā)生安全事故時，應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案，迅速采取應(yīng)急措施降低損害程度，防止事故擴大，保存相關(guān)記錄，并按規(guī)定向區(qū)委網(wǎng)信辦和區(qū)信息委部門報告。

??第二十條（違反安全管理規(guī)定的責(zé)任）

??區(qū)公共管理和服務(wù)機構(gòu)及其工作人員未按照本辦法規(guī)定履行安全管理職責(zé)的，由區(qū)政府責(zé)令改正；情節(jié)嚴(yán)重的，由有權(quán)機關(guān)對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

??第五章 附則

??第二十一條（參照執(zhí)行）

??運行經(jīng)費由本區(qū)各級財政保障的其他機關(guān)、團體等單位在依法履行公共管理和服務(wù)職責(zé)過程中產(chǎn)生的各類數(shù)據(jù)資源的管理，參照本辦法執(zhí)行。

??第二十二條（應(yīng)用解釋）

??本管理辦法由區(qū)信息委負(fù)責(zé)解釋。

??第二十三條（施行日期）

??本辦法自十一月一日起施行。