各县（市、区）人民政府（管委会），市政府各部门、单位，各高等院校：

为保障数据安全，促进互通共享，充分发挥政务大数据在全市经济社会发展中的要素作用，根据《中华人民共和国网络安全法》及相关法律法规，经市政府同意，结合我市实际提出如下意见。

一、明确职责，切实保障数据安全

（一）按照“谁主管谁负责，谁采集谁负责，谁使用谁负责”的原则，明确数据安全责任。

数据采集方的责任。数据采集方对数据的质量和安全负责。要按照实际工作需求和有关规定采集、存储和开发利用数据。按时更新数据，确保数据准确。安全有效地推进数据开放，确保不发生失泄密事件。数据采集方对其他部门提供或向社会开放发布敏感数据，须先将数据进行脱敏，实现敏感数据漂白、去隐私化。

数据使用方的责任。数据使用方对数据应用安全负责，保证按照约定的共享条件使用数据，不扩大知晓范围。从市政务大数据平台获取的数据，只能按照明确使用用途满足本部门履行职责需要，不得直接或以改变数据形式等方式提供给第三方，也不得用于或变相用于商业等其他目的。数据使用方要对共享数据的滥用、非授权使用、泄露及未经许可扩散等行为负责。数据提供方不对信息在其他政务部门使用过程中的安全问题负责。

数据管理方的责任。市大数据局作为全市政务数据的管理部门，要建立全面的数据安全监管机制，加强数据全生命周期安全管理，建立健全保障数据安全的各项制度和数据安全事件的应急处置预案及技术规范，并组织抓好落实。加强政务信息共享交换平台的运维管理，全面落实网络安全等级保护措施。通过增加异地备份、传输加密、完整性检查、抗抵赖等技术手段，保证数据共享过程中不出现数据泄露、丢包、篡改等问题。做好信息安全知识的宣传及培训工作，不断增强公务人员的安全意识。

（二）摸清家底，完善目录。各部门、单位要按照《国务院关于印发政务信息资源共享管理暂行办法的通知》（国发〔2016〕51号）要求，认真梳理本部门、本系统政务信息资源，对《政务信息资源目录》和《政务信息共享目录》实行动态管理，建立数据核对反馈机制，做到家底清、情况明。要坚持“共享为原则、不共享为例外”原则，按照无条件共享、有条件共享和不予共享三种类型对全部信息进行分类。准确界定涉密数据、敏感数据，并进行重点管理，做好加密存储和传输，保障数据安全。

（三）规范数据共享。加强个人信息收集、汇总、共享、披露等全过程管控。在信息采集环节，严禁违规翻拍、复印涉密和敏感材料，按照规定统一回收、妥善保管；在信息汇总储存环节，严禁使用低密级载体处理、保存高密级数据，要采用严格的访问控制、加密等安全措施；在信息使用和披露环节，严禁违规越权使用和发布，要做到专采专用，严格限制于既定政务工作目的，不得挪作他用。严禁私自留存数据，相关政务工作结束后，要按规定匿名化处理或销毁，确保数据安全。各部门要严格按照《德州市人民政府办公室关于印发德州市政务信息资源共享管理办法的通知》（德政办发〔2017〕6号）共享交换数据，确认对方权限并采取加密传输措施，严格执行保密要求告知义务并做好交接记录。严禁未经授权提供、交换、转交数据。对于涉及国家秘密、商业秘密及个人隐私等不宜开放的业务数据，数据使用方应慎重提出共享要求，必须共享时，应明确应用范围和数据提供方式，并与提供方签订保密协议。对于可开放的数据，有关部门要按照数据脱密脱敏要求，规范处理后对外发布。规范数据服务和授权，各级各部门要梳理自建对外数据服务接口，清理部门自建共享交换渠道并统一迁入市政务大数据平台，自建数据开放通道和共享交换渠道全部予以关闭。市大数据局要建立数据共享监督检查、绩效评估、考核通报、安全和保密审查等机制，推动部门信息资源按需共享。

（四）定期开展安全检查。建立健全数据安全管理监测机制，加强对市政务大数据平台、基础库、主题库和主要应用场景数据进行安全监测监督。各部门要加强应用系统安全风险评估，摸清影响安全运行的风险环节和风险点。原则上每月进行1次例行安全检查，每半年进行1次全面安全检查。重点检查涉密信息和敏感信息的采集、存储、保管、开发使用及脱敏处理后开放共享等是否符合相关保密规定，保护措施是否到位，发现问题及时整改。

（五）推进历史数据电子化处理。各部门要坚持急用先行原则，以业务数据化为目标，紧紧围绕政务服务、民生保障、经济发展等重要需求，全面推进历史数据电子化、标准化，保障各项政务工作需要。

（六）提高数据质量。健全完善数据治理标准规范，构建全链条数据治理服务体系。推动数据深层次广泛共享应用。各级各部门要制定措施，定期开展历史数据治理，不断提高数据质量，保障数据共享应用。

二、加强运维，确保信息系统运行安全

（七）全面落实信息系统等级保护制度。按照“谁建设谁负责”的原则，各部门、单位要对自建信息系统进行全面梳理，做好信息系统等级保护的定级、备案、测评、整改等工作。加强制度建设，制定应用系统管理制度、应急预案、业务流程和内容发布审核等相关制度。按照应用系统确定的保护级别，部署相应的安全设备和防护策略，并根据应用实际对安全设备的防护策略进行动态调整。定期进行等级测评和安全整改，堵塞网络和系统安全漏洞。加强日常巡检，及时发现和排查安全隐患。

各类应用系统要落实用户实名制管理制度，开展实名制注册和认证管理，细化用户权限，将安全责任落实到人，杜绝帐号多人混用现象的发生。同时，要强化用户密码设置复杂度策略管理，防止用户弱口令漏洞发生。

（八）加强对一体化办公平台的使用管理。市大数据局要根据用户使用情况，及时优化系统配置，保证安全运行。使用人员不外传、不外泄相关公文、信息。

（九）加强政务网站信息发布安全管理。各政务网站管理部门、单位在发布信息前，应依照《中华人民共和国保守国家秘密法》有关规定，对拟发布的信息进行安全保密审查，不得发布涉及国家秘密、商业秘密、个人隐私的信息，确保网站信息安全。

（十）加强公务邮箱的使用管理。公务人员要使用全省统一的公务邮箱（@dz.shandong.cn）办理公务，不得使用非公务邮箱传递公务信息。各部门、单位要明确一名管理员，负责本部门、单位公务邮箱用户和使用管理。公务邮箱为互联网环境下运行的信息系统，严禁发送涉密文件和敏感信息。

（十一）加强政务大数据平台的安全运维。市大数据局要在人员、设备、系统、网络等方面加强管理，定期检查大数据平台的运行状况，定期调阅软件运行日志记录，进行数据和软件日志备份。各部门、单位要固定专人负责使用、维护应用系统，无特殊情况不得随意更换市政务信息共享交换平台账户管理人员，确需更换的要做好工作交接，并报市大数据局备案。有关人员要严格遵守安全保密制度，按照相关规定操作使用平台，保障平台数据安全。

三、筑牢防线，确保大数据基础设施安全

（十二）加强数据中心安全管理。市政务数据中心是我市重要的政务信息基础设施，是政务大数据存储中心和交换中心。市大数据局要加强政务数据中心运维管理，严格落实机房值班制度并细化运维工作流程。要加强托管部门、单位和出入人员的管理，定期开展应急预案演练，保障数据中心安全稳定运行。

（十三）加强政务网络安全管理。市大数据局负责组织协调市级政务外网核心平台、骨干网和城域网的运维管理，保障网络安全运行；负责按照国家和省政务外网管理要求，制定接入技术规范，对政务外网实行分区分域管理。各接入部门（单位）负责各自局域网（专用网络）的安全工作，加强终端接入管理，按照实名认证要求，建立登记台账，利用终端防病毒、横向隔离、分时接入等技术手段，做到终端接入可控制、可管理、可追溯，严防非授权终端接入政务外网，禁止无线设备违规接入政务外网。

（十四）加强政务云平台安全管理。市大数据局负责监督、指导市政务云平台的运行和管理，督促云服务商按有关要求落实政务云安全运行各项措施，保障政务云平台的安全运行，指导配合上云单位做好信息系统迁移、部署工作。上云单位负责按信息系统等级保护工作要求，落实本单位上云信息系统和数据资源的安全管理，及时整改信息系统安全风险或漏洞。未经授权，任何单位和个人不得进入云平台管理系统，不得泄露、篡改、毁损、复制和利用云平台数据，违者依法追究其法律责任。

四、加强领导，确保政务大数据安全要求落到实处

各级各部门要严格落实《中华人民共和国网络安全法》，高度重视政务大数据安全工作，制定电子政务和政务数据安全管理制度和应急处置预案，加强安全教育，强化数据安全和保密意识，定期组织开展安全检查。主要负责同志是第一责任人，分管负责同志是直接责任人，确保各项安全要求落到实处。市大数据局要统筹做好全市政务大数据安全管理工作，制定安全应用规则，定期组织开展安全风险评估和安全测评。市委网信办要统筹协调全市网络安全工作和相关监督管理工作，协调全市信息安全保障体系建设，指导协调全市网络信息管理、互联网信息服务管理。市委保密办公室要做好涉及国家秘密的数据安全监督和执法检查，严肃查处失泄密事件。市公安局要加强对政务大数据采集、传输、存储、使用等各个环节网络安全工作的监督检查，督促各责任单位按照网络安全等级保护制度要求落实数据保护措施，保障相关信息系统安全稳定运行。对网络安全管理制度不健全、网络安全保护措施不到位的责任单位和责任人予以行政处罚。

　　　　　　　　　　　　　

德州市人民政府办公室

2020年7月10日

（此件公开发布）

 

抄送：市委有关部门，市人大常委会办公室，市政协办公室，市监委，市法院，市检察院。

各民主党派市委（总支），市工商联。

德州市人民政府办公室                    2020年7月13日印发