海南省人民政府办公厅关于印发海南省公共信息资源安全使用管理办法的通知
琼府办〔2019〕18号
各市、县、自治县人民政府,省政府直属各单位:
《海南省公共信息资源安全使用管理办法》已经省政府同意,现印发给你们,请认真贯彻执行。
海南省人民政府办公厅
2019年7月22日
(此件主动公开)
海南省公共信息资源安全使用管理办法
第一章 总 则
第一条 为规范和促进海南省公共信息资源共享和开放,保障共享和开放安全有序,更好地发挥数据价值,提升政府治理能力和公共服务水平,依据《中华人民共和国网络安全法》、《国务院关于印发政务信息资源共享管理暂行办法的通知》(国发〔2016〕51号)、《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)和《海南省信息化条例》、《海南省公共信息资源管理办法》等规定,结合本省实际,制定本办法。
第二条 公共信息资源安全使用管理是指公共信息资源共享、开放等活动中,为防范公共信息资源遭受攻击、泄露、窃取、篡改、毁损、非法使用等风险,所采取的监测、防御、处置和监管等管理策略和技术措施。
第三条 本办法用于规范在本行政区域内履职或开展生产经营活动的公共机构共享、开放和使用公共信息资源的行为。社会组织及个人使用开放数据适用本办法。
涉及国家秘密的数据活动,按国家相关保密法律法规的有关规定执行。
第四条 公共信息资源共享交换应当通过省电子政务信息共享交换平台进行共享交换,公共信息资源开放应当通过省政府数据开放平台向社会统一开放。
公共机构在共享、开放和使用公共信息资源过程中, 应当遵循制度约束和技术支撑并重原则,将安全使用管理要求落到实处,建立并不断完善相应的长效机制,提高数据安全管理水平和技术能力。对敏感数据应当采取相应措施进行保护。
实施公共信息资源安全使用管理,应当遵循全覆盖原则,覆盖信息资源提供方、使用方、平台管理方和监管方等相关责任主体,覆盖公共信息资源提供、使用、共享、开放、召回等关键环节,覆盖公共机构共享、开放和使用的所有公共信息资源。
第二章 信息资源主体
第五条 公共信息资源安全使用管理涉及信息资源提供方(以下简称提供方)、信息资源使用方(以下简称使用方)、共享与开放平台管理方(以下简称平台管理方)和监管方四类主体。
提供方是指提供公共信息资源共享、开放服务的公共机构;使用方是指获取、处理并利用共享、开放数据的公共机构,也包括获取、处理并利用开放数据的社会组织及个人;平台管理方是指为提供方和使用方提供公共信息资源共享、开放业务支撑的信息资源管理机构;监管方是指依照法律法规和政策文件的要求对公共信息资源共享、开放安全管理实施监督审查和指导的管理部门。
第六条 省网信部门和省信息化主管部门在职责范围内对全省公共信息资源安全使用工作进行指导和监督。省大数据管理机构负责全省公共信息资源安全使用管理工作,负责全省公共信息资源目录、数据分类分级、敏感数据脱敏和销毁等数据安全管理工作。公共机构负责本机构的公共信息资源安全使用管理工作。各市县政府要加强对本辖区公共信息资源安全使用管理工作。
第七条 公共机构应当明确公共信息资源共享、开放数据安全相关责任人,指定专人负责本单位数据安全审计工作。各公共机构应建立数据安全使用管理责任制度,发现数据安全重大风险或事故,应及时报告省信息化主管部门、省网信部门和平台管理方,并积极配合处理。
第八条 公共机构应切实加强本单位公共信息资源的分类和分级工作,并采取相应的安全防护措施。公共信息资源分类方法参照《国家发展改革委
中央网信办关于印发〈政务信息资源目录编制指南(试行)〉的通知》(发改高技〔2017〕1272号)。公共信息资源分级应根据业务属性要求,在共享、开放中考虑数据在被破坏、非法使用或泄露后对个人及企业权益、社会公共利益、国家安全可能造成的危害程度进行分级,界定数据敏感属性。
具体分级方法及安全防护策略参见附件。
第三章 信息资源提供
第九条 提供方应当制定公共信息资源共享和开放计划,实行目录管理制度,做好本部门公共信息资源共享和开放目录登记、审核、发布、更新等工作的管理,确保目录内容的完整性、逻辑的一致性、命名的规范性。
第十条 公共信息资源共享、开放实行发布注册制度,提供方应将经审核确认的公共信息资源共享目录通过省电子政务信息共享交换平台进行发布注册,开放数据通过省政府数据开放平台进行发布注册。注册内容应包含信息资源名称、信息资源代码、提供方名称、提供方代码、信息资源摘要、信息资源格式、信息项名称、数据类型、共享类型、共享条件、共享方式、开放属性、分类分级、更新周期、发布日期和关联资源代码等。
第十一条 提供方向平台管理方进行发布注册时,其身份得到有效鉴别验证后方可有权向省电子政务信息共享交换平台和省政府数据开放平台发布信息资源。无条件共享、开放的信息资源,提供方应向平台管理方整体授权,由平台管理方向使用方提供共享、开放服务。
第十二条 提供方应在公共信息资源共享和开放前自行开展风险评估,对敏感数据应当采用数据加密方式和密码算法等技术手段进行加密存储保护,必要时可进行分级分域存储。
第十三条 提供方应制定完备的敏感数据脱敏规则和流程,以保证数据脱敏工作执行的规范性和有效性;对敏感数据进行脱敏时,应结合使用方申请的业务需求进行相应脱敏。
第十四条 提供方应定期维护共享和开放的公共信息资源,确保所提供数据的准确性、完整性、时效性、可用性,建立并落实数据质量控制机制,对问题数据或过期数据应及时进行数据更新、召回或销毁,并通过省电子政务信息共享交换平台和省政府数据开放平台发布数据更新、召回或销毁通告,加强对数据的安全审计。
第四章 信息资源使用
第十五条 公共信息资源共享、开放实行使用注册登记制度。使用方对公共信息资源的使用,须通过省电子政务信息共享交换平台和省政府数据开放平台进行注册登记,经平台管理方进行有效鉴别验证后方可申请使用公共信息资源。使用方可通过公共信息资源共享目录和开放目录分别查询所需的信息资源,根据自身业务需要向平台管理方提出使用申请。
第十六条 对于有条件共享、开放的公共信息资源,使用方须向提供方提出使用申请,经提供方审核通过后使用方方可使用数据。申请内容包括使用申请信息项、申请机构名称、机构代码、资源名称、资源类别、提供方名称、申请依据说明(行政依据、工作参考、数据校核、业务协调等)、需求字段、需求时效、采用的安全保障措施等。
第十七条 对于无条件共享、开放的公共信息资源,使用方向平台管理方提出使用申请后,即可获取和使用。
第十八条 使用方有义务对获取的共享、开放的公共信息资源作基本校核,发现有疑义或错误的,应及时向平台管理方反馈,并配合开展数据召回、更新和销毁等操作。对有问题的数据,使用方接到通告后应及时进行相关数据更新、销毁,并向省电子政务信息共享交换平台和省政府数据开放平台反馈处理结果。
第十九条 数据使用应遵循“最小够用”的原则,使用方应当按照提供方发布的共享、开放公共信息资源的数据类型、级别等安全管理要求进行合理共享使用,并采取相应的安全管理策略和技术手段,对使用的公共信息资源在存储、传输、应用等过程进行有效管理。
使用方申请使用敏感数据时,应遵循最小化原则,仅申请使用本机构履职所需的必要数据。原则上能通过查询、校验方式满足业务开展需要的应采用查询、校验方式。
使用方获取的共享、开放信息资源,只能按照明确的使用用途用于本机构履行职责需要,未经授权不得以直接或间接改变数据形式等方式转给第三方,也不得用于或变相用于其他目的,不得擅自向社会发布所获取的信息资源。使用方应加强共享、开放信息资源使用环节的日志审计。
第二十条 使用方不能随意扩大敏感数据使用范围、改变敏感数据使用目的,并控制敏感数据知悉范围。使用方应建立适当的敏感数据安全保障手段,将敏感数据分级分域存储。对敏感数据的操作应复合采用两种或两种以上的鉴别技术进行身份认证。对敏感类数据的使用应经过二次授权,按照最小授权原则,严格限制敏感数据批量修改、复制、下载等重要操作权限,采用技术手段防止敏感数据在未授权条件下通过下载、复制、截屏等方式实现数据输出。
使用方应对敏感数据访问及使用处理全过程进行安全审计,防止非授权访问、篡改或删除审计记录,及时处理审计过程中发现的敏感数据违规使用、滥用等情况,审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑,在发生任何异常访问时能够快速追踪溯源。
使用方应建立敏感数据销毁管理机制,在敏感数据过期或失效后,以不可逆方式进行销毁处理;同时应对数据销毁处理过程相关的操作进行记录,以满足安全审计的要求。
第五章 信息资源平台管理
第二十一条 平台管理方应完善平台安全管理制度和数据保护措施,采用安全可靠的产品和服务,完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施,健全防篡改、防泄露、防攻击、防病毒、防越权存取等安全防护体系,保障公共信息资源在共享和开放环节的安全可控。
第二十二条 平台管理方应当对提供方和使用方注册登记的身份进行有效鉴别和验证确认;平台管理方应如实记录并妥善保存共享、开放数据发布注册、使用登记以及变更通告的原始记录,不得修改、删除或泄露原始记录数据,对共享、开放信息资源的流动状况实施监测,实现可追踪、可考核和可责任认定;跟踪和记录敏感数据共享交换全过程,特别是异常访问记录,确保能满足溯源需要,敏感数据共享交换记录日志应由省电子政务信息共享交换平台保存至少6个月。
第二十三条 平台管理方应加强共享、开放数据安全防护管理。通过数据格式合规性审查、数据来源抽取验证等方式,对提供方提供的共享、开放信息资源进行有效性验证;通过技术手段加强开放数据下载的实名认证、授权等防护管理,防止数据被恶意使用。对于归集在省政府数据中心的数据,平台管理方应做好数据的安全存储保护。对于非归集数据,平台管理方应为提供方和使用方提供便捷、安全的数据共享交换通道和数据安全支撑服务,平台可根据需要留存数据。
第二十四条 平台管理方在处理敏感数据共享交换时,可对提供方和使用方复合采用用户名/口令、一次性口令、数字证书、标识密码、生物特征等两种或两种以上鉴别技术进行身份鉴别,以增强安全性。采用加密机制保证数据传输通道安全,保证传输数据的保密性和完整性。在共享交换完成后应清除通道历史缓存数据。
第二十五条 平台管理方应当统筹建立公共信息资源安全监测手段、应急响应预案、事件处置联动机制和应急处置团队,加强公共信息资源运行状况的安全监控和巡检巡查,加强应急处置专门团队的能力培训和应急演练,及时发现安全隐患,避免发生数据泄露、违法违规使用和变换等重大安全事件。对于归集在平台上的公共信息资源,平台管理方应建立应急处置和备份恢复机制,加强数据安全监测预警和态势感知能力建设。发现数据安全重大风险或发生安全事件,应及时报告监管方,并积极配合处理。
第二十六条 平台管理方要做好共享、开放数据的使用审计工作,每六个月开展对平台的安全审计,采取必要的技术手段支撑数据可追溯、可使用、可校核、可召回。
第六章 监督管理
第二十七条 省公共信息资源共享、开放数据安全监管工作实行全省统筹、各部门与各地区分责的机制。
第二十八条 省网信部门负责全省公共信息资源共享、开放数据安全监管工作的统筹协调;省信息化主管部门负责省公共信息资源共享、开放业务中公共信息资源安全使用的监管工作;省公安厅负责省公共信息资源共享、开放相关部门信息系统等级保护情况及网络攻击等专项监管工作;省国家保密局负责省公共信息资源共享、开放数据安全保密管理方面的专项监管工作;省密码管理局负责省公共信息资源共享、开放工作中密码应用专项监管工作;各市县政府信息化主管部门负责督促检查本辖区公共信息资源共享、开放数据安全管理工作落实情况。
第二十九条 监管方应建立公共信息资源共享、开放数据安全监督管理制度,定期对公共机构信息资源安全使用管理制度及其共享、开放工作进行安全审查;不定期对平台管理方数据安全保障措施、技术能力、管理制度、应急预案等建设情况进行安全检查;建立数据安全监督考核机制,定期对公共机构信息资源共享、开放工作进行数据安全监督考核评估,对本办法的落实情况进行监督管理。
监管方应及时总结经验,提出公共信息资源安全使用管理改进性意见,不断优化管理办法。
监管方应当建立健全敏感数据安全使用监督检查机制,各市县政府对本辖区内敏感数据安全使用情况进行定期监督检查,检查结果应及时报告监管方。
第三十条 鼓励各公共机构探索安全可靠的新技术手段保障公共信息资源安全。各公共机构根据业务需要,可依托安全可靠的外部专业机构提供数据安全使用管理支撑服务,但须同时做好外部机构的安全保密管理监督工作,确保公共信息资源共享、开放的安全。
第七章 附 则
第三十一条 公共机构之间公共信息资源共享交换及公共信息资源开放须依托省电子政务信息共享交换平台和省政府数据开放平台进行,擅自通过其他方式进行共享交换及开放,需承担相关责任。
对提供不准确、不完整公共信息资源共享、开放目录和信息资源的,以及未按照规定时限发布、更新公共信息资源共享、开放目录和信息资源所造成的责任,由提供方负责。
使用方未按要求对所获取的信息资源进行有效防护,未严格按照约定的使用目的、使用范围、传输载体等规定造成的责任,由使用方负责。
平台管理方未经授权擅自将公共信息资源提供给使用方或对外开放所造成的责任,由平台管理方负责。
第三十二条 违反本办法相关规定,在共享、开放工作中造成公共信息资源泄露特别是敏感数据泄露等安全事件的,监管方依照数据追溯报告,按照“谁提供,谁负责”“谁经手,谁使用,谁管理,谁负责”的原则定位具体的直接责任主体,以及关联责任主体。
公共机构应当建立数据安全事故报告制度,做好应急预案。对未履行数据安全保护义务,安全管理责任落实不到位,存在较大安全风险或发生安全事件的,监管方将予以警告并责令其整改。拒不改正或者导致危害数据安全产生不良后果的,按照相关行政规章予以追责。违反《中华人民共和国网络安全法》等法律、法规的,承担相应的法律责任。
第三十三条 本办法由省信息化主管部门负责解释。
第三十四条 本办法自印发之日起施行。
附件:海南省公共信息资源分级体系表
海南省公共信息资源分级体系表
数据级别 |
影响程度 |
敏感属性 |
开放属性 |
共享属性 |
安全防护策略 |
1级 |
数据泄露后无危害 |
非敏感数据 |
无条件开放 |
无条件共享 |
1.实体身份认证; 2.数据完整性保护; 3.安全审计。 |
2级 |
数据泄露后,可能仅对特定公众和群体产生不利影响 |
非敏感数据 |
授权开放/ 不开放 |
无条件共享 |
1.对数据进行分级标识; 2.分级存储; 3.实体身份认证; 4.数据完整性保护; 5.安全审计; 6.数据共享交换监管; 7.数据授权/鉴权; 8.数据传输保护(如:VPN、SSL、HTTPS、FTPS); 9.数据来源验证。 |
3级 |
数据泄露后,可能会对个人重大利益、企业正常运作、社会公共服务等造成损害 |
低敏感数据 |
授权开放/ 不开放 |
有条件共享 |
1.对数据进行分级标识; 2.分级存储; 3.实体身份认证; 4.数据完整性保护; 5.安全审计; 6.数据共享交换监管; 7.数据授权/鉴权; 8.数据传输保护(如:VPN、SSL、HTTPS、FTPS); 9.数据来源验证; 10.数据存储保护; 11.敏感数据脱敏。 |
4级 |
数据泄漏后,可能会危及个人生命安全、经济运行和社会稳定、国家安全等 |
高敏感数据 |
不开放 |
不共享 |
1.对数据进行分级标识; 2.分级存储; 3.实体身份认证; 4.数据完整性保护; 5.安全审计; 6.数据授权/鉴权; 7.数据传输保护(如:VPN、SSL、HTTPS、FTPS); 8.数据来源验证; 9.数据存储保护; 10数据源加密; 11.敏感数据脱敏; 12.时间戳; 13.数据使用过程管控。 |