上海闵行区优惠政策

第一章总则第一条为加强公共数据安全管理，维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进大数据发展应用和数字城市建设，提升政府治理能力和公共服务水平，服务经济社会发展和民生改善，根据《中华人民共和国网络安全法》等法律、法规和有关规定，结合本区实际，制定本办法。第二条本办法适用于本区基于计算机相关应用的非涉密公共数据采集与归集、共享与开放、建设与管理相关活动，以及利用网络开展数据收集、存储、传输、处理、使用等活动。涉及国家秘密的公共数据，按照国家有关保密法律、法规和规定执行。第三条公共数据安全管理应当贯穿于公共数据的采集、归集、存储、治理、使用、共享、开放、传输和销毁等生命周期全过程。第二章定义第四条本办法所称公共数据，是指本区各镇、街道、莘庄工业区、各委办局以及履行公共管理和服务职能的事业单位、区属单位、公司（统称为“区内各单位”）在依法履职过程中，采集和产生的各类数据资源。公共数据包括但不仅限于结构化数据、图像视频数据、空间传感数据和流式数据等。第五条本办法所称敏感数据是指泄漏后可能会对国家机关、公民、法人和其他组织造成不良影响的数据和信息。第六条本办法所称工作秘密是指除国家秘密以外的，在公务活动中不得公开扩散，一旦泄露会给本机关、单位的工作带来被动和损害的事项。第七条本办法所称公共数据目录是指通过对数据资源进行规范的元数据描述,按照一定的分类方法进行排序和编码的一组信息,用以描述各个数据资源的特征,以便于对数据资源的检索、定位与获取。第三章管理原则与职责分工第八条本区公共数据管理工作遵循“统筹管理、应归尽归、可享尽享、安全可控”的原则，切实维护国家安全和社会公共安全，保守国家秘密、商业机密和工作秘密，保护个人隐私。第九条区大数据中心负责统筹规划、协调推进、指导监督本区公共数据安全工作，承担区大数据资源平台及其安全保障体系的建设，制定并落实安全保护基础要求，并根据各单位所提附加要求，做好公共数据的归集、治理和共享过程中的安全防护，确保归集后存储于区大数据资源平台公共数据的安全。第十条区大数据中心是公共数据汇聚融合后数据存储、加工的责任主体，明确并落实公共数据汇聚融合过程中和汇聚融合后共享使用的安全防护要求，确保公共数据安全。第十一条区内各单位按照“谁持有、谁负责，谁使用、谁负责”原则，做好公共数据安全保护工作。第十二条区内各单位对职责范围内的公共数据安全管理承担主体责任，履行下列职责：（一）明确本机构安全管理责任组织和人员，负责公共数据安全管理工作；（二）编制本机构公共数据目录，明确数据共享和开放属性,落实分类分级管理制度；（三）制定本机构公共数据安全管理制度和操作规程，落实网络安全等级保护制度；（四）釆取防范计算机病毒和危害网络安全行为、日志记录和监测、数据备份和加密等技术措施，定期开展公共数据安全风险评估；（五）制定公共数据安全应急处置预案，定期组织应急演练;（六）对本机构公共数据服务外包活动开展安全审查；（七）其他公共数据安全管理工作。第十三条区网信、公安、保密、密码管理等部门按照各自职责做好公共数据安全的监督管理指导工作。第四章公共数据处理环境安全第十四条区大数据中心负责电子政务基础设施的统筹规划和统一管理。支撑区大数据资源平台和政务业务系统的网络、云平台系统等基础设施安全应符合《网络安全等级保护基本要求》（GB/T22239-2019）中的等保三级安全要求。第十五条区大数据中心应做好基于区电子政务云承载信息系统的漏洞扫描、代码审计等安全管理措施，以及基于区电子政务云承载信息系统的数据传输检测、应用流量统计等数据传输监管，确保电子政务基础设施之上的数据传输安全和信息系统应用评估。第十六条区内各单位应加强办公终端安全防护，安装恶意代码防护软件并及时更新系统漏洞。第十七条区内各单位处理公共数据的业务系统应统一部署于区电子政务外网，依托区电子政务云强化系统的安全防护能力进行建设。应加强自身应用系统的身份鉴别、访问控制、安全审计、软件容错等技术措施，强化其安全性和可靠性，确保公共数据全生命周期的安全。各单位处理公共数据业务系统必须按照《网络安全法》《信息系统安全等级保护定制指南》（GB/T22240-2008）规定对各自系统进行定级备案并符合《网络安全等级保护基本要求》（GB/T22239-2019）中各自等级安全要求。第五章数据采集安全第十八条区内各单位在依法履行职责过程中需要采集数据的，应当遵循合法、必要、正当的原则，依照法律、行政法规规定的条件和程序进行，在法律、行政法规规定的目的和范围内采集数据。无法律、法规依据，原则上不得釆集公民、法人和其他组织的相关数据。可以通过共享方式获得的数据不得重复采集。第十九条区内各单位确实基于公共管理和服务的需要，需要采集含有个人信息的公共数据时，应当向被采集人公开采集利用规则，明示采集、利用的目的、方式和范围，征得被采集人的同意。第二十条区内各单位应当对数据采集的环境、设施、网络、系统等采取必要的安全防护措施，不得利用私人设备采集公共数据。第二十一条区内各单位按照应对突发事件有关法律、法规规定，可以要求相关单位提供具有公共属性的数据，并向个人釆集应对突发事件相关的数据。突发事件应对结束后，采集单位应当对从相关单位和个人获得的公共数据进行分类评估，将其中涉及国家秘密、商业秘密和个人隐私的公共数据进行封存或者销毁等安全处理，并关停相关数据应用。第六章数据归集安全第二十二条区大数据中心依托区大数据资源平台实现对区内各单位的数据归集。第二十三条区大数据中心提供数据交换设备支持政务外网内的数据归集工作开展，并负责其安全管理工作，按照《网络安全等级保护基本要求》（GB/T22239-2019）中的等保三级安全要求落实日常安全运维工作，并在公共数据归集和共享过程中落实数据提供部门提出的安全要求。第二十四条对于互联网环境下的数据归集，区大数据中心协同数据源主管部门结合具体业务场景设计并落实数据归集方案，实现数据从互联网到政务外网的数据交换。第二十五条区内各单位应安排人员负责本部门对接区大数据资源平台的公共数据安全工作，将本部门待归集数据按照公共数据目录推送至数据交换设备。第二十六条区大数据中心在数据归集过程中落实身份鉴别、数据源认证等安全机制保障共享数据来源的真实性，制定完善的访问控制策略，在数据归集过程中严格规范不同等级用户在大数据资源平台的权限，防止未经授权查询、修改或者传输数据。第二十七条区大数据中心在数据归集过程中提供内容加密、链路加密、数据脱敏等安全措施能力，根据业务需要和数据责任单位要求提供使用。在数据归集过程中记录并保存数据交换日志，做到所有数据操作行为可管可控，确保审计日志的完整性和真实性。第七章数据治理安全第二十八条区大数据中心依托区大数据资源平台，建设统一的数据治理子平台，支持对已归集的公共数据开展数据治理。第二十九条区大数据中心安排专人负责数据治理工作，确保操作人员账户实名制保证业务操作可追溯性，严格执行权限最小化原则，避免治理人员接触访问与工作任务无关的数据。第三十条区大数据中心部署相互隔离的开发测试环境用于数据治理工作，并制定相关发布流程，按照发布的开发调度任务，方可对生产库进行操作。测试环境须使用虚拟数据或对敏感数据进行脱敏处理后的数据。第三十一条各单位在数据治理过程中应确保所有数据开发调度操作可管可控并保证审计日志的完整性和真实性。第八章数据共享安全第三十二条区大数据中心依托区大数据资源平台，建设统一的共享交换子平台，实现区内各单位之间的数据共享交换。第三十三条区内各单位按照《闵行区公共数据管理办法》要求，明确公共数据共享需求并经数据责任单位和区大数据中心必要的审核后，通过区大数据资源平台获取数据。第三十四条区大数据中心在数据共享过程中采用身份鉴别、访问控制等安全保障机制，确保获得授权的数据使用方访问共享数据。第三十五条区大数据中心在数据共享过程中，按照分级分类基本原则，提供内容加密、链路加密、数据脱敏、接口参数过滤和数字水印等安全能力，根据业务需要和数据提供部门要求进行使用。第三十六条使用接口方式进行数据共享原则上应进行身份鉴别和访问控制，并根据所共享数据安全级别和业务需要使用加密、接口过滤和数字水印等安全能力。第三十七条区大数据中心在数据共享过程中记录并保存数据交换日志，确保所有数据操作行为可管可控并保证审计日志的完整性和真实性。因工作需要处理公共数据的业务人员，应严格遵守工作纪律和本单位信息安全制度，依照法律和行政法规规定的权限、程序处理公共数据，不得进行非业务必要的公共数据处理。第三十八条区内各单位负责对通过数据共享获得的公共数据的使用安全保护，最小化接触人员范围，并按照第四章相关要求落实对处理相关公共数据的办公终端和业务系统的安全防护要求。第三十九条区大数据中心及区内各单位应落实安全可靠的数据删除机制，确保以不可逆方式销毁敏感数据及其副本内容。在数据责任单位要求删除或达到数据保存期限的情况下，区大数据中心评估并审核数据删除的业务必要性，执行对区大数据资源平台中公共数据的删除；区内各单位执行对获取并保存到本部门信息系统中的公共数据的删除。第九章数据安全运营第四十条区内各单位负责本部门信息系统的安全运营保障工作，区大数据中心负责大数据资源平台的安全运营保障工作。第四十一条区内各单位和区大数据中心应建立规范的运维管理流程，安排专职人员负责日常运维工作，保障异常事件的及时响应，确保工作有序开展。第四十二条区内各单位和区大数据中心应落实公共数据安全应急工作机制，明确工作责任、程序和规范；制定公共数据安全事件应急预案；定期组织演练，评估演练效果，分析存在问题，总结处置经验，提出改进和完善应急预案的意见。应与运营商、电力、公安等部门建立应急协调机制，及时处理由网络中断、电力供应和非法攻击行为等引发的公共数据安全事件。第四十三条发生公共数据安全事件时，数据安全责任单位应当立即启动应急预案，采取相应措施防止危害扩大，保存相关记录，告知可能受到影响的用户，并向区大数据中心、区网信办、区公安等主管部门报告。第四十四条区大数据中心负责公共数据共享过程相关的公共数据安全事件调查和响应。发生数据安全事件需要调查响应时，应当成立事件调查组，开展调查工作。调查组可以调阅、摘抄、复制与公共数据安全事件有关的资料，封存有关设备，进行调查取证。被调查单位应当予以协助。公共数据安全事件调查结束后，调查组应提交调查报告。相关责任部门应根据调查报告提出处理意见并整改，事后须将事件调查资料归档。如发生数据安全案件，应及时移交区公安开展侦查工作。第四十五条区内各单位使用外部服务商参与公共数据相关工作时，安全责任不因相关工作的外包而转移，委托单位与受托服务提供商共同承担公共数据安全管理责任。涉及收集、存储、传输或者应用数据等操作行为的，应当依法与外包服务提供商签订数据处理协议和保密协议，并对所有数据操作行为进行严格监督，定期审计操作日志。第四十六条外包服务提供商应当符合相关规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全的能力，并建立和落实数据安全管理、个人隐私保护、应急响应管理等方面管理制度和技术防护措施。外包服务造成有重大社会影响或经济损失的数据安全管理事故的，对相关供应商后续承接本区公共数据建设和服务项目进行限制；构成违法的，移送司法部门依法追究法律责任。第四十七条区大数据中心应建立公共数据安全培训制度，定期对系统建设、运维、使用人员和公共数据安全从业人员进行安全技能和意识培训。第十章监督考核第四十八条区网络安全监管单位协同区大数据中心指导区行政机关和公共管理服务单位建立、落实公共数据安全管理的各项制度和技术措施，依法查处公共数据安全违法案件。第四十九条区大数据中心应会同网信、公安等部门建立健全数据安全监督检查工作机制，明确监督检查的内容、目标、方式和标准，对监督检查中发现的安全隐患和问题，及时提出整改意见并予以督促落实。第五十条区网信办、公安机关和大数据中心应当定期通报监督检查过程中发现的安全隐患及安全事件查处等情况，提高公共数据安全的协同防护能力和预警能力。第五十一条区内各单位及其工作人员未按照规定履行公共数据安全监督管理职责的，由同级人民政府或者上级主管部门责令整改；情节严重的，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。第五十二条区内各单位及其工作人员按照有关法律、法规、规章和本办法进行公共数据安全管理，并履行了监督管理职责和合理注意义务，由于难以预见或者难以避免的因素导致公共数据使用主体或者其他第三方损失的，对有关单位和个人不作负面评价，依法不承担或者免予承担相关责任。第五十三条区内各单位和区大数据中心公共数据安全工作执行情况纳入年度考核和管理绩效考核。第十一章附则第五十四条区属单位、公司，在履职过程中获得或产生的公共数据，需按照《闵行区公共数据管理办法》（闵府发〔2020〕17号）进行数据采集及归集、共享与开放、建设与运营、安全与保障等相关工作。法律、法规另有规定的，从其规定。第五十五条区属单位、公司，在履职过程中获得或产生的公共数据，参照本办法执行管理。法律、法规另有规定的，从其规定。公开属性：主动公开抄送：区委各部门、区人大办、区政协办、区纪委监委、区法院、区检察院、各人民团体。闵行区人民政府办公室2021年2月7日印发