各区、县、自治县人民政府，铜仁高新区、大龙开发区管委会，市政府各工作部门:

《铜仁市政务数据安全管理实施细则》已经市人民政府同意，现印发给你们，请认真抓好贯彻执行。

                                                           铜仁市人民政府办公室

                                                                2025年3月5日

铜仁市政务数据安全管理实施细则

第一章  总  则

第一条  为践行总体国家安全观，加强政务数据安全管理，建立健全政务数据安全保障体系，预防政务数据安全事件发生，根据《网络安全法》《密码法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《贵州省大数据安全保障条例》《贵州省政务数据资源管理办法》《铜仁市数据安全应急预案》等法律、法规和有关规定，结合铜仁市实际，制定本细则。

第二条  本细则所称政务部门（单位）是指政府部门和法律法规授权具有管理公共事务职能的组织。

本细则所称政务数据是指各级政府部门在履职过程中收集、生成、存储、管理的各类数据资源，包括政府部门直接或通过第三方依法采集、依法授权管理的和因履职需要依托政务信息系统形成的数据资源等。

本细则所称政务数据安全是指通过采取必要措施，确保政务数据处于有效保护和合法利用状态，以及具备保障持续安全状态的能力。

政务信息系统是由政务部门建设、运行或使用的，用于支持政务部门工作或履行其职能的各类信息系统。

第三条  本细则适用于铜仁市各级政务部门的非涉密政务数据收集、存储、使用、加工、传输、提供、公开和销毁等行为及相关管理工作，涉及国家秘密和工作秘密的政务数据，按照相关法律、法规、规章、标准执行。

第四条  实施政务数据安全管理，应当坚持总体国家安全观，坚持统一协调、统筹规划，分级管理、分工负责，社会监督、行业自律，包容审慎、支持创新的原则，坚持安全与发展并重，管理与技术统筹兼顾。

第五条  鼓励开展政务数据安全知识宣传普及、教育培训，增强全社会政务数据安全意识，提高政务数据安全风险防范能力。

第二章  职责分工

第六条  铜仁市人民政府统一领导全市政务数据安全管理工作。区（县）人民政府，大龙开发区、铜仁高新区管委会负责本辖区政务数据安全管理工作。

第七条  网信部门负责政务数据安全的统筹协调、检查指导和监督管理等工作。公安、保密、大数据和国家安全机关等部门按照本细则和有关法律、法规、规章的规定，在各自职责范围内承担政务数据安全监管职责。

第八条  市大数据局作为我市政务数据主管部门，负责组织、指导和协调全市政务数据安全统筹管理工作，履行下列职责：

（一）依照国家、省、市政务数据安全法律、法规、规章和标准，制定我市政务数据安全相关政策，指导各级各部门开展政务数据安全工作，研究解决涉及政务数据安全的重大事项，建立考核评价制度，监督本级各部门政务数据安全规划和建设。

（二）会同网信、保密、公安等部门建立政务数据安全管理专家队伍，组织开展政务数据安全检查、风险评估和等级保护建设工作，协调、处理政务数据安全隐患和事件。

（三）会同网信、保密、公安等部门建立政务数据安全监测预警、信息通报和应急处置等协同联动机制，通报政务数据安全信息，协助调查处理重大政务数据安全事件。

（四）牵头建设政务数据安全保障体系，组建市政务数据安全应急处置队伍，构建安全保障机制。

（五）健全完善政务数据分类分级安全管理制度，为政务数据安全管理和安全资源配置提供指导。

（六）完成上级交办的其他政务数据安全工作，指导下级政务数据主管部门开展政务数据安全工作，确保全市政务数据安全管理工作的一致性和有效性。

区（县）数据主管部门按照职责负责本辖区政务数据安全监督管理工作。

第九条  政务部门对本单位建设、运营和维护的政务信息系统及产生的政务数据安全承担主体责任，履行下列职责：

（一）执行国家、省、市政务数据安全法律、法规、规章和标准，履行数据安全保护义务，明确政务数据安全科室、人员和管理机构具体负责，落实政务数据安全责任制。

（二）明确本单位各政务信息系统责任人（一般为建设政务信息系统的科室负责人）和具体经办人，建立政务信息系统的数据安全管理架构，维护好相关信息系统和政务数据的安全，制定制度规范，组织处置政务数据安全事件。

（三）落实和实施访问控制、数据加密、备份恢复等数据安全防护技术措施，开展政务数据处理活动风险评估，有效应对政务数据安全事件，防范违法犯罪活动。

（四）制定政务数据安全事件应急预案，开展本单位政务数据安全应急演练（可结合网络安全应急演练一并进行）。

（五）承担其他法律、法规、规章要求的政务数据安全工作。

第十条  各级财政部门应当支持各级政务部门加强本级政务数据安全经费保障，确保政务数据安全运行。

第三章  建设管理

第十一条  政务部门应建立政务数据安全培训制度，每年至少开展1次政务数据安全意识教育与政务数据设备、系统安全操作基础培训，对信息系统建设、运维人员和政务数据安全管理人员进行专项技能培训，培训计划和培训内容应具有针对性，应包括针对不同岗位工作的数据安全意识、数据安全管理和数据安全技能等方面。

第十二条  政务部门建设政务信息系统应当严格遵守有关法律、法规、标准规范，编制政务数据安全管理方案或措施，建设政务数据安全防护能力，每年至少评估1次政务数据安全运行情况，不断提高政务数据安全防护水平。

第十三条  政务部门委托他人建设、运行、维护政务信息系统，存储、加工政务数据，应当按照国家有关规定经过严格的批准程序，明确受委托方的网络数据处理权限、保护责任等，监督受委托方履行网络数据安全保护义务。

建设、运维、运营单位应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

第十四条  政务部门应当明确收集数据的目的、依据、范围和用途，确保数据收集的合法性、正当性、必要性和业务关联性。对数据收集的环境、设施和技术采取必要的防护措施，确保数据的完整性、一致性和真实性。对在履行职责中知悉的个人隐私、个人信息、商业秘密、重要商业信息等数据应依法予以保密，不得泄露或者向他人非法提供。

第十五条  各级政务部门负责信息系统和数据资源的安全管理，完善本单位信息系统和数据资源安全防护和管理体系建设。加强对服务器上的应用、服务、端口、数据等的安全管理，系统账号按照“最小权限”原则进行分权分域管理，定期更新恶意代码特征库及系统补丁，定期实施漏洞扫描、恶意代码检测和人工渗透测试，并对存在的安全隐患进行及时加固，建立和完善密码保障体系，提升密码安全防护能力。政务部门应保证信息系统的安全性和稳定性，各级保护等级的信息系统，都应当建立相应的日志审计和审查制度，保证审计日志的留存时间不少于180天，并符合《网络数据安全管理条例》中关于数据留存的相关规定。

第十六条  各级各部门原则上不再新建（扩建）数据中心，暂时保留的应逐步向政务云迁移，并按照相关标准完善安全建设，建立健全数据中心安全管理制度，加强日常检查和管理，保障数据中心的物理环境安全、网络安全、数据安全。

第十七条  政务部门应当采取集中管控、用户识别、访问控制、安全审计等技术防护措施，严格落实终端计算机的安全管理。

第十八条  政务部门应当制定并执行数据安全传输策略，采用安全可信通道或数据加密等安全防控措施，确保传输过程可信、可控。对关键传输链路、重要设备节点实行冗余配置，保障数据传输可靠性和网络传输服务可用性。

第十九条  政务部门应当选择安全性能、防护级别与数据安全等级相匹配的存储载体，严格控制PC终端、移动式设备接入、无线接入等网络接入行为，明确接入方式、访问控制、身份鉴别、安全审计等措施要求，形成网络接入日志。

第二十条  各级政务部门应当制定政务数据备份和恢复策略，落实相关灾备措施，重要数据的主管部门应定期进行灾难恢复演练，演练频率不得低于国家或省级相关规定的要求。

第二十一条  政务部门获得的政务数据未经授权不得提供给第三方，不得违规访问、修改、披露、利用、转让、销毁数据来源方的数据资源。

第二十二条  政务部门应当坚持“共享为原则、不共享为例外”的原则，采取加密、脱敏、备份、审计等措施妥善保护政务数据，政务数据使用单位对于获得的共享政务数据须落实同等数据安全管理责任。

第二十三条  政务部门应当履行数据开放安全审查职责，遵循需求导向、分类分级、公平公正、安全可控、统一标准、便捷高效的原则，按照规定及时、准确地开放政务数据。

第二十四条  销毁数据应当根据数据安全保护管理需要，合理确定销毁方式和销毁要求。销毁公共数据、涉及商业秘密和个人信息等重要数据的，应当进行安全风险评估。

第二十五条  政务部门为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第二十六条  政务部门应当遵循统一的政务数据分类分级规则，配套差异化的安全控制措施，实现对政务数据的分类分级保护。

第二十七条  政务部门在中华人民共和国境内收集和产生的重要数据应当在境内存储，确需向境外提供的，应当按照《数据出境安全评估办法》及相关法律法规执行，确保数据出境安全。

第四章  制度建设

第二十八条  政务部门应当按照国家相关规定落实网络安全等级保护、商用密码应用等要求，定期开展政务信息系统、数据资源的网络安全等级保护和商用密码应用安全性评估等工作。

第二十九条  政务部门可依法依规委托具有资质的第三方机构，按照规定对政务数据处理活动开展风险评估，对发现的问题及时整改。

第三十条  数据主管部门应当建立数据安全风险评估、报告、信息共享、监测预警机制，加强本地区数据安全风险信息的获取、分析、研判、预警工作。

第三十一条  数据主管部门应会同本级网信、保密、公安部门建立政务数据安全检查制度，对政务数据应用的安全性、合规性进行检查。各级政务部门应当配合检查，对检查中发现的问题及时整改。

第五章  应急处置

第三十二条  数据主管部门应会同网信、公安、应急管理和国家安全机关等部门建立应急协调机制，负责全市重大政务数据安全事件处置的组织、指挥和协调。政务部门应按照《铜仁市数据安全应急预案》和上级业务主管部门要求，建立政务数据安全应急处置机制，明确应急工作机构、事件上报流程及应急处置措施，确保在数据安全事件发生时能够迅速、有效地进行处置。

第三十三条  政务部门应按照《铜仁市数据安全应急预案》，定期开展应急演练提高应急响应能力，针对演练中发现的问题，应立即进行整改，并按照规定程序进行通报。

第三十四条  政务数据出现下列情形之一时，政务部门应当按照《铜仁市数据安全应急预案》立即启动应急预案，采取补救措施，并及时向数据主管部门和相关部门报送：

（一）发现重大网络数据安全隐患、漏洞或关键设备节点、重要系统受到攻击遭到破坏的。

（二）公民、法人或者其他组织信息泄露、毁损、丢失，造成重大影响或经济损失的。

（三）行政机关及事业单位等网站数据被篡改的。

（四）被国家、省、市政务数据安全主管部门通报事件的。

（五）发生其他可能对政务数据安全造成重大影响的事件。

第六章  责任与监督

第三十五条  政务数据安全实行“一把手负责制”，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，各级各部门对本级本部门政务数据安全负有主体责任，保障政务数据全生命周期安全，各级数据主管部门负有监督管理责任应加强对政务数据安全的监督检查，确保各项安全措施得到有效落实。基于复制、流通、交换等同时存在多个政务数据安全责任人的，分别承担各自安全责任。

第三十六条  各级各部门应建立政务数据资源全生命周期安全防护体系，政务数据实施分类分级管理、资产登记，编制资产清单，明确资产管理责任部门与人员，每年对资产进行至少1次一致性检查并保留检查记录。

第三十七条  违反本细则规定的，按照有关法律、法规、规章处理。侵害公民、法人或者其他组织合法权益的，依法承担民事责任。构成犯罪的，依法追究刑事责任。

第三十八条  数据主管部门在监督检查中发现问题后，根据有关法律法规会同相关部门给出处理结果，并督促被检查部门加快整改。

第三十九条  各政务单位应每年在9月份前开展一次政务数据安全自查，对发现的问题及时进行整改，并将自查结果和整改情况上报本级数据主管部门，数据主管部门适时联合网信、公安等部门进行专项抽查。

第七章  附  则

第四十条  铜仁市企事业单位，如医院、学校、国企等单位持有或依法获得的公共数据安全，可参照本细则执行，确保公共数据的安全管理和保护。

第四十一条  本细则由铜仁市大数据发展管理局负责解释，并根据实际情况进行适时修订和完善。

第四十二条  本细则自发布之日起施行，原《铜仁市政务数据安全管理实施细则》（铜府办发〔2019〕61号）同时废止