局機關各處、市大數(shù)據(jù)管理服務中心、市智慧城市規(guī)劃標準發(fā)展研究院,各有關單位：

　　《寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡數(shù)據(jù)安全管理實施細則》已經局黨組會議審議通過，現(xiàn)印發(fā)給你們，請認真組織實施。

　　寧波市大數(shù)據(jù)發(fā)展管理局

　　2021年8月20日

　　寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡數(shù)據(jù)安全管理實施細則

　　第一條  為落實《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《浙江省公共數(shù)據(jù)和電子政務管理辦法》《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》《寧波市公共數(shù)據(jù)安全管理暫行規(guī)定》《寧波市公共數(shù)據(jù)管理辦法》等法律規(guī)章規(guī)定，加強市大數(shù)據(jù)局網(wǎng)絡數(shù)據(jù)安全管理，保障網(wǎng)絡數(shù)據(jù)安全，制定本細則。

　　第二條　市大數(shù)據(jù)局及內設各處室和下屬單位（以下簡稱各處室）負責的網(wǎng)絡數(shù)據(jù)安全管理工作，適用本細則。

　　本細則所稱網(wǎng)絡數(shù)據(jù)安全管理，包括市大數(shù)據(jù)局及各處室負責建設、運營、維護、使用、管理的網(wǎng)絡/物聯(lián)網(wǎng)、數(shù)據(jù)平臺/政務云平臺、信息系統(tǒng)/應用系統(tǒng)和數(shù)據(jù)采集、歸集、存儲、使用、加工、傳輸、共享、開放等數(shù)據(jù)治理工作的安全監(jiān)管。

　　第三條　市大數(shù)據(jù)局成立由主要領導任組長的局網(wǎng)絡信息安全工作領導小組，全面落實網(wǎng)絡信息安全主體責任，定期會商網(wǎng)絡數(shù)據(jù)安全工作。領導小組下設辦公室（設在數(shù)字基礎設施和安全處），負責局網(wǎng)絡信息安全日常管理工作，牽頭擬訂并組織實施網(wǎng)絡數(shù)據(jù)安全總體應急預案和年度工作方案，組織開展應急演練，組織或協(xié)同網(wǎng)信、公安等部門開展網(wǎng)絡信息安全檢查，開展服務商網(wǎng)絡安全背景審查，組織網(wǎng)絡數(shù)據(jù)安全培訓，組織開展網(wǎng)絡數(shù)據(jù)安全重?；顒?。

　　各處室負責落實各自職責相應的網(wǎng)絡數(shù)據(jù)安全工作責任，建立健全網(wǎng)絡數(shù)據(jù)安全管理工作機制，將安全責任具體落實到人，組織制定各系統(tǒng)應急預案和操作手冊，組織相關應急演練，并形成相應的記錄文檔，落實網(wǎng)絡數(shù)據(jù)安全相關工作。

　　第四條  所有網(wǎng)絡信息系統(tǒng)必須嚴格落實等級保護制度，按照同步規(guī)劃、同步建設、同步使用的“三同步”原則，及時定級備案和測評整改。等保三級以上信息系統(tǒng)落實商用密碼應用安全性評估。

　　各處室應針對應用系統(tǒng)的安全需求，制定有效的安全措施，并對安全措施的有效性進行必要的評估、驗證。

　　第五條  各處室應當與各第三方服務團隊簽訂網(wǎng)絡安全、數(shù)據(jù)安全和保密等協(xié)議，明確責任邊界和違約責任。

　　網(wǎng)絡數(shù)據(jù)安全管理責任不隨服務外包而轉移，無論數(shù)據(jù)、系統(tǒng)和服務是位于獨立設備、云平臺還是在外部服務商，各處室始終是網(wǎng)絡數(shù)據(jù)安全的最終責任人。

　　第六條  各處室發(fā)現(xiàn)網(wǎng)絡使用管理或數(shù)據(jù)處理存在安全隱患、網(wǎng)絡威脅和安全事故時，應當及時告知領導小組辦公室或直接報告領導小組，同時按規(guī)定報告網(wǎng)信或有關部門和告知用戶，并采取措施加以預防、制止或處置。在發(fā)生特殊的網(wǎng)絡信息安全突發(fā)應急事件時，可先采取包括停止服務在內的緊急措施，以避免信息安全事件的進一步擴大。當安全隱患、網(wǎng)絡威脅和安全事故消除后，應及時恢復正常使用。

　　對網(wǎng)絡數(shù)據(jù)安全風險處置涉及有關單位和個人的，領導小組或辦公室可以按有關規(guī)定對有關單位和個人進行約談，并要求進行整改，消除隱患。

　　第七條所有使用人不得利用本單位網(wǎng)絡從事違反國家法律法規(guī)和單位有關規(guī)章制度的活動，不得在互聯(lián)網(wǎng)上發(fā)表和散布錯誤和非法言論，不得登錄非法和違規(guī)網(wǎng)站。

　　不得以任何手段破壞、阻礙、修改或竊取單位網(wǎng)絡正常傳輸?shù)臄?shù)據(jù)，不得對單位所有的各種設備、軟件和系統(tǒng)進行攻擊和非法侵入。

　　不得在終端和設備上運行非法程序和惡意軟件，訪問未授權地址和非法地址。

　　第八條  各處室管理的各種終端、設備、軟件和系統(tǒng)原則上通過市級政務外網(wǎng)的統(tǒng)一互聯(lián)網(wǎng)出口連接國際互聯(lián)網(wǎng)，未經許可不得自建互聯(lián)網(wǎng)出口。因特殊情況確需單獨建設互聯(lián)網(wǎng)出口的，應當報經領導小組同意，領導小組辦公室審批。

　　所有終端、設備、軟件和系統(tǒng)均需設置符合要求的登錄密碼，刪除不需要的用戶。在滿足運行需要的前提下，采用最小化用戶權限分配原則，禁用不必要的服務。

　　第九條  各處室應當給授權訪問人員分配唯一、高強度、定期更新密碼的操作賬號，實現(xiàn)操作行為可定位、溯源。不得多人共用一個操作賬號。

　　第十條  市大數(shù)據(jù)局辦公網(wǎng)絡的IP地址按照統(tǒng)一規(guī)劃進行組織分配和登記信息，并統(tǒng)一進行網(wǎng)絡接入設備的配置，各處室不得隨意更改。終端設備報廢時，按照統(tǒng)一組織銷毀的原則，作好備案登記。

　　第十一條  各處室辦公設備接入局辦公網(wǎng)絡應當進行網(wǎng)絡安全檢查。各第三方服務團隊使用的辦公設備由對應責任處室負責管理，如需接入局辦公網(wǎng)絡的，應當按照規(guī)定報領導小組辦公室同意后方可接入。

　　所有接入局辦公網(wǎng)絡的終端設備均應安裝正版軟件和正版殺毒防護軟件，并及時更新升級防護程序、病毒庫和操作系統(tǒng)補丁。

　　第十二條  各處室加強數(shù)據(jù)備份工作，對重要數(shù)據(jù)應定期進行備份，防止因數(shù)據(jù)備份不及時、不完整等原因造成數(shù)據(jù)丟失。

　　第十三條  各處室要嚴格控制可以訪問重要數(shù)據(jù)的人員數(shù)量和帳號。不得將數(shù)據(jù)資源以任何未授權方式存儲到個人存儲介質和帶離工作環(huán)境。

　　所有使用人不得以任何未授權方式對數(shù)據(jù)資源進行新增、查詢、修改、刪除、復制、轉移等操作，不得將數(shù)據(jù)資源在授權工作范圍之外以任何方式進行使用。

　　所有使用人在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、涉密涉敏信息等數(shù)據(jù)應當依法予以保密，不得泄露或非法向他人提供。嚴格控制共享數(shù)據(jù)使用范圍，不得擅自轉讓給第三方使用。

　　第十四條  在使用和處理數(shù)據(jù)過程中，因數(shù)據(jù)匯聚、關聯(lián)分析等原因，可能產生涉密、涉敏數(shù)據(jù)的，應當進行安全評估，征求相關專家的意見，并根據(jù)評估和征求意見情況采取相應的安全措施。

　　第十五條  市電子政務外網(wǎng)為非涉密網(wǎng)絡，各處室通過網(wǎng)絡開展不涉及國家秘密的業(yè)務。各處室不得接入涉密計算機、涉密網(wǎng)絡設備，不得在市政務外網(wǎng)上傳輸、處理和存儲涉密信息，不得使用涉密存儲介質。

　　所有接入市電子政務外網(wǎng)的業(yè)務應用系統(tǒng)要采用數(shù)字證書的，應使用國家政務外網(wǎng)數(shù)字證書。

　　各處室不得隨意更改市電子政務外網(wǎng)的接入線路和網(wǎng)絡接入設備的配置。

　　第十六條  市大數(shù)據(jù)局信息按照規(guī)范流程進行發(fā)布，嚴格執(zhí)行信息發(fā)布登記、審核制度，原則上在每類信息發(fā)布渠道上只有一個信息發(fā)布主體賬號，降低網(wǎng)絡數(shù)據(jù)安全風險。

　　各處室在平臺發(fā)布信息需經統(tǒng)一審核。

　　第十七條  各處室按照職能加強局管理的信息平臺（網(wǎng)站、微信公眾號、微博、視頻號、小程序、短信平臺及應用等）和政府端、服務端的安全監(jiān)管，傳播社會主義核心價值觀，督促相關建設方或運營方及時發(fā)現(xiàn)和消除網(wǎng)絡安全漏洞和隱患，提高信息平臺、終端的安全防護能力。

　　第十八條  市大數(shù)據(jù)局加強一體化智能化公共數(shù)據(jù)平臺（寧波城市大腦）的安全管理，建立落實安全制度，嚴格落實網(wǎng)絡數(shù)據(jù)安全保護措施，做好網(wǎng)絡攻擊的安全防護。

　　一體化智能化公共數(shù)據(jù)平臺不得部署涉密信息系統(tǒng)和使用涉密信息。

　　一體化智能化公共數(shù)據(jù)平臺資源不得用于與申請項目無關的用途，或自行轉讓給第三方使用。不得通過非正常手段或在非授權情況下以橋接、代理等方式來管理和使用一體化智能化公共數(shù)據(jù)平臺的服務和資源。

　　第十九條  市大數(shù)據(jù)局管理的機房進出人員應當進行登記審批，并由機房維護人員陪同進出。不得帶領未授權人員進入機房任何區(qū)域，進行拍照、錄像、考察、參觀等活動。

　　貨物進出機房應當進行登記審批。設備在機架上的安裝位置應當有統(tǒng)一規(guī)劃，設備安裝應當在設備登記的指定位置，不允許安裝人員私自改變安裝位置。

　　加強機房相關的門禁卡、密碼等物品和信息管理。

　　第二十條  各處室定期組織對本部門管理的信息系統(tǒng)資產進行全面梳理，明確專人維護管理，做到有臺賬、有記錄，及時釋放過期、僵尸資源，并將清查底數(shù)情況及時報領導小組辦公室備案。

　　第二十一條  各處室定期組織對本部門信息系統(tǒng)管理機制及落實情況進行自查，重點檢查主機資源、信息系統(tǒng)日常管理機制和安全管理機制是否建立落實。

　　第二十二條  各處室落實等級保護措施，根據(jù)等級保護要求，對信息系統(tǒng)定期組織進行安全狀況檢測、風險評估和整改加固，重點檢查是否存在高危端口、高危漏洞、高?？诹?、異常賬號、異常操作、感染病毒等情況。

　　加強對網(wǎng)絡信息系統(tǒng)等級保護的指導，在組織全市電子政務領域的數(shù)字化資源普查中，將電子政務領域信息系統(tǒng)等級保護定級備案情況納入普查范圍。

　　第二十三條  除不可抗力造成的服務中斷外，各系統(tǒng)應按照設計要求不間斷運行。如確需臨時中斷信息系統(tǒng)服務且影響較大時，或長時間關停系統(tǒng)服務，各處室應提前向領導小組報備，并通知受影響的其他單位。

　　第二十四條  對于機房、政務云等重要系統(tǒng)和設施的日常運維管理實行7*24小時值班和每日零報告制度。重大活動和突發(fā)事件期間，相關應急保障按照有關規(guī)定執(zhí)行。

　　第二十五條  領導小組辦公室定期組織技術力量進行網(wǎng)絡信息安全技術檢測，并督促相應的責任處室進行整改。

　　第二十六條  加強局網(wǎng)絡數(shù)據(jù)安全力量整合，統(tǒng)籌安排相關安全經費。

　　第二十七條處室、個人違反本細則規(guī)定，由領導小組辦公室責令限期整改，逾期未整改或整改不到位的，報領導小組同意后，進行通報；造成安全隱患或者導致信息安全一般事件發(fā)生的，對處室負責人約談；工作人員違法違規(guī)的，依法依規(guī)予以處理。

　　第二十八條  本細則由市大數(shù)據(jù)局網(wǎng)絡信息安全工作領導小組辦公室進行解釋。

　　第二十九條  本細則自發(fā)布之日起執(zhí)行。

　　附件：

寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡數(shù)據(jù)安全管理處室責任表

　寧波市大數(shù)據(jù)發(fā)展管理局網(wǎng)絡數(shù)據(jù)安全管理實施細則.pdf