南宁市大数据发展局关于印发《南宁市政务数据安全管理办法(修订)》的通知

南数发〔2024〕1号

各县（市、区）人民政府，各开发区管委会，市各有关单位：

　　《南宁市政务数据安全管理办法（修订）》已经市人民政府同意，现印发给你们，请认真贯彻执行。

2024年1月11日

南宁市政务数据安全管理办法（修订）

　第一章　总　则

　　第一条　为加强南宁市政务数据安全管理，建立健全政务数据一体安全保障体系，预防政务数据安全事件发生，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《自治区党委办公厅 自治区人民政府办公厅关于印发〈广西政务数据资源管理与应用改革实施方案〉的通知》（厅发〔2019〕141号）、《广西壮族自治区公共数据分类分级保护指南》（桂数安办发〔2023〕1号）、《广西壮族自治区大数据发展局关于印发广西政务数据安全管理办法的通知》（桂数发〔2020〕24号）等有关法律、文件，结合南宁市实际，制定本办法。

　　第二条　坚持保障政务数据安全与促进信息化发展并重、管理与技术统筹兼顾的原则，实行统一协调、分级管理、分工负责。政务数据安全和信息化工作应同步规划、同步建设、同步管理，切实保障政务数据共享开放和融合应用安全。

　　第三条　政务数据安全实行“一把手负责制"，各级各部门各单位对本级本部门本单位的政务数据安全负有主体责任，主要负责人是政务数据安全的第一责任人，各级大数据管理部门负有监督管理责任。

　　第四条　本办法所称政务数据，是指国家机关和法律、法规授权的具有管理公共事务职能的组织（以下简称政务部门），在履行法定职责过程中收集、产生的数据。

　　第五条　本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

　　第六条　本办法所称核心数据，是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。

　　第七条　本办法所称政务数据安全，是指通过采取必要措施，保障政务数据在采集、传输、存储、处理、应用以及废弃全生命周期过程中，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，防范对政务云、网络、信息系统和数据的攻击、入侵、干扰和非法使用以及意外事故，保障政务数据全生命周期的保密性、完整性、可用性等安全特性的能力。

　　第八条　本办法适用于南宁市区域范围内的政务数据安全管理工作。涉及国家秘密和工作秘密的数据安全管理，按照国家保密法律、法规和制度执行。

　第二章　职责分工

　　第九条　市大数据发展局负责组织、指导和协调全市政务数据安全统筹管理工作，履行下列职责：

　　（一）依照国家、自治区和南宁市政务数据安全法律、法规、规章和标准，制定南宁市政务数据安全工作制度、政策和标准规范，指导各级各部门各单位开展政务数据安全工作，研究解决涉及政务数据安全的重大事项，监督南宁市本级各单位政务数据安全规划和建设，组织开展政务数据安全培训；

　　（二）牵头建设政务数据一体安全保障体系，构建一体安全保障机制；

　　（三）建立全市政务数据安全管理责任和评价考核制度，制定政务数据安全检查方案。

　　（四）会同市委网信办、市公安局建立政务数据安全管理专家队伍，按各部门职责开展政务数据安全检查、风险评估和等级保护建设工作；

　　（五）会同市委网信办、市公安局等有关网络安全主管部门建立政务数据安全监测预警、信息通报和应急处置等协同联动机制，按照各部门职责分工制定政务数据安全应急预案，通报政务数据安全信息，调查处理重大政务数据安全事件；

　　（六）实施全市政务数据安全年度检查和重要保障时期的专项检查。

　　第十条　市信息网络管理中心负责市本级政务数据安全技术防护体系建设，负责政务数据安全基础设施保障工作，履行下列职责：

　　（一）起草政务数据安全标准规范，指导南宁市各级各部门各单位、重点行业的政务数据安全保障工作；

　　（二）对政务数据调度使用的安全情况进行全流程监控，并提供技术支持；

　　（三）负责市本级电子政务外网、政务云和数据中台安全防护技术和管理体系建设及运维。建立应急管理和容灾备份技术能力，满足重要的政务数据同城、异地备份的需求。

　　第十一条　各级大数据管理部门负责辖区内政务数据安全监督管理工作，履行下列职责：

　　（一）依照国家、自治区和南宁市政务数据安全法律、法规、规章和标准，制定辖区内政务数据安全工作制度，指导辖区内各单位开展政务数据安全工作，开展政务数据安全培训；

　　（二）负责本级电子政务外网安全防护技术和管理体系建设及运维；

　　（三）监督辖区内各单位政务数据安全规划和建设；

　　（四）实施辖区内政务数据安全年度检查以及重要保障时期的专项检查；

　　（五）建立辖区内政务数据安全事件应急机制和通报制度，向本级网络安全主管部门通报辖区内各单位的政务数据安全信息，协助调查处理辖区内的政务数据安全事件。

　　第十二条　南宁市各部门各单位负责本部门本单位的政务数据安全工作，履行下列职责：

　　（一）执行国家、自治区和南宁市政务数据安全法律、法规、规章与标准，编制政务数据安全工作计划，制定人员、资产、采购、外包、系统建设与运维、备份、应急等方面的政务数据安全管理工作制度；

　　（二）明确本部门本单位负责政务数据安全管理工作的机构及政务数据安全员岗位，落实政务数据安全责任制；

　　（三）负责做好本部门本单位所申请政务云服务的安全管理，以及相关信息系统和政务数据的安全保障工作；

　　（四）承担本行业、本领域数据安全监管职责；

　　（五）采取技术措施、管理措施和其他必要措施，保障政务数据安全，有效应对政务数据安全事件，防范违法犯罪活动；

　　（六）落实政务数据安全经费，建设和完善政务数据安全保障基础设施，开展政务数据安全等级保护建设、风险评估、安全自查、安全培训等工作，保护政务数据安全，制定信息安全应急预案，定期开展应急演练；

　　（七）建立政务数据安全自查机制，定期开展政务数据安全工作自查评估；

　　（八）建立政务数据安全信息通报机制，配合大数据管理部门进行政务数据安全检查和事件调查，对发现的问题进行整改。

　　第十三条　网信、公安、国家安全、保密、密码等有关部门依照本办法和有关法律、行政法规的规定，在各自职责范围内承担政务数据安全具体工作，落实政务数据安全相关政策措施。

　第三章　安全管理

　　第十四条　政务数据安全管理遵循“谁提供、谁负责，谁流转、谁负责，谁使用、谁负责"的原则。各级各部门各单位应按照法律、法规要求建立政务数据资源全生命周期安全防护体系，政务数据实施分类分级管理，对不同安全级别的数据实施符合标准要求的安全保护措施。

　　第十五条　各级各部门各单位开展政务数据收集活动时，应当明确收集的目的、范围、依据和用途，保证数据收集的合法性、正当性、必要性；应当对政务数据收集的环境、设施、技术采取防护措施，确保数据的完整性、一致性和真实性，保证政务数据在采集过程中不被泄露。对在政务数据收集过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密，不得泄露或者向他人或组织非法提供。

　　第十六条　各级各部门各单位开展政务数据存储活动时，应当根据数据类型、规模、用途、安全等级、重要程度等因素，选择相应安全性能和防护级别的系统、介质、设施设备，采取技术和管理措施，保障存储系统和数据安全。

　　存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。

　　第十七条　各级各部门各单位对合法取得的政务数据，应当依照法律、法规、规章规定的条件和程序使用、加工，应当采取管控措施确保政务数据使用、加工合规，过程安全可控、可溯源。使用、加工重要数据和核心数据的，还应当加强访问控制，建立登记、审批机制并留存记录。

　　第十八条　各级各部门各单位应当根据传输的政务数据类型、级别和应用场景，制定安全策略并采取保护措施。

　　传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施，保障数据传输过程可信、可控；应当对关键传输链路、重要设备节点实行冗余配置，保障数据传输可靠性和网络传输服务可用性。

　　第十九条　市大数据发展局应当统筹规划建设并负责维护统一的南宁市数据中台，通过数据中台汇聚、存储、管理全市政务数据，并做好纵向对接。

　　各级各部门各单位应当按照国家、自治区和南宁市有关规定对收集、产生的政务数据进行分类分级管理；对收集、产生的政务数据，应当在保障政务数据安全的前提下通过数据中台共享交换，并定期更新。

　　第二十条　各级各部门各单位因业务等需要，确需向中华人民共和国境外提供政务数据的，应具备符合法律、法规规定的许可条件，仅在允许的范围内开展业务。

　　各级各部门各单位从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。

　　第二十一条　各级各部门各单位应当根据国家、自治区和南宁市的政务数据安全保护有关要求，依照数据分类分级建立相应的数据销毁机制，明确销毁方式和销毁要求，对销毁活动进行记录和留存。销毁涉及国家秘密、商业秘密、个人信息等重要数据的，应当委托有资质的第三方机构对数据进行安全风险评估。

　　第二十二条　各级各部门各单位将政务数据转移或委托给其他组织或机构使用的，应与该组织或机构签订数据保护协议，明确数据使用范围和保护责任。涉及敏感数据的，需脱敏后方可应用。

　　第二十三条　各级各部门各单位委托他人开展政务数据处理活动的，应当通过签订合同协议等方式，明确委托方与受托方的数据安全责任与义务。委托处理重要数据和核心数据的，应当对受托方的数据安全保护能力、资质进行核验。

　第四章　安全保障

　　第二十四条　各级各部门各单位应建立政务数据安全培训机制，定期开展政务数据安全意识教育与政务数据设备、系统安全操作基础培训，对信息系统建设、运维人员和政务数据安全管理人员进行专项技能培训。

　　第二十五条　各级各部门各单位应按照网络安全法律、法规要求和技术标准，组织开展风险评估和等级保护定级备案工作，按照国家和行业有关规定进行等级保护测评，未达到安全保护等级标准要求的，应及时进行整改。

　　应当采用密码技术保障政务数据基础设施安全，并按法规要求开展商用密码应用安全性评估。

　　第二十六条　各级各部门各单位应建立政务数据安全信息通报机制，开展信息通报工作，按照规定程序向本级大数据管理部门通报有关情况，不得瞒报、漏报、谎报、迟报和推诿责任。

　　第二十七条　各级各部门各单位应选用符合国家有关规定、安全可控的信息技术产品和服务，采购的数据安全产品和服务应经过国家认证。对政务数据实施安全评估，并将评估结果作为项目立项的必备材料。

　　第二十八条　各级各部门各单位应建立政务数据技术外包服务和远程技术服务安全管理机制，需要外包服务或远程技术服务的，应与供应方签订安全保密协议。

　　第二十九条　各级各部门各单位应建立政务数据安全经费保障机制，将政务数据安全经费纳入本部门年度部门预算，以充足的经费保障政务数据安全工作有序开展。

　　第三十条　各级各部门各单位应依照数据中心的网络安全等级保护标准要求，完善数据中心防雷、防火、防水、防静电、动环、电力保障等物理安全建设。建立健全数据中心安全管理制度，加强出入数据中心人员管理，对有关物理访问、物品带进出和环境安全等方面的管理作出规定，并定期检查制度执行情况。

　　第三十一条　各级电子政务外网管理部门应按照“同步规划、同步建设、同步运营"的原则，加强电子政务外网安全防护的规划、建设和日常保障工作。组织开展网络安全监测、检查、处置、风险评估和应急演练，责成存在问题的单位进行整改。严格控制PC终端、移动式设备接入、无线接入等网络接入行为，明确接入方式、访问控制、身份鉴别、安全审计等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。

　　电子政务外网实行分区分域管理。根据不同业务对网络进行分区分域管理，在不同安全域间实施访问控制。

　　第三十二条　市信息网络管理中心负责市本级政务云的安全管理与安全建设，落实云平台安全资源池建设，为各单位提供所需网络安全防护资源。各单位将信息系统部署到政务云后，应按照“系统管理责任不变，数据归属关系不变，安全标准不降低，敏感信息不出境"的原则，负责信息系统和数据资源的安全管理，各县（市、区）人民政府、开发区管委会大数据管理部门协助做好相关工作。

　　市信息网络管理中心定期组织开展市本级政务云及云上信息系统安全检查工作，对发现的安全风险问题及时督促相关单位限期整改，并定期通报云安全状况。

　　市信息网络管理中心与政务云服务使用单位签订保密协议，未经使用单位授权，不得访问、修改、披露、利用、转让、销毁服务使用单位数据资源。

　　第三十三条　各级各部门各单位根据网络安全等级保护要求建立信息系统安全防护技术和管理体系，加强对服务器上的应用、服务、端口等的安全管理，系统账号按照“最小权限"原则进行分权分域管理，定期更新恶意代码特征库及系统补丁，定期实施漏洞扫描、恶意代码检测和人工渗透测试，并对存在的安全隐患进行及时加固，建立和完善密码保障系统，提升密码安全防护能力。制定各信息系统安全应急预案，定期开展应急演练。

　　建立政务信息系统接入审查机制，在接入电子政务外网前应对接入方案进行审核和安全评估，确认达到国家、自治区和南宁市政务数据安全要求并签订安全协议后方可授权接入电子政务外网。

　　建立政务信息系统上云审查机制，在政务信息系统管理单位完成系统部署上云后，由市信息网络管理中心组织安全评估，评估结果作为上线申请材料，评估通过方可上线运行。

　　第三十四条　各信息系统建设单位应建设网络安全防护技术和管理体系，采取有效防护措施，提高信息系统防篡改、防病毒、防攻击、防瘫痪、防挂马等能力，做到“事前有防御、事中能监测、事后可修复"。各政府网站管理单位和主办单位建立完善网站信息发布审核制度，加强网站内容安全监测和应急处置机制建设，定期进行安全检查和风险评估。

　　第三十五条　各级各部门各单位应明确政务数据安全责任部门及责任人，制定政务数据采集、传输、存储、使用、共享、销毁等制度及规范，通过身份与权限管理、数据保护与审计、数据防泄漏、数据加密、数据脱敏、数据恢复等技术手段保障政务数据全生命周期安全。

　　第三十六条　各级各部门各单位应制定终端计算机管理制度，严格执行终端计算机的安全管理，采取集中管控、用户识别、访问控制、安全审计、病毒防御、补丁修复等技术防护措施。

　　第三十七条　各级各部门各单位应制定移动存储介质的管理机制，防止移动存储介质在不同网络区域之间使用时造成恶意代码传播、数据泄露或损坏。

　　第三十八条　各级各部门各单位应制定政务数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行总结，针对演练中发现的问题，应立即进行整改。在发生政务数据安全事件时，应及时进行处置，并按照规定程序进行通报。

　　第三十九条　数据安全事件发生后或风险明显加大时，各级各部门各单位应立即启动应急预案，采取相应措施防止危害扩大，保存相关记录，按照规定及时向本级大数据管理部门和网信、公安等部门报告。

　第五章　监督管理

　　第四十条　各级大数据管理部门应依照国家、自治区和南宁市要求，实行政务数据安全年度监督检查和专项监督检查制度，将政务数据安全监督检查工作列入年度计划，并会同本级网络安全管理部门进行政务数据安全监督检查。

　　第四十一条　各级大数据管理部门应依照国家和行业有关规定，确定政务数据安全年度监督检查重点、内容和时间安排，通知辖区内各单位。

　　第四十二条　各级大数据管理部门根据年度或专项监督检查结果，提出处理意见。被监督检查单位应根据处理意见进行整改。

　　第四十三条　各级大数据管理部门对监督检查中发现的重大安全隐患，应责令有关单位立即排除；对监督检查中发现的安全管理缺陷或安全隐患，应向有关单位提出限期整改要求，并应同步通报公安机关网安部门；对监督检查中发现的失泄密隐患，应立即向保密行政管理部门报告；对监督检查中发现的违法行为，应立即制止，并提请公安部门依法查处。

　　第四十四条　被检查单位应配合监督检查，按照监督检查要求开展自查，对发现的问题进行整改后，将自查结果和整改情况上报组织监督检查的大数据管理部门。大数据管理部门根据需要对被检查单位整改情况组织复检。

　　第四十五条　政务数据安全保障工作实行一票否决制，对发生政务数据重大及以上安全事件的单位，取消本年度政务信息化相关评优评奖资格，并按照绩效管理相关规定扣除相应绩效分数。

　　第四十六条　各级各部门各单位违反本办法规定的，由各级大数据管理部门责令限期改正，逾期未改正的，将进行通报并在相关考核中扣分；拒不改正或者造成严重后果的，对责任单位主要负责人约谈。

　　第四十七条　各级大数据管理部门工作人员不依法履行监督检查职责，或者有玩忽职守、滥用职权、徇私舞弊行为，尚不构成犯罪的，由政府管理机关依法予以行政处分。构成犯罪的，移交司法机关处理。

　　第四十八条　违反本办法规定，使自然人、法人或者非法人组织的合法利益受到侵害的，依法承担民事责任。构成犯罪的，依法追究刑事责任。

　第六章　附　则

　　第四十九条　本办法由市大数据发展局负责解释；

　　第五十条　本办法自发布之日起正式实施。