临府办字〔2020〕106号

各乡镇人民政府、垦殖场、街道办事处，区政府有关部门：

《临川区政务信息资源安全管理办法》已经区政府研究同意，现印发给你们，请认真遵照执行。

2020年8月25日

临川区政务信息资源安全管理办法

第一章总则

第一条为保障全区政务信息资源安全，明确政务信息资源安全责任，加强政务信息资源安全管理，建立健全政务信息资源安全保障体系，根据《中华人民共和国网络安全法》《抚州市政务信息资源共享管理办法》和有关法律、法规的规定，结合本区实际，制定本办法。

第二条本区行政区域内非涉及国家秘密的政务信息资源安全保障及相关活动，应当遵守本办法。

第三条本办法所称政务信息资源，是指各行政事业单位在依法履行职责过程中掌握的信息资源。包括行政事业单位为履行政务职能而采集、加工、使用的信息资源，行政事业单位在办理业务和事项过程中产生的信息资源，以及行政事业单位直接管理的信息资源等。

政务信息资源属于政府所有，由区政务信息化主管部门负责管理、维护和分发。

第四条本办法对政务信息资源的采集、传输、存储、处理、交换、使用、共享、销毁等全生命周期过程进行规范和管理。保障政务信息资源的真实性、完整性、有效性、保密性、可控性并处于安全状态。

第五条实施政务信息资源安全管理，应当坚持正确的网络安全观，遵循统一领导、统筹规划、权责统一的原则。

第六条各行政事业单位按照“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责”的要求，明确专人负责本单位政务信息资源安全管理，建立健全政务信息资源安全管理机构和工作责任制。各行政事业单位的信息安全管理机构、人员情况应按相关规定向同级政务信息化主管部门备案。

第七条任何单位和个人都有维护政务信息资源安全的义务，不得从事危害政务信息资源安全的活动，不得利用政务信息资源从事危害国家安全以及损害国家利益、社会公共利益和个人合法权益的活动。任何单位和个人都有权投诉举报危害政务信息资源安全的行为，有关部门应当对投诉举报予以保密。

第八条为政务提供关键信息基础设施运营者、公共数据平台、基础网络、集中式大数据中心或者系统服务的网络运营者，应当遵守有关法律、法规的规定，建立安全监测预警平台，负责监测数据安全状况，加强对服务对象的数据安全管理，督促其建立安全管理制度，落实安全监测保护技术措施。

第二章安全责任

第九条实行政务信息资源安全责任制，保障政务信息资源全生命周期安全。按照“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责”的原则确定。政务信息资源基于复制、流通、交换等同时存在的多个安全责任人，分别承担各自安全责任。

第十条各行政事业单位应当履行下列职责：

1.明确政务信息资源安全管理负责人，定期对相关人员进行安全教育、技术培训和技能考核；

2.制定和完善政务信息资源安全管理制度，主要包括重要岗位的人员管理、设备管理、系统管理，安全应急预案等制度;

3.加强数据采集、使用、处理权限管理，对批量导出、复制、脱敏、销毁数据等实行审查批准；

4.加强网络运行、访问监测管理，定期开展数据安全检查;

5.采取数据分类、备份和加密等安全措施;

6.按照规定期限留存相关的安全日志；

7.发生数据安全事件时，立即采取措施，保存证据，并及时向行业主管部门和公安机关报告；

8.发现违法发布或者传输信息的，立即停止发布、传输或者采取阻断、拦截等措施，保留有关记录，并及时向行业主管部门和公安机关报告；

9.法律、法规规定的其他职责。

第十一条各行政事业单位政务信息资源安全责任人应当加强数据内容管理，定期清理、审查数据内容，发现其持有、管理、发布的数据含有违法内容的，应当及时予以处理，并采取相关补救措施；超出自身处理权限的，应当立即停止使用，并告知数据提供人。

第十二条关键信息基础设施经营者、公共数据平台、企业数据中心等集中式大数据存储中心以及其他重要单位数据安全责任人，应当定期向行业主管部门报告数据安全情况。

第十三条各级网络安全主管部门定期对发现的安全风险、安全漏洞、安全事件进行通报，限期整改。组织开展信息安全检查工作，对发现的问题和隐患应及时整改。各行政事业单位应每半年组织一次信息安全自查，确保电子政务系统持续安全稳定运行。

第十四条鼓励开展政务信息资源及政务大数据安全知识宣传普及、教育培训，提高数据安全风险防范能力。各行政事业单位应加强对本单位工作人员的信息安全教育，定期开展信息安全培训，提升信息安全工作意识和责任意识。

第三章安全保障

第十五条数据采集阶段。采集数据应当具有合法目的和用途，遵循最小且必要和正当原则，禁止过度采集；科学确定采集对象、范围、内容、方式，依法进行采集，并保证数据的真实性、完整性、保密性。

第十六条数据存储阶段。存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素，选择相应安全性能和防护级别的系统、介质、设施设备，采取技术和管理措施，保障存储系统和数据安全。

政务云平台等集中式大数据存储中心，应当根据国家相关技术标准、规范要求和保障数据安全需要，通过信息安全等级保护第三级相关的安全审查，建立应急处理和灾难恢复机制，制定事故应急响应和支援处理措施。

数据管理部门应建立身份认证机制、存取访问控制机制和信息审计跟踪机制，对数据进行授权管理，设立访问和存储权限，防止越权存取数据。

第十七条数据传输阶段。传输数据应当合理选择传输渠道，采取必要的安全措施，防止数据被窃取、泄露、篡改。

第十八条数据处理阶段。处理数据应当保护原始数据，不得随意更改、伪造，不得通过恶意处理导致数据毁灭性更改和永久性丢失。

第十九条数据交换阶段。交换数据应当维护数据的完整性、可用性。交换数据应当合法进行，交换双方不得假冒他人或者以其他方式骗取数据交换。

第二十条数据共享阶段。各行政事业单位应加强政务信息资源安全管理，制订信息共享内部工作程序和信息安全管理规章制度，采取有效的技术措施，做好信息安全防范工作。

第二十一条数据使用安全。使用数据应按照规定期限留存相关的安全日志，不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等非法方式获取的数据，不得使用。

第二十二条数据销毁安全。销毁数据应当根据政务信息资源安全保护管理需要，合理确定销毁方式和销毁要求。销毁公共数据、涉及商业秘密和个人信息等重要数据的，应当进行安全风险评估。

第二十三条数据公开安全。各行政事业单位因信息公开、数据开放以及公示、公告等需要公布企业、个人数据的，应当采取脱密、脱敏等措施，防止泄露国家秘密、商业秘密和个人信息，把好信息公开审查关，严格依法办事，切实保障公民、法人和其他社会组织的合法权益。

第四章附则

第二十四条本试行办法由区政务信息化办公室负责解释。

第二十五条本办法自发布之日起施行。

抚州市临川区人民政府办公室              2020年8月25日印发