365体育投注

第一章总则

第一条为提升信州区人民政府数据安全管理水平，降低数据服务安全风险，维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，依据《中华人民共和国网络安全法》、《数据安全管理办法（征求意见稿）》等国家法律法规及本区实际情况制定本办法。

第二条本办法适用于信州区辖区内所有单位的数据信息（不包含涉密信息）；涉及国家秘密的数据信息，应按照国家相关保密法律、法规、制度进行管理和使用。

第三条数据安全应坚持正确数据安全观，遵循保障数据安全与促进信息化发展相协调、管理与技术统筹兼顾的原则，充分发挥数据价值同时要切实做好数据安全防护工作。

第四条数据安全涉及数据全生命周期环节的安全防护,应充分保障数据的完整性、保密性、真实性、可用性。

第五条各单位应积极自觉开展数据安全管理自查提升工作，针对数据安全事件事故，依法依规追究责任。

第二章职责体系

第六条各单位对本单位的数据安全负有主体责任，其主要负责人是本单位数据安全的第一责任人。

第七条构建各单位统一协调、分级管理、分工负责的数据安全管理职责体系，区政府统一领导数据安全管理工作，网信办统筹协调监督管理，公安机关开展各专项监督管理，各单位负责本单位数据具体安全工作。

第八条区政务服务和大数据管理局负责全区数据安全工作的总体规划，重大安全基础设施的建设，安全政策及技术标准的制定，整体数据安全工作的指导、培训、检查、调查、通报等。

第九条网信办负责辖区内各单位数据安全监督管理工作，协助区政务服务和大数据管理局指导、监督、检查辖区内各单位数据安全管理工作。

第十条公安机关负责辖区内各单位数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。

第十一条各单位加强数据安全能力建设，设置专职岗位，采取必要措施，履行数据安全保护职责，接受有关部门监管和社会监督。

第十二条各单位做好数据安全宣传教育工作和专项安全技能培训，任何单位和个人都有权投诉举报危害数据安全的行为；有关部门应当对投诉举报予以保密。

第三章安全保障

第十三条网信办应当建立本区数据安全信息备案制度，会同有关部门组织重要数据和个人信息的数据，所有单位对以下信息开展备案工作：

（一）数据所有单位主体信息；

（二）数据收集和使用规则；

（三）数据收集的目的、方式、范围、类型等，不包括数据本身；

（四）采集、传输、存储、处理、使用、保护个人信息和重要数据的应用、系统、平台等资产信息；

（五）提供数据安全服务的企业及其人员、产品、技术等信息；

（六）其他事关本区数据安全保护工作的信息。

第十四条各单位应当依照国家标准规范开展机房建设，制定机房安全管理制度，对出入机房人员进行审查、登记。

第十五条应当在网络边界采取安全防护措施，防止被攻击、篡改。各单位重要信息系统应当与互联网及其他网络区域实行安全隔离，并根据承载业务对网络进行分区分域管理，在不同安全域间实施访问控制。

第十六条各单位应当对数据外部系统接入进行严格管理，建立外部系统接入审批制度。在接入之前应当对接入方案进行审核和安全评估，确认达到国家数据安全要求并签订安全协议后方可授权接入网络。

第十七条各单位应当按照国家等级保护制度要求和技术标准，组织开展信息系统定级工作，新建信息系统或者信息系统发生重大变更时，应当首先确定信息系统的安全保护等级，将定级结果和备案证明材料报送区政务服务和大数据管理局，并同步建设符合该安全保护等级要求的安全保护设施。

第十八条各单位应当定期对信息系统安全状况开展风险评估。安全保护等级为第二级（含）以上的信息系统应当按照国家和行业有关规定进行等级保护测评，未达到安全保护等级要求的，应当进行整改。实施等级保护测评的机构应当具备国家认可的信息安全等级保护测评资质。

第十九条各单位应当建立信息系统资产管理制度，编制资产清单，明确资产管理责任部门与人员，定期对照资产清单对资产进行一致性检查并保留检查记录。

第二十条各单位应当选用符合国家有关规定、安全可控的信息技术产品和服务，采购的数据安全产品和服务应当经过国家认证。对数据做安全评估，并把评估结果作为项目立项的必备材料。

第二十一条各单位应当建立数据技术外包服务和远程技术服务安全管理制度，需要外包服务或远程技术服务的，应当与提供者签订安全保密协议。

第二十二条各单位应当建立数据安全经费保障制度，将数据安全经费纳入本单位年度财务预算，新建系统中数据安全建设经费的实际投入应当不低于系统建设总经费的15%。

第二十三条各单位应当建立重要系统和核心数据的容灾备份制度，明确业务和系统的恢复目标以及相应的恢复预案，保证关键业务的连续性。重要信息系统在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。重要网络设备和通信线路应当具有冗余备份。

第二十四条各单位应当严格进行工作信息和业务数据的安全管理，应在数据集中存储系统中提供数据保密检查权限及通道。

第二十五条各单位应当建立信息系统数据资源清单，并建立数据资源分类分级资源目录，定期对照数据资源清单进行一致性检查并更新，保留检查记录。

第二十六条在构建的数据资源目录的基础上，重点识别重要敏感数据，并对重要数据敏感数据进行分类、分级标记管理，针对不同敏感级别数据进行相应安全防护措施。

第二十七条各单位应当制定公民、企业信息等敏感数据保护制度，对在提供服务过程中收集、使用的公民、企业信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。在发生或者可能发生信息泄露时，应当立即采取补救措施。

第二十八条各单位收集、使用公民、企业信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的公民、企业信息，不得违反法律、法规的规定收集、使用和向第三方提供公民、企业信息。

第二十九条各单位将公民、企业信息等敏感数据转移或委托给其他组织或机构使用的，应当与该组织或机构签订公民、企业信息保护协议，明确公民、企业信息使用范围和保护责任。

第三十条各单位应当制定完善访问控制策略，采取授权访问、身份认证等技术措施，防止未经授权查询、复制、修改或者传输数据。对个人信息和重要数据实行加密等安全保护，对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏处理。

第三十一条各单位应依据职责明确、意图合规、质量保障、数据最小化、最小授权操作、分类分级保护和可审计的原则，建立完善的数据使用管控审批流程，全面加强数据的管控能力，防止未授权访问数据，防止超授权使用数据。

第三十二条各单位应围绕数据全生命周期的采集、传输、存储、处理、共享、销毁各个环节，采取安全加固措施，持续全面整体提升数据安全保障能力。

第三十三条各单位应积极加强数据安全技术的升级应用，积极研究利用新的数据安全技术及创新的安全管理办法，不断增强数据安全防护管理水平。

第三十四条各单位应当建立数据共享管理制度，对于法律法规、规章和政策要求共享的数据予以安全保护。数据提供单位应当与数据获取单位签订数据使用和数据安全保护协议，明确数据共享内容、使用期限以及双方的权利、义务和责任。数据获取单位对于共享的数据具有相同的安全管理责任，数据提供单位应承担保密审查职责。

第三十五条各单位应当建立数据安全信息通报制度，由网信中心统筹协调有关部门，开展信息通报工作，按照规定通报程序向数据安全管理部门报告有关情况，不得瞒报、缓报、谎报、迟报和推诿责任。

第四章监督检查与应急处理

第三十六条建立健全数据安全工作监督检查机制，明确监督检查的牵头部门、责任分工、内容、重点、目标、方式和标准。监督检查的情况，应当在有关主管部门之间互通和共享。

第三十七条安全监督检查按照“全覆盖、全监控、全检查、全评估”的原则，覆盖数据生命周期各环节，对网络认证、主机访问、数据库操作、系统应用界面及接口的访问、使用等各类使用均需要记录日志，并定期检查、分析、审计，评估安全隐患。

第三十八条对检查中发现的重大安全隐患，应当责令有关单位立即排除；对检查中发现的安全管理缺陷或安全隐患，应当向有关单位提出限期整改要求；对检查中发现的违法行为，应当立即制止，并提请公安部门依法查处。

第三十九条被检查单位应当配合检查，根据有关主管部门的整改意见进行整改，并且反馈整改情况。有关主管部门根据需要对被检查单位整改情况组织复检。

第四十条对于上级主管部门通知或社会披露的与本单位相关的数据安全风险信息，如系统漏洞、业务漏洞，应立即组织自查，排查安全隐患，消除安全风险。对于不实信息，应及时回应用户关切，向社会澄清。

第四十一条各单位应当建立数据安全应急管理制度，制定数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，补充修订应急预案。

第四十二条发生数据安全事件时，安全责任单位应当启动应急预案，采取相应措施防止危害扩大，保存相关记录，告知可能受到影响的用户，按照规定向有关主管部门报告。

第四十三条对重大数据安全事件应当启动调查工作,形成调查报告，根据调查报告提出处理意见，并将事件调查资料归档。

第五章责任追究

第四十四条各单位有违反本办法规定的，由有关主管部门责令限期改正，逾期未改正的，将进行通报并在相关考核中扣分；造成安全隐患或者导致数据安全事件发生的，对责任单位主要负责人约谈；造成重大损失或者社会影响的，责令暂停相关业务工作，涉及违法犯罪的由公安机关依法查处。

第四十五条监督检查单位工作人员不依法履行监督检查职责，或者有玩忽职守、滥用职权、徇私舞弊行为，尚不构成犯罪的，由有关部门依法予以行政处分。

第四十六条违反本办法规定，使公民、法人或者其他组织的合法利益受到侵害的，依法承担民事责任。构成犯罪的，由公安机关依法追究刑事责任。

第六章附则

第四十七条本办法部分用语含义：

（一）数据，是指通过网络采集、传输、存储、处理和产生的各种原始电子信息。

（二）数据安全，是指通过建立和采用必要的技术和管理上的安全保护措施，防范对网络（系统、数据）的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露，以及保障数据的完整性、保密性、可用性的能力。

（三）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

（四）重要数据，是指我国机构和个人在境内采集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据，包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的，不涉及国家秘密，但一旦泄露、篡改或滥用将会对国家安全、经济发展和社会公共利益造成不利影响的数据。

第四十八条本办法自正式发布之日起施行。