省直各單位：

　　《浙江省公共信用信息平臺網(wǎng)絡安全管理暫行辦法》已經(jīng)省發(fā)展改革委第24次主任辦公會議審議通過，現(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。

浙江省發(fā)展和改革委員會

2019年11月4日

浙江省公共信用信息平臺網(wǎng)絡安全管理暫行辦法

第一章 總則

　　第一條 〔目的〕為加強和規(guī)范浙江省公共信用信息平臺（以下簡稱“省信用平臺”）網(wǎng)絡安全管理工作，切實維護社會公共利益，保護自然人、法人和其他組織的合法權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《浙江省公共信用信息管理條例》《浙江省政務數(shù)據(jù)安全管理辦法》等法律法規(guī)和文件，制定本辦法。

　　第二條 〔平臺定義〕本辦法所稱省信用平臺是指省本級建設的，依托統(tǒng)一電子政務網(wǎng)絡、電子政務云平臺等基礎設施，以公共信用信息庫、公共信用產(chǎn)品主題庫、信用應用工具和信用服務為主要構(gòu)成，向省市縣相關(guān)部門及社會公眾提供服務的一體化綜合性平臺。

　　第三條 〔網(wǎng)絡安全定義〕本辦法所稱網(wǎng)絡安全是指省信用平臺的管理者、建設者、運維者和使用者采取策略和措施，防范省信用平臺被攻擊、侵入、干擾、破壞以及公共信用數(shù)據(jù)被泄露、竊取和篡改等非法使用的能力、狀態(tài)和行為。

　　第四條 〔適用范圍〕本省行政區(qū)域內(nèi)省信用平臺的管理、建設、運維和使用活動，適用本辦法。

　　第五條 〔工作原則〕省信用平臺網(wǎng)絡安全工作堅持統(tǒng)分結(jié)合，堅持管理和技術(shù)并重，按照“誰主管誰負責，誰建設誰負責，誰使用誰負責”的原則，在各自職責范圍內(nèi)做好網(wǎng)絡安全保護工作，加強協(xié)同，合力保障平臺安全。

第二章 職責與分工

　　第六條 〔責任分工〕省發(fā)展和改革部門、省公共數(shù)據(jù)工作機構(gòu)、省公共信用工作機構(gòu)以及省信用平臺使用部門為省信用平臺安全責任部門。

　　第七條 〔省發(fā)展和改革部門職責〕省發(fā)展和改革部門負責統(tǒng)籌協(xié)調(diào)、總體推進省信用平臺建設、運維和規(guī)范運行，指導公共信用數(shù)據(jù)、產(chǎn)品或服務的使用和制定相關(guān)管理規(guī)范，督促各方落實安全保障責任。

　　第八條 〔省公共數(shù)據(jù)工作機構(gòu)職責〕省公共數(shù)據(jù)工作機構(gòu)負責提供電子政務網(wǎng)絡、電子政務云平臺、公共信用信息庫等基礎設施、數(shù)據(jù)資源和應用支撐，確保相關(guān)服務的安全穩(wěn)定，配合做好平臺安全保障工作。

　　第九條 〔省公共信用工作機構(gòu)職責〕省公共信用工作機構(gòu)負責建設、運維省信用平臺，統(tǒng)籌推進安全檢查和風險信息收集、分析、通報預警和重大事件應急處置等工作。

　　第十條 〔使用部門職責〕省信用平臺使用部門應確保本部門獲取的公共信用數(shù)據(jù)、產(chǎn)品或服務合法合規(guī)使用，配合做好平臺安全保障工作。在此過程中涉及的設區(qū)市、縣（市、區(qū)）公共數(shù)據(jù)工作機構(gòu)、公共信用工作機構(gòu)應同步做好安全防護措施。

第三章 技術(shù)防護

　　第十一條 〔總體技術(shù)防護〕省信用平臺安全責任部門應嚴格制定和落實技術(shù)防護策略，提升基礎設施安全、數(shù)據(jù)安全、應用安全技術(shù)防護能力。

　　第十二條 〔基礎設施安全〕省公共數(shù)據(jù)工作機構(gòu)應落實網(wǎng)絡安全等級保護等相關(guān)要求，做好設施、硬件、資源抽象控制等基礎設施平臺側(cè)的安全防護，為平臺提供符合相應安全等級保護要求的服務，提供開放接口允許接入第三方安全服務或安全產(chǎn)品。其他安全責任部門應做好虛擬計算資源、軟件平臺和應用平臺等租戶側(cè)的安全防護。

　　第十三條 〔數(shù)據(jù)安全〕省公共信用工作機構(gòu)應會同省公共數(shù)據(jù)工作機構(gòu)、省級公共信用信息提供單位對公共信用數(shù)據(jù)進行分級分類管理，并結(jié)合數(shù)據(jù)生命周期制定數(shù)據(jù)安全管控、數(shù)據(jù)備份和恢復策略，采取身份認證、授權(quán)訪問、數(shù)據(jù)脫敏、泄漏防護、安全審計等技術(shù)措施，對數(shù)據(jù)進行有效管控，防止未經(jīng)授權(quán)查詢、復制、修改、存儲或傳輸數(shù)據(jù)。

　　省信用平臺安全責任部門應按照相關(guān)法律法規(guī)和標準規(guī)范要求，嚴格落實公共信用數(shù)據(jù)保護措施，不得泄露、篡改或者毀損數(shù)據(jù)。使用部門應當履行安全保密義務，不得違反法律、法規(guī)或相關(guān)規(guī)定向第三方提供公共信用數(shù)據(jù)。

　　第十四條 〔使用安全〕按照網(wǎng)絡安全等級保護有關(guān)規(guī)定，省信用平臺安全責任部門應做好應用技術(shù)保障，包括但不限于應用系統(tǒng)（含數(shù)據(jù)庫、中間件、業(yè)務中臺等）的賬號管理、日志分析、漏洞修復、病毒查殺、網(wǎng)頁防篡改、反爬蟲、補丁更新以及相關(guān)安全事件處理和問題整改等。

　　省信用平臺安全責任部門要合理制定應用安全管理（口令、權(quán)限、訪問控制等）策略，嚴格用戶權(quán)限設置，將用戶權(quán)限控制在實際需要的最小范圍。提升用戶身份鑒別能力，提高登錄密碼設置的安全強度，切實做到人戶統(tǒng)一、專人專用。

第四章 管理保障

　　第十五條 〔制度管理〕省信用平臺安全責任部門應當按照網(wǎng)絡安全等級保護制度的要求， 制定內(nèi)部安全管理制度和操作規(guī)程，落實相關(guān)規(guī)范和安全運維策略等。

　　第十六條 〔人員管理〕省信用平臺安全責任部門應設置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查。平臺操作人員必須經(jīng)過上崗前的專業(yè)知識培訓，包括專門的信息安全培訓等。定期對操作人員進行網(wǎng)絡安全教育、技術(shù)培訓和技能考核。

　　第十七條 〔項目管理〕建立省信用平臺項目全流程管理體系。在立項環(huán)節(jié)，應根據(jù)國家網(wǎng)絡安全等級保護制度的要求確定保護級別，并同步編制安全建設方案；在開發(fā)、集成環(huán)節(jié)，應選擇具有相應資質(zhì)和能力（安全）的單位承擔相關(guān)工作，開發(fā)、集成工作應符合相關(guān)規(guī)范要求；在驗收環(huán)節(jié)，平臺應完成等保測評和風險評估；在運行環(huán)節(jié)，平臺應定期開展等保測評、風險評估和安全檢查。

　　第十八條 〔經(jīng)費保障〕省信用平臺安全責任部門應建立網(wǎng)絡安全設施設備（服務）采購機制，落實經(jīng)費保障，提高經(jīng)費使用效率。

第五章 檢測監(jiān)測與應急處置

　　第十九條 〔安全檢測監(jiān)測〕省公共信用工作機構(gòu)應建立健全網(wǎng)絡安全監(jiān)測預警機制，定期對平臺進行安全檢測評估并出具檢測報告。

　　第二十條 〔應急預案〕省信用平臺安全責任部門應制定完善本部門網(wǎng)絡安全事件應急預案，建立健全網(wǎng)絡安全應急工作機制，明確工作責任、事件分級和應急處置措施。

　　第二十一條 〔應急演練〕省信用平臺安全責任部門應定期組織應急支撐力量，開展應急演練，及時消除各類網(wǎng)絡安全風險隱患。

　　第二十二條 〔應急處置〕省信用平臺發(fā)生數(shù)據(jù)泄露、損毀、丟失等安全事件時，省信用平臺安全責任部門要按照應急預案啟動應急響應，采取技術(shù)措施和其他必要措施防止危害擴大，及時向省公安部門報告并保存相關(guān)記錄。安全事件處置完成后，應向省發(fā)展和改革部門及相關(guān)主管部門報告。

第六章 監(jiān)督與責任追究

　　第二十三條 〔監(jiān)督〕省發(fā)展和改革部門在履行安全管理職責中，發(fā)現(xiàn)其他安全責任部門責任落實不到位，存在較大安全風險或發(fā)生網(wǎng)絡安全事件的，應及時提出整改意見并督促落實。省信用平臺安全責任部門要根據(jù)有關(guān)整改意見按要求進行整改，并按照要求反饋整改情況。

　　第二十四條 〔責任追究〕省信用平臺安全責任單位發(fā)生重大數(shù)據(jù)安全事件的，由具有管理權(quán)限的部門依據(jù)法律法規(guī)進行問責追責，構(gòu)成犯罪的依法追究刑事責任。

第七章 附則

　　第二十五條 本辦法由浙江省發(fā)展和改革委員會負責解釋。

　　第二十六條 本辦法自12月1日起施行。