局機(jī)關(guān)各處、市大數(shù)據(jù)管理服務(wù)中心、市智慧城市規(guī)劃標(biāo)準(zhǔn)發(fā)展研究院,各有關(guān)單位：

　　《寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡(luò)數(shù)據(jù)安全管理實(shí)施細(xì)則》已經(jīng)局黨組會議審議通過，現(xiàn)印發(fā)給你們，請認(rèn)真組織實(shí)施。

　　寧波市大數(shù)據(jù)發(fā)展管理局

　　2021年8月20日

　　寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡(luò)數(shù)據(jù)安全管理實(shí)施細(xì)則

　　第一條  為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《浙江省公共數(shù)據(jù)和電子政務(wù)管理辦法》《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》《寧波市公共數(shù)據(jù)安全管理暫行規(guī)定》《寧波市公共數(shù)據(jù)管理辦法》等法律規(guī)章規(guī)定，加強(qiáng)市大數(shù)據(jù)局網(wǎng)絡(luò)數(shù)據(jù)安全管理，保障網(wǎng)絡(luò)數(shù)據(jù)安全，制定本細(xì)則。

　　第二條　市大數(shù)據(jù)局及內(nèi)設(shè)各處室和下屬單位（以下簡稱各處室）負(fù)責(zé)的網(wǎng)絡(luò)數(shù)據(jù)安全管理工作，適用本細(xì)則。

　　本細(xì)則所稱網(wǎng)絡(luò)數(shù)據(jù)安全管理，包括市大數(shù)據(jù)局及各處室負(fù)責(zé)建設(shè)、運(yùn)營、維護(hù)、使用、管理的網(wǎng)絡(luò)/物聯(lián)網(wǎng)、數(shù)據(jù)平臺/政務(wù)云平臺、信息系統(tǒng)/應(yīng)用系統(tǒng)和數(shù)據(jù)采集、歸集、存儲、使用、加工、傳輸、共享、開放等數(shù)據(jù)治理工作的安全監(jiān)管。

　　第三條　市大數(shù)據(jù)局成立由主要領(lǐng)導(dǎo)任組長的局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組，全面落實(shí)網(wǎng)絡(luò)信息安全主體責(zé)任，定期會商網(wǎng)絡(luò)數(shù)據(jù)安全工作。領(lǐng)導(dǎo)小組下設(shè)辦公室（設(shè)在數(shù)字基礎(chǔ)設(shè)施和安全處），負(fù)責(zé)局網(wǎng)絡(luò)信息安全日常管理工作，牽頭擬訂并組織實(shí)施網(wǎng)絡(luò)數(shù)據(jù)安全總體應(yīng)急預(yù)案和年度工作方案，組織開展應(yīng)急演練，組織或協(xié)同網(wǎng)信、公安等部門開展網(wǎng)絡(luò)信息安全檢查，開展服務(wù)商網(wǎng)絡(luò)安全背景審查，組織網(wǎng)絡(luò)數(shù)據(jù)安全培訓(xùn)，組織開展網(wǎng)絡(luò)數(shù)據(jù)安全重?；顒?。

　　各處室負(fù)責(zé)落實(shí)各自職責(zé)相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)安全工作責(zé)任，建立健全網(wǎng)絡(luò)數(shù)據(jù)安全管理工作機(jī)制，將安全責(zé)任具體落實(shí)到人，組織制定各系統(tǒng)應(yīng)急預(yù)案和操作手冊，組織相關(guān)應(yīng)急演練，并形成相應(yīng)的記錄文檔，落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)工作。

　　第四條  所有網(wǎng)絡(luò)信息系統(tǒng)必須嚴(yán)格落實(shí)等級保護(hù)制度，按照同步規(guī)劃、同步建設(shè)、同步使用的“三同步”原則，及時定級備案和測評整改。等保三級以上信息系統(tǒng)落實(shí)商用密碼應(yīng)用安全性評估。

　　各處室應(yīng)針對應(yīng)用系統(tǒng)的安全需求，制定有效的安全措施，并對安全措施的有效性進(jìn)行必要的評估、驗(yàn)證。

　　第五條  各處室應(yīng)當(dāng)與各第三方服務(wù)團(tuán)隊(duì)簽訂網(wǎng)絡(luò)安全、數(shù)據(jù)安全和保密等協(xié)議，明確責(zé)任邊界和違約責(zé)任。

　　網(wǎng)絡(luò)數(shù)據(jù)安全管理責(zé)任不隨服務(wù)外包而轉(zhuǎn)移，無論數(shù)據(jù)、系統(tǒng)和服務(wù)是位于獨(dú)立設(shè)備、云平臺還是在外部服務(wù)商，各處室始終是網(wǎng)絡(luò)數(shù)據(jù)安全的最終責(zé)任人。

　　第六條  各處室發(fā)現(xiàn)網(wǎng)絡(luò)使用管理或數(shù)據(jù)處理存在安全隱患、網(wǎng)絡(luò)威脅和安全事故時，應(yīng)當(dāng)及時告知領(lǐng)導(dǎo)小組辦公室或直接報告領(lǐng)導(dǎo)小組，同時按規(guī)定報告網(wǎng)信或有關(guān)部門和告知用戶，并采取措施加以預(yù)防、制止或處置。在發(fā)生特殊的網(wǎng)絡(luò)信息安全突發(fā)應(yīng)急事件時，可先采取包括停止服務(wù)在內(nèi)的緊急措施，以避免信息安全事件的進(jìn)一步擴(kuò)大。當(dāng)安全隱患、網(wǎng)絡(luò)威脅和安全事故消除后，應(yīng)及時恢復(fù)正常使用。

　　對網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險處置涉及有關(guān)單位和個人的，領(lǐng)導(dǎo)小組或辦公室可以按有關(guān)規(guī)定對有關(guān)單位和個人進(jìn)行約談，并要求進(jìn)行整改，消除隱患。

　　第七條所有使用人不得利用本單位網(wǎng)絡(luò)從事違反國家法律法規(guī)和單位有關(guān)規(guī)章制度的活動，不得在互聯(lián)網(wǎng)上發(fā)表和散布錯誤和非法言論，不得登錄非法和違規(guī)網(wǎng)站。

　　不得以任何手段破壞、阻礙、修改或竊取單位網(wǎng)絡(luò)正常傳輸?shù)臄?shù)據(jù)，不得對單位所有的各種設(shè)備、軟件和系統(tǒng)進(jìn)行攻擊和非法侵入。

　　不得在終端和設(shè)備上運(yùn)行非法程序和惡意軟件，訪問未授權(quán)地址和非法地址。

　　第八條  各處室管理的各種終端、設(shè)備、軟件和系統(tǒng)原則上通過市級政務(wù)外網(wǎng)的統(tǒng)一互聯(lián)網(wǎng)出口連接國際互聯(lián)網(wǎng)，未經(jīng)許可不得自建互聯(lián)網(wǎng)出口。因特殊情況確需單獨(dú)建設(shè)互聯(lián)網(wǎng)出口的，應(yīng)當(dāng)報經(jīng)領(lǐng)導(dǎo)小組同意，領(lǐng)導(dǎo)小組辦公室審批。

　　所有終端、設(shè)備、軟件和系統(tǒng)均需設(shè)置符合要求的登錄密碼，刪除不需要的用戶。在滿足運(yùn)行需要的前提下，采用最小化用戶權(quán)限分配原則，禁用不必要的服務(wù)。

　　第九條  各處室應(yīng)當(dāng)給授權(quán)訪問人員分配唯一、高強(qiáng)度、定期更新密碼的操作賬號，實(shí)現(xiàn)操作行為可定位、溯源。不得多人共用一個操作賬號。

　　第十條  市大數(shù)據(jù)局辦公網(wǎng)絡(luò)的IP地址按照統(tǒng)一規(guī)劃進(jìn)行組織分配和登記信息，并統(tǒng)一進(jìn)行網(wǎng)絡(luò)接入設(shè)備的配置，各處室不得隨意更改。終端設(shè)備報廢時，按照統(tǒng)一組織銷毀的原則，作好備案登記。

　　第十一條  各處室辦公設(shè)備接入局辦公網(wǎng)絡(luò)應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全檢查。各第三方服務(wù)團(tuán)隊(duì)使用的辦公設(shè)備由對應(yīng)責(zé)任處室負(fù)責(zé)管理，如需接入局辦公網(wǎng)絡(luò)的，應(yīng)當(dāng)按照規(guī)定報領(lǐng)導(dǎo)小組辦公室同意后方可接入。

　　所有接入局辦公網(wǎng)絡(luò)的終端設(shè)備均應(yīng)安裝正版軟件和正版殺毒防護(hù)軟件，并及時更新升級防護(hù)程序、病毒庫和操作系統(tǒng)補(bǔ)丁。

　　第十二條  各處室加強(qiáng)數(shù)據(jù)備份工作，對重要數(shù)據(jù)應(yīng)定期進(jìn)行備份，防止因數(shù)據(jù)備份不及時、不完整等原因造成數(shù)據(jù)丟失。

　　第十三條  各處室要嚴(yán)格控制可以訪問重要數(shù)據(jù)的人員數(shù)量和帳號。不得將數(shù)據(jù)資源以任何未授權(quán)方式存儲到個人存儲介質(zhì)和帶離工作環(huán)境。

　　所有使用人不得以任何未授權(quán)方式對數(shù)據(jù)資源進(jìn)行新增、查詢、修改、刪除、復(fù)制、轉(zhuǎn)移等操作，不得將數(shù)據(jù)資源在授權(quán)工作范圍之外以任何方式進(jìn)行使用。

　　所有使用人在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、涉密涉敏信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或非法向他人提供。嚴(yán)格控制共享數(shù)據(jù)使用范圍，不得擅自轉(zhuǎn)讓給第三方使用。

　　第十四條  在使用和處理數(shù)據(jù)過程中，因數(shù)據(jù)匯聚、關(guān)聯(lián)分析等原因，可能產(chǎn)生涉密、涉敏數(shù)據(jù)的，應(yīng)當(dāng)進(jìn)行安全評估，征求相關(guān)專家的意見，并根據(jù)評估和征求意見情況采取相應(yīng)的安全措施。

　　第十五條  市電子政務(wù)外網(wǎng)為非涉密網(wǎng)絡(luò)，各處室通過網(wǎng)絡(luò)開展不涉及國家秘密的業(yè)務(wù)。各處室不得接入涉密計算機(jī)、涉密網(wǎng)絡(luò)設(shè)備，不得在市政務(wù)外網(wǎng)上傳輸、處理和存儲涉密信息，不得使用涉密存儲介質(zhì)。

　　所有接入市電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)要采用數(shù)字證書的，應(yīng)使用國家政務(wù)外網(wǎng)數(shù)字證書。

　　各處室不得隨意更改市電子政務(wù)外網(wǎng)的接入線路和網(wǎng)絡(luò)接入設(shè)備的配置。

　　第十六條  市大數(shù)據(jù)局信息按照規(guī)范流程進(jìn)行發(fā)布，嚴(yán)格執(zhí)行信息發(fā)布登記、審核制度，原則上在每類信息發(fā)布渠道上只有一個信息發(fā)布主體賬號，降低網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險。

　　各處室在平臺發(fā)布信息需經(jīng)統(tǒng)一審核。

　　第十七條  各處室按照職能加強(qiáng)局管理的信息平臺（網(wǎng)站、微信公眾號、微博、視頻號、小程序、短信平臺及應(yīng)用等）和政府端、服務(wù)端的安全監(jiān)管，傳播社會主義核心價值觀，督促相關(guān)建設(shè)方或運(yùn)營方及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全漏洞和隱患，提高信息平臺、終端的安全防護(hù)能力。

　　第十八條  市大數(shù)據(jù)局加強(qiáng)一體化智能化公共數(shù)據(jù)平臺（寧波城市大腦）的安全管理，建立落實(shí)安全制度，嚴(yán)格落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)措施，做好網(wǎng)絡(luò)攻擊的安全防護(hù)。

　　一體化智能化公共數(shù)據(jù)平臺不得部署涉密信息系統(tǒng)和使用涉密信息。

　　一體化智能化公共數(shù)據(jù)平臺資源不得用于與申請項(xiàng)目無關(guān)的用途，或自行轉(zhuǎn)讓給第三方使用。不得通過非正常手段或在非授權(quán)情況下以橋接、代理等方式來管理和使用一體化智能化公共數(shù)據(jù)平臺的服務(wù)和資源。

　　第十九條  市大數(shù)據(jù)局管理的機(jī)房進(jìn)出人員應(yīng)當(dāng)進(jìn)行登記審批，并由機(jī)房維護(hù)人員陪同進(jìn)出。不得帶領(lǐng)未授權(quán)人員進(jìn)入機(jī)房任何區(qū)域，進(jìn)行拍照、錄像、考察、參觀等活動。

　　貨物進(jìn)出機(jī)房應(yīng)當(dāng)進(jìn)行登記審批。設(shè)備在機(jī)架上的安裝位置應(yīng)當(dāng)有統(tǒng)一規(guī)劃，設(shè)備安裝應(yīng)當(dāng)在設(shè)備登記的指定位置，不允許安裝人員私自改變安裝位置。

　　加強(qiáng)機(jī)房相關(guān)的門禁卡、密碼等物品和信息管理。

　　第二十條  各處室定期組織對本部門管理的信息系統(tǒng)資產(chǎn)進(jìn)行全面梳理，明確專人維護(hù)管理，做到有臺賬、有記錄，及時釋放過期、僵尸資源，并將清查底數(shù)情況及時報領(lǐng)導(dǎo)小組辦公室備案。

　　第二十一條  各處室定期組織對本部門信息系統(tǒng)管理機(jī)制及落實(shí)情況進(jìn)行自查，重點(diǎn)檢查主機(jī)資源、信息系統(tǒng)日常管理機(jī)制和安全管理機(jī)制是否建立落實(shí)。

　　第二十二條  各處室落實(shí)等級保護(hù)措施，根據(jù)等級保護(hù)要求，對信息系統(tǒng)定期組織進(jìn)行安全狀況檢測、風(fēng)險評估和整改加固，重點(diǎn)檢查是否存在高危端口、高危漏洞、高?？诹?、異常賬號、異常操作、感染病毒等情況。

　　加強(qiáng)對網(wǎng)絡(luò)信息系統(tǒng)等級保護(hù)的指導(dǎo)，在組織全市電子政務(wù)領(lǐng)域的數(shù)字化資源普查中，將電子政務(wù)領(lǐng)域信息系統(tǒng)等級保護(hù)定級備案情況納入普查范圍。

　　第二十三條  除不可抗力造成的服務(wù)中斷外，各系統(tǒng)應(yīng)按照設(shè)計要求不間斷運(yùn)行。如確需臨時中斷信息系統(tǒng)服務(wù)且影響較大時，或長時間關(guān)停系統(tǒng)服務(wù)，各處室應(yīng)提前向領(lǐng)導(dǎo)小組報備，并通知受影響的其他單位。

　　第二十四條  對于機(jī)房、政務(wù)云等重要系統(tǒng)和設(shè)施的日常運(yùn)維管理實(shí)行7*24小時值班和每日零報告制度。重大活動和突發(fā)事件期間，相關(guān)應(yīng)急保障按照有關(guān)規(guī)定執(zhí)行。

　　第二十五條  領(lǐng)導(dǎo)小組辦公室定期組織技術(shù)力量進(jìn)行網(wǎng)絡(luò)信息安全技術(shù)檢測，并督促相應(yīng)的責(zé)任處室進(jìn)行整改。

　　第二十六條  加強(qiáng)局網(wǎng)絡(luò)數(shù)據(jù)安全力量整合，統(tǒng)籌安排相關(guān)安全經(jīng)費(fèi)。

　　第二十七條處室、個人違反本細(xì)則規(guī)定，由領(lǐng)導(dǎo)小組辦公室責(zé)令限期整改，逾期未整改或整改不到位的，報領(lǐng)導(dǎo)小組同意后，進(jìn)行通報；造成安全隱患或者導(dǎo)致信息安全一般事件發(fā)生的，對處室負(fù)責(zé)人約談；工作人員違法違規(guī)的，依法依規(guī)予以處理。

　　第二十八條  本細(xì)則由市大數(shù)據(jù)局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組辦公室進(jìn)行解釋。

　　第二十九條  本細(xì)則自發(fā)布之日起執(zhí)行。

　　附件：

寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡(luò)數(shù)據(jù)安全管理處室責(zé)任表

　寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡(luò)數(shù)據(jù)安全管理實(shí)施細(xì)則.pdf