省直各單位：

　　《浙江省公共信用信息平臺(tái)網(wǎng)絡(luò)安全管理暫行辦法》已經(jīng)省發(fā)展改革委第24次主任辦公會(huì)議審議通過，現(xiàn)印發(fā)給你們，請(qǐng)認(rèn)真貫徹執(zhí)行。

浙江省發(fā)展和改革委員會(huì)

2019年11月4日

浙江省公共信用信息平臺(tái)網(wǎng)絡(luò)安全管理暫行辦法

第一章 總則

　　第一條 〔目的〕為加強(qiáng)和規(guī)范浙江省公共信用信息平臺(tái)（以下簡(jiǎn)稱“省信用平臺(tái)”）網(wǎng)絡(luò)安全管理工作，切實(shí)維護(hù)社會(huì)公共利益，保護(hù)自然人、法人和其他組織的合法權(quán)益，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《浙江省公共信用信息管理?xiàng)l例》《浙江省政務(wù)數(shù)據(jù)安全管理辦法》等法律法規(guī)和文件，制定本辦法。

　　第二條 〔平臺(tái)定義〕本辦法所稱省信用平臺(tái)是指省本級(jí)建設(shè)的，依托統(tǒng)一電子政務(wù)網(wǎng)絡(luò)、電子政務(wù)云平臺(tái)等基礎(chǔ)設(shè)施，以公共信用信息庫(kù)、公共信用產(chǎn)品主題庫(kù)、信用應(yīng)用工具和信用服務(wù)為主要構(gòu)成，向省市縣相關(guān)部門及社會(huì)公眾提供服務(wù)的一體化綜合性平臺(tái)。

　　第三條 〔網(wǎng)絡(luò)安全定義〕本辦法所稱網(wǎng)絡(luò)安全是指省信用平臺(tái)的管理者、建設(shè)者、運(yùn)維者和使用者采取策略和措施，防范省信用平臺(tái)被攻擊、侵入、干擾、破壞以及公共信用數(shù)據(jù)被泄露、竊取和篡改等非法使用的能力、狀態(tài)和行為。

　　第四條 〔適用范圍〕本省行政區(qū)域內(nèi)省信用平臺(tái)的管理、建設(shè)、運(yùn)維和使用活動(dòng)，適用本辦法。

　　第五條 〔工作原則〕省信用平臺(tái)網(wǎng)絡(luò)安全工作堅(jiān)持統(tǒng)分結(jié)合，堅(jiān)持管理和技術(shù)并重，按照“誰主管誰負(fù)責(zé)，誰建設(shè)誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，在各自職責(zé)范圍內(nèi)做好網(wǎng)絡(luò)安全保護(hù)工作，加強(qiáng)協(xié)同，合力保障平臺(tái)安全。

第二章 職責(zé)與分工

　　第六條 〔責(zé)任分工〕省發(fā)展和改革部門、省公共數(shù)據(jù)工作機(jī)構(gòu)、省公共信用工作機(jī)構(gòu)以及省信用平臺(tái)使用部門為省信用平臺(tái)安全責(zé)任部門。

　　第七條 〔省發(fā)展和改革部門職責(zé)〕省發(fā)展和改革部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)、總體推進(jìn)省信用平臺(tái)建設(shè)、運(yùn)維和規(guī)范運(yùn)行，指導(dǎo)公共信用數(shù)據(jù)、產(chǎn)品或服務(wù)的使用和制定相關(guān)管理規(guī)范，督促各方落實(shí)安全保障責(zé)任。

　　第八條 〔省公共數(shù)據(jù)工作機(jī)構(gòu)職責(zé)〕省公共數(shù)據(jù)工作機(jī)構(gòu)負(fù)責(zé)提供電子政務(wù)網(wǎng)絡(luò)、電子政務(wù)云平臺(tái)、公共信用信息庫(kù)等基礎(chǔ)設(shè)施、數(shù)據(jù)資源和應(yīng)用支撐，確保相關(guān)服務(wù)的安全穩(wěn)定，配合做好平臺(tái)安全保障工作。

　　第九條 〔省公共信用工作機(jī)構(gòu)職責(zé)〕省公共信用工作機(jī)構(gòu)負(fù)責(zé)建設(shè)、運(yùn)維省信用平臺(tái)，統(tǒng)籌推進(jìn)安全檢查和風(fēng)險(xiǎn)信息收集、分析、通報(bào)預(yù)警和重大事件應(yīng)急處置等工作。

　　第十條 〔使用部門職責(zé)〕省信用平臺(tái)使用部門應(yīng)確保本部門獲取的公共信用數(shù)據(jù)、產(chǎn)品或服務(wù)合法合規(guī)使用，配合做好平臺(tái)安全保障工作。在此過程中涉及的設(shè)區(qū)市、縣（市、區(qū)）公共數(shù)據(jù)工作機(jī)構(gòu)、公共信用工作機(jī)構(gòu)應(yīng)同步做好安全防護(hù)措施。

第三章 技術(shù)防護(hù)

　　第十一條 〔總體技術(shù)防護(hù)〕省信用平臺(tái)安全責(zé)任部門應(yīng)嚴(yán)格制定和落實(shí)技術(shù)防護(hù)策略，提升基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、應(yīng)用安全技術(shù)防護(hù)能力。

　　第十二條 〔基礎(chǔ)設(shè)施安全〕省公共數(shù)據(jù)工作機(jī)構(gòu)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)等相關(guān)要求，做好設(shè)施、硬件、資源抽象控制等基礎(chǔ)設(shè)施平臺(tái)側(cè)的安全防護(hù)，為平臺(tái)提供符合相應(yīng)安全等級(jí)保護(hù)要求的服務(wù)，提供開放接口允許接入第三方安全服務(wù)或安全產(chǎn)品。其他安全責(zé)任部門應(yīng)做好虛擬計(jì)算資源、軟件平臺(tái)和應(yīng)用平臺(tái)等租戶側(cè)的安全防護(hù)。

　　第十三條 〔數(shù)據(jù)安全〕省公共信用工作機(jī)構(gòu)應(yīng)會(huì)同省公共數(shù)據(jù)工作機(jī)構(gòu)、省級(jí)公共信用信息提供單位對(duì)公共信用數(shù)據(jù)進(jìn)行分級(jí)分類管理，并結(jié)合數(shù)據(jù)生命周期制定數(shù)據(jù)安全管控、數(shù)據(jù)備份和恢復(fù)策略，采取身份認(rèn)證、授權(quán)訪問、數(shù)據(jù)脫敏、泄漏防護(hù)、安全審計(jì)等技術(shù)措施，對(duì)數(shù)據(jù)進(jìn)行有效管控，防止未經(jīng)授權(quán)查詢、復(fù)制、修改、存儲(chǔ)或傳輸數(shù)據(jù)。

　　省信用平臺(tái)安全責(zé)任部門應(yīng)按照相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范要求，嚴(yán)格落實(shí)公共信用數(shù)據(jù)保護(hù)措施，不得泄露、篡改或者毀損數(shù)據(jù)。使用部門應(yīng)當(dāng)履行安全保密義務(wù)，不得違反法律、法規(guī)或相關(guān)規(guī)定向第三方提供公共信用數(shù)據(jù)。

　　第十四條 〔使用安全〕按照網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)規(guī)定，省信用平臺(tái)安全責(zé)任部門應(yīng)做好應(yīng)用技術(shù)保障，包括但不限于應(yīng)用系統(tǒng)（含數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)中臺(tái)等）的賬號(hào)管理、日志分析、漏洞修復(fù)、病毒查殺、網(wǎng)頁(yè)防篡改、反爬蟲、補(bǔ)丁更新以及相關(guān)安全事件處理和問題整改等。

　　省信用平臺(tái)安全責(zé)任部門要合理制定應(yīng)用安全管理（口令、權(quán)限、訪問控制等）策略，嚴(yán)格用戶權(quán)限設(shè)置，將用戶權(quán)限控制在實(shí)際需要的最小范圍。提升用戶身份鑒別能力，提高登錄密碼設(shè)置的安全強(qiáng)度，切實(shí)做到人戶統(tǒng)一、專人專用。

第四章 管理保障

　　第十五條 〔制度管理〕省信用平臺(tái)安全責(zé)任部門應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求， 制定內(nèi)部安全管理制度和操作規(guī)程，落實(shí)相關(guān)規(guī)范和安全運(yùn)維策略等。

　　第十六條 〔人員管理〕省信用平臺(tái)安全責(zé)任部門應(yīng)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。平臺(tái)操作人員必須經(jīng)過上崗前的專業(yè)知識(shí)培訓(xùn)，包括專門的信息安全培訓(xùn)等。定期對(duì)操作人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。

　　第十七條 〔項(xiàng)目管理〕建立省信用平臺(tái)項(xiàng)目全流程管理體系。在立項(xiàng)環(huán)節(jié)，應(yīng)根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求確定保護(hù)級(jí)別，并同步編制安全建設(shè)方案；在開發(fā)、集成環(huán)節(jié)，應(yīng)選擇具有相應(yīng)資質(zhì)和能力（安全）的單位承擔(dān)相關(guān)工作，開發(fā)、集成工作應(yīng)符合相關(guān)規(guī)范要求；在驗(yàn)收環(huán)節(jié)，平臺(tái)應(yīng)完成等保測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估；在運(yùn)行環(huán)節(jié)，平臺(tái)應(yīng)定期開展等保測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和安全檢查。

　　第十八條 〔經(jīng)費(fèi)保障〕省信用平臺(tái)安全責(zé)任部門應(yīng)建立網(wǎng)絡(luò)安全設(shè)施設(shè)備（服務(wù)）采購(gòu)機(jī)制，落實(shí)經(jīng)費(fèi)保障，提高經(jīng)費(fèi)使用效率。

第五章 檢測(cè)監(jiān)測(cè)與應(yīng)急處置

　　第十九條 〔安全檢測(cè)監(jiān)測(cè)〕省公共信用工作機(jī)構(gòu)應(yīng)建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制，定期對(duì)平臺(tái)進(jìn)行安全檢測(cè)評(píng)估并出具檢測(cè)報(bào)告。

　　第二十條 〔應(yīng)急預(yù)案〕省信用平臺(tái)安全責(zé)任部門應(yīng)制定完善本部門網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，建立健全網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制，明確工作責(zé)任、事件分級(jí)和應(yīng)急處置措施。

　　第二十一條 〔應(yīng)急演練〕省信用平臺(tái)安全責(zé)任部門應(yīng)定期組織應(yīng)急支撐力量，開展應(yīng)急演練，及時(shí)消除各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患。

　　第二十二條 〔應(yīng)急處置〕省信用平臺(tái)發(fā)生數(shù)據(jù)泄露、損毀、丟失等安全事件時(shí)，省信用平臺(tái)安全責(zé)任部門要按照應(yīng)急預(yù)案啟動(dòng)應(yīng)急響應(yīng)，采取技術(shù)措施和其他必要措施防止危害擴(kuò)大，及時(shí)向省公安部門報(bào)告并保存相關(guān)記錄。安全事件處置完成后，應(yīng)向省發(fā)展和改革部門及相關(guān)主管部門報(bào)告。

第六章 監(jiān)督與責(zé)任追究

　　第二十三條 〔監(jiān)督〕省發(fā)展和改革部門在履行安全管理職責(zé)中，發(fā)現(xiàn)其他安全責(zé)任部門責(zé)任落實(shí)不到位，存在較大安全風(fēng)險(xiǎn)或發(fā)生網(wǎng)絡(luò)安全事件的，應(yīng)及時(shí)提出整改意見并督促落實(shí)。省信用平臺(tái)安全責(zé)任部門要根據(jù)有關(guān)整改意見按要求進(jìn)行整改，并按照要求反饋整改情況。

　　第二十四條 〔責(zé)任追究〕省信用平臺(tái)安全責(zé)任單位發(fā)生重大數(shù)據(jù)安全事件的，由具有管理權(quán)限的部門依據(jù)法律法規(guī)進(jìn)行問責(zé)追責(zé)，構(gòu)成犯罪的依法追究刑事責(zé)任。

第七章 附則

　　第二十五條 本辦法由浙江省發(fā)展和改革委員會(huì)負(fù)責(zé)解釋。

　　第二十六條 本辦法自12月1日起施行。