各市、县人民政府,自治区人民政府各组成部门、各直属机构:
《广西政务数据安全保障实施方案》已经数字广西建设领导小组同意,现印发给你们,请认真贯彻执行。
广西壮族自治区数字广西建设领导小组办公室(代)
2020年5月12日
(此件公开发布)
广西政务数据安全保障实施方案
根据《自治区党委办公厅 自治区人民政府办公厅关于印发〈广西政务数据资源管理与应用改革实施方案〉的通知》(厅发〔2019〕141号)、《广西壮族自治区数字广西建设领导小组办公室关于印发广西政务数据治理实施方案的通知》(桂数广办发〔2020〕13号)等有关文件要求,为加快构建一云承载、一网通达、一池共享、一事通办、一体安全的“五个一”政务数据治理新模式,全面推进广西政务数据安全保障工作,特制定本方案。
一、总体要求
(一)指导思想。
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中全会精神,以及总体国家安全观,严格执行和落实网络安全法及相关网络安全工作条例,按照自治区党委、自治区人民政府的决策部署,加强基础设施安全建设和防护,建立基础共性、关键技术、安全管理、重点领域四大类数据安全标准体系,鼓励创新技术成果向标准转化,切实保障政务数据共享、公共数据开放、数据融合应用过程安全,构建一体安全防护体系,维护国家安全和社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,为数字经济高质量发展保驾护航。
(二)主要目标。
到2020年12月底,初步建立数据安全标准体系,有效落实数据安全管理要求,推进标准在重点领域中的应用,政务数据一体安全初见成效。推进基础设施安全建设,提高基础设施防护能力,加强信息系统安全管理;落实网络安全等级保护要求,加强对关键信息基础设施的保护;建立全区政务网络安全监测、预警和应急响应联动机制,完善网络安全应急联动体系。
到2021年12月底,健全完善数据安全标准体系,标准技术水平、应用水平和国际化水平显著提高,持续完善政务数据安全技术与管理并重的安全体系,实现物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理和运维管理的一体安全模式。
二、重点工作
(一)推进基础设施安全建设。完善广西电子政务外网和壮美广西·政务云安全顶层设计,完善安全防护措施,加大关键信息基础设施保护工作力度。落实广西电子政务外网、壮美广西·政务云的网络安全等级保护备案和测评工作,提升运维管理和应急处置能力;加强全区公共支撑共性服务应用和平台安全建设,强化广西数字政务一体化平台、自治区数据共享交换平台、自治区公共数据开放平台等安全顶层设计,加强平台自身安全保护,确保平台系统安全运行,确保政务数据使用、调度过程的安全可用、可控和可溯。
1.明晰基础设施安全责任。自治区大数据发展局统筹协调广西电子政务外网、壮美广西·政务云安全防护体系建设和安全管理工作,推进安全防护建设和负责制定安全管理规范。自治区信息中心负责加快推进建设壮美广西·政务云自治区级安全资源池、“两地三中心”灾备体系,完成自治区本级电子政务外网安全态势感知平台建设,实现对广西电子政务外网、壮美广西·政务云平台的安全监测和安全态势评估,指导推动市级电子政务外网态势感知体系建设,建设广西电子政务外网两级安全监测联动体系。(责任单位:自治区大数据发展局、信息中心,自治区各级各部门各单位,各市、县人民政府,完成时限:2020年6月底)
2.落实基础设施安全管理责任。各级电子政务外网和壮美广西·市云的建设管理单位负责制定和落实本级电子政务外网、壮美广西·市云各项安全建设任务及管理制度规范,执行壮美广西·政务云安全技术措施和开展应急演练工作,接受自治区大数据发展局的安全考核。(责任单位:自治区信息中心,各市、县人民政府,完成时限:2020年6月底)
3.明晰公共支撑平台安全责任。自治区大数据发展局统筹做好广西数字政务一体化平台、自治区数据共享交换平台、自治区公共数据开放平台等安全管理工作,负责制定相关平台安全管理规范,承担安全管理责任。(责任单位:自治区大数据发展局、信息中心,完成时限:持续推进)
4.加大关键信息基础设施保护工作力度。加快推进全区信息系统关键信息基础设施认定工作,指导信息系统关键信息基础设施的责任单位按照关键信息基础设施保护的相关要求加强防护;定期对信息系统关键信息基础设施的网络安全工作情况的抽查检测,提出改进意见,指导、督促及时整改检查中发现的问题。(牵头部门:自治区党委网信办,责任部门:自治区各部门各单位、各市、县人民政府,完成时限:持续推进)
(二)加强信息系统安全保护。按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实信息系统网络安全等级保护制度,加强信息系统在设计、开发、部署和运行维护等环节的安全保护工作,确保安全管理全流程闭环。
1.加强信息系统安全管理和技术防护。各地各部门各单位负责本部门本单位部署在壮美广西·政务云上的信息系统运行安全、数据安全。加强信息系统的主机、操作系统、平台软件、中间件、数据库和数据等安全管理工作,配合自治区信息中心做好信息系统迁移上云前安全检测工作,完善信息系统安全防护措施。严格遵守有关保密法等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术,并定期开展密码应用安全性评估,确保信息系统运行安全、政务数据共享交换和公共数据开放的数据安全。制定信息系统安全规范和开展应急、攻防演练工作。(牵头部门:自治区党委网信办,自治区公安厅、大数据发展局、信息中心,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:持续推进)
2.加强信息系统网络安全等级保护工作。全面落实全区各级信息系统的网络安全等级保护备案和测评整改工作,定期开展全区信息系统的等级保护测评结果的整改检查工作,对存在未定级备案和多次未通过测评的信息系统进行通报批评。(牵头部门:自治区公安厅,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:持续推进)
(三)加强政务数据和公共数据安全保障。政务数据和公共数据安全采取积极防御、综合防范的方针,保障政务数据和公共数据安全与融合应用相协调、管理与技术统筹兼顾的原则,实行统一协调、分级管理、分工负责。加强政务数据和公共数据安全管理,建立健全政务数据和公共数据安全保障规范和标准体系,确保政务数据和公共数据保密性、完整性和可用性,预防政务数据和公共数据安全事件发生。
1.完善数据安全防护顶层设计。完善政务数据和公共数据安全防护顶层设计,推动政务数据和公共数据防窃密、防篡改、防泄露、数据脱敏、数据审计、数据备份、加密认证、流动溯源等安全技术部署,提升重要政务数据资源和个人信息安全保护能力,建立健全政务数据和公共数据安全技术防护体系。(牵头部门:自治区大数据发展局、信息中心,自治区党委网信办,自治区公安厅,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:2020年12月底)
2.建立四大类数据安全标准体系。加强标准的统筹规划,做好与国家标准、相关领域行业标准的衔接工作,充分发挥标准在保障数据安全、推动行业健康有序发展中的支撑和引领作用,制定出台数据安全标准体系建设指南,有效建立数据安全标准体系。基于自治区统一的数据安全标准体系,自治区各部门各单位牵头制定本行业政务数据和公共数据安全标准,明确政务数据和公共数据分类分级以及在采集、传输、存储、处理、交换、应用、备份、销毁等环节的安全管理和规范。鼓励创新技术成果向标准转化,强化标准的实施与应用,加强标准的国际交流与合作,提升标准对数据安全保护的整体支撑作用。(牵头部门:自治区大数据发展、信息中心、市场监管局,配合部门:自治区党委网信办、自治区公安厅、自治区各部门各单位,完成时限:2020年12月底)
3.加强数据安全管理。各地各部门各单位根据《广西壮族自治区大数据发展局关于印发广西政务数据资源调度管理办法的通知》(桂数发〔2020〕9号)、《广西公共数据开放管理办法》制定本地本部门本单位政务数据安全管理制度,明确数据安全责任人,完善政务数据和公共数据安全防护措施。加强政务数据共享、公共数据开放和数据融合应用过程的安全保护,明确政务数据和公共数据调度安全要求和责任。(牵头部门:自治区大数据发展局、信息中心,自治区党委网信办,自治区公安厅,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:持续推进)
(四)建立政务数据和公共数据网络安全监测预警、应急响应联动体系。建立全区统一的政务数据网络安全情报共享、监测预警与信息通报工作机制,部署建设标准统一、安全情报共享的政务网络、舆情、数据安全监管平台,监测广西电子政务外网、壮美广西·政务云、政务信息系统、政务数据安全状况,实现统一发布政务网络安全预警和安全事件通报。按照“统一指挥、密切协同、快速反应、科学处置”的原则,建立健全政务数据网络安全应急响应工作机制,推动各地各部门及时高效地发现和处置政务数据网络安全事件,实现应急响应工作并通过监测、验证、分析、通报、处置、反馈、确认、归档等工作环节,预防和减少政务网络安全事件造成的损失和危害。
1.建立协调联动机制。建立跨部门、跨区域的全区统一政务数据和公共数据安全情报共享、安全监测预警与信息通报工作机制,自治区大数据发展局部署建设标准统一、安全情报共享的电子政务外网舆情、数据安全监管平台,组织协调自治区政务数据和公共数据网络监测预警和应急响应工作,与自治区党委网信办、自治区公安厅相关技术平台实现信息共享、协调联动。各市、县参照建立。(牵头部门:自治区大数据发展局、自治区党委网信办、自治区国家保密局、自治区密码管理局,自治区公安厅、通信管理局、应急厅,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:2020年12月底)
2.建立日常工作机制。建立自治区、市、县三级政务数据和公共数据网络日常工作机制,对政务数据和公共数据安全状况进行全面监测,定期开展安全检查、风险评估工作,及时发布政务数据和公共数据安全监测预警信息。各地各部门各单位要分别确定网络安全分管领导与网络安全具体负责人,明确本地本部门本单位网络安全责任,确保政务数据和公共数据网络安全监测预警工作日常运转。(牵头部门:自治区大数据发展局、自治区党委网信办、自治区国家保密局、自治区密码管理局,自治区公安厅、通信管理局,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:2020年12月底)
3.建立应急响应机制。建立自治区、市、县三级政务数据和公共数据网络应急响应处置机制,统筹协调政务数据和公共数据安全事件处置,制定本地本部门本单位网络安全应急预案,建立24小时通畅、可靠的网络安全应急联络渠道,做好网络安全事件的预防、监测、报告和应急处置工作。(牵头部门:自治区大数据发展局、自治区党委网信办、自治区国家保密局、自治区密码管理局,自治区公安厅、通信管理局、应急厅,责任部门:自治区各部门各单位,各市、县人民政府,完成时限:2020年12月底)
(五)制定出台地方性法规。加快出台《广西政务数据安全保障条例》等,实现对广西政务数据和公共数据全生命周期的管理,规范全区政务数据共享、公共数据开放及数据安全应用等。(责任单位:自治区大数据发展局、自治区党委网信办、自治区公安厅,配合部门:自治区各部门各单位,各市、县人民政府,完成时限:2021年6月底)
三、组织保障
(一)加强责任落实。各地各部门各单位要充分认识推动数字广西建设中政务数据共享、公共数据开放和数据应用的重要性和必要性,在合理释放数据红利的同时,要切实提高政务数据和公共数据安全管理意识,严格落实政务数据和公共数据安全主体责任,严守政务数据和公共数据的安全。
(二)加强统筹协调。各地各部门各单位要加强配合、形成合力,明确政务数据和公共数据安全工作责任部门和责任人,细化工作措施和责任分工,做到措施到位、责任到人,确保政务数据安全和公共数据各项任务落实到位、取得实效。
(三)加强评价监督。各地各部门各单位要建立政务数据和公共数据安全工作评价常态化机制,督促检查工作的落实情况。审计部门要依法履行职责,加强对政务数据和公共数据安全建设资金审计监督。
(四)建立专家制度。各级可设立政务数据安全和公共数据专家咨询委员会。聘任网络信息安全、数据应用、技术标准规范等领域的专家,加强在数据开放、共享、应用等方面的网络安全问题研究。为数据安全政策标准制定、重大网络数据安全风险评估等提供决策支撑,为各部门各单位落实数据网络安全提供咨询。
(五)强化资金保障。各有关部门将网络安全防护能力建设纳入相应部门预算予以保障,全面提升网络安全综合处理能力;加强绩效评价管理。各级大数据管理部门要按照自治区预算绩效管理的有关要求,每年负责牵头组织本级相关部门开展网络和信息安全项目绩效自评工作,汇总形成本级自评报告并将相应自评结果报同级财政部门。各级财政部门组织进行绩效再评价工作,评价结果按照各级有关规定进行相应结果应用,切实提高财政资源配置效率和使用效益。