郑州市人民政府关于印发郑州市政务数据安 全管理实施细则的通知 郑政〔2023〕7号 各开发区管委会，各区县（市）人民政府，市人民政府各部 门，各有关单位：现将《郑州市政务数据安全管理实施细则》 印发给你们，请认真贯彻执行。 郑州市人民政府 2023年3月2日 郑州市政务数据安全管理实施细则 第一章总则 第一条为加强政务数据安全管理，建立健全政务数据 安全保障体系，预防政务数据安全事件发生，根据《中 华人民共和国保守国家秘密法》《中华人民共和国网络 安全法》《中华人民共和国数据安全法》《中华人民共 和国个人信息保护法》《中华人民共和国密码法》《关 键信息基础设施安全保护条例》《河南省政务数据安全管理暂行办法》《郑州市政府信息资源共享管理办法》 等法律、法规和有关规定，结合本市实际，制定本细则。 第二条本细则所称政务部门是指我市各级行政机关及 法律、法规授权具有公共事务管理职能的组织。 政务数据是指任何以电子或者其他方式对政务相关信息 的记录。 政务数据安全是指通过采取必要措施，确保政务数据处 于有效保护和合法利用状态，以及具备保障持续安全状 态的能力。 政务信息系统是由政务部门建设、运行或使用的，用于 直接支持政务部门工作或履行其职能的各类信息系统。 第三条本细则适用于我市各级政务部门的非涉密政务 数据收集、存储、传输、共享、开放、使用、销毁等行 为及相关管理工作。涉及国家秘密和工作秘密的政务数 据，按照相关法律、法规、规章、标准执行。 第四条政务数据安全管理要全面贯彻落实总体国家安 全观。采取积极防御、综合防范；统一协调、统筹规划； 分级管理、分工负责的方针，坚持安全与发展并重，管 理与技术统筹兼顾。第五条实行政务数据安全责任制，按照“谁主管谁负责、 谁运行谁负责、谁使用谁负责”的原则，保障政务数据全 生命周期安全。基于复制、流通、交换等同时存在多个 政务数据安全责任人的，分别承担各自安全责任。 第二章职责分工 第六条网信部门负责统筹协调、检查指导和相关监督 管理等工作。公安、保密、国家安全、密码管理、通信 管理等部门按照本细则和有关法律、法规、规章的规定， 在各自职责范围内承担政务数据安全监管职责。 第七条市大数据管理机构作为我市政务数据主管部门， 负责组织、指导和协调本级政务数据安全管理工作，履 行下列职责： （一）依照国家、省、市政务数据安全法律、法规、规 章和标准，编制政务数据安全发展总体规划，制定政务 数据安全标准，建立考核评价制度，指导各政务部门开 展政务数据安全工作； （二）健全完善政务数据分类分级安全管理制度，制定 政务数据分类分级指南，为政务数据安全管理和安全资 源配置提供指导；（三）组织建设和完善政务数据安全保障基础设施，建 立政务数据安全管理与测评机制，健全数据安全专家队 伍； （四）负责组织政务数据安全培训，提升政务数据安全 保障能力； （五）会同网信、公安部门，按照各自职责分工对政务 部门进行政务数据安全检查，对发现的问题提出指导建 议并督促整改； （六）完成上级交办的其他政务数据安全工作，指导下 级政务数据主管部门开展政务数据安全工作； （七）法律、法规、规章规定的其他职责。 第八条区县（市）政务数据主管部门按照职责开展政 务数据安全管理工作，会同本级网信、公安部门开展政 务数据安全检查，建立政务数据安全监测预警、信息通 报和应急处置机制等。 第九条政务部门负责本部门的政务数据安全工作，履 行下列职责： （一）执行国家、省、市政务数据安全法律、法规、规 章和标准，履行数据安全保护义务，明确政务数据安全 负责人和管理机构，落实政务数据安全责任制；（二）制定政务数据安全计划，实施数据安全防护技术 措施，开展政务数据处理活动风险评估，有效应对政务 数据安全事件，防范违法犯罪活动； （三）制定政务数据安全事件应急预案，定期开展应急 演练； （四）建立政务数据安全培训制度，定期组织开展政务 数据安全培训； （五）承担其他法律、法规、规章要求的政务数据安全 工作。 第十条各级财政部门应当加强本级政务数据安全经费 保障，确保政务数据安全运行。 第三章建设与运行 第十一条政务部门建设政务信息系统应当严格遵守有 关法律、法规、标准规范，同步编制政务数据安全建设 方案，同步建设政务数据安全防护系统，同步开展政务 数据安全运行工作，定期评估，不断提高政务数据安全 防护水平。 第十二条政务部门应当编制政务信息系统和政务数据 资源清单，明确管理责任机构与人员，定期按照清单对政务信息系统和政务数据资源进行一致性检查，并保留 检查记录。 第十三条政务部门应当依法确定政务信息系统建设、 运维、运营等单位。建设、维护政务信息系统，存储、 加工政务数据，应当经过严格的批准程序，并应当监督 建设、运维、运营等单位履行相应的数据安全保护义务。 建设、运维、运营单位应当依照法律、法规的规定和合 同约定履行数据安全保护义务，不得擅自留存、使用、 泄露或者向他人提供政务数据。 第十四条政务部门应当依据“谁建设谁负责、谁主管谁 督促、谁使用谁要求”的原则，建立机房管理制度，保障 机房的物理环境安全。 第十五条政务部门应当进行必要的安全性评估工作， 加强对服务器上的应用、服务、端口的安全管理，定期 实施漏洞扫描、恶意代码检测，及时升级系统安全补丁， 完善密码防护系统。 第十六条政务部门应当采取集中管控、用户识别、访 问控制、安全审计等技术防护措施，严格落实终端计算 机的安全管理。第十七条政务部门应当明确收集数据的目的、依据、 范围和用途，确保数据收集的合法性、正当性、必要性 和业务关联性。对数据收集的环境、设施和技术采取必 要的防护措施，确保数据的完整性、一致性和真实性。 对在履行职责中知悉的个人隐私、个人信息、商业秘密、 保密商务信息等数据应依法予以保密，不得泄露或者向 他人非法提供。 第十八条政务部门应当选择安全性能、防护级别与数 据安全等级相匹配的存储载体，严格管控移动存储介质 的使用，防止移动存储介质在不同网络区域之间交叉使 用造成恶意代码的传播和数据泄露。 政务部门应当制定政务数据备份和恢复策略，落实相关 灾备措施，定期进行灾难恢复演练。 第十九条政务部门应当对涉及工作秘密的数据采取脱 敏、加密等处理措施，严格落实政务数据的安全处理机 制。 第二十条政务部门应当制定并执行数据安全传输策略， 采用安全可信通道或数据加密等安全防控措施，确保传 输过程可信、可控。对关键传输链路、重要设备节点实 行冗余配置，保障数据传输可靠性和网络传输服务可用 性。第二十一条政务部门应当坚持“共享为原则、不共享为 例外”的原则，采取加密、脱敏、备份、审计等措施妥善 保护政务数据。政务数据使用单位对于共享的政务数据 须落实同等数据安全管理责任。 第二十二条政务部门使用政务数据应当签订安全保护 协议，明确数据使用的依据、目的、范围、方式及相关 需求，获得的政务数据未经授权不得提供给第三方，不 得擅自用于其他场景。 第二十三条政务部门应当履行数据安全审查职责，遵 循需求导向、分类分级、公平公正、安全可控、统一标 准、便捷高效的原则，按照规定及时、准确地开放政务 数据。 第二十四条政务部门应当制定数据清理和数据销毁制 度，建立数据清理、数据销毁的审批和记录流程，对数 据清理和数据销毁过程进行备案，确保全过程可审计。 第二十五条政务部门应当遵循统一的政务数据分类分 级规则，配套差异化的安全控制措施，实现对政务数据 的分类分级保护。 第二十六条政务部门为履行法定职责处理个人信息， 应当依照法律、行政法规规定的权限、程序进行，不得 超出履行法定职责所必需的范围和限度。