数据安全管理办法

第一章 总 则 第一条 为保障平台（以下简称“平台”）数据安全，规范数据开放、利用，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《浙江省公共数据开放与安全管理暂行办法》、《浙江省公共数据和电子政务管理办法》、《浙江省市场监管系统网络与信息安全管理办法》、《浙江省市场监督管理局数据安全管理办法》、《宁波市奉化区市场监督管理局网络与信息安全管理办法》等法律法规及相关管理制度要求，制定本办法。 第二条 本办法所称数据指平台运营过程中产生及获得的各类数据。 第三条 本办法适用于数据采集、归集、清洗、共享、开放、利用和销毁等数据全生命周期的安全管理，防止数据被非法获取、篡改、泄露或者不当利用。 第四条 本办法所涉及的数据仅指非涉密数据，涉密数据的安全管理参考涉密相关规定。 第二章 组织与职责 第五条 平台网络信息安全领导小组是数据安全工作的领导决策机构，奉化区气动产业质量基础一站式服务平台领导小组负责指导、统筹协调数据安全的管理工作，组织制定数据安全管理要求，落实数据安全管理和保障工作，开展数据安全监测、审计、评估、测评工作。 第三章 数据分类分级管理 第六条 平台应按照有关数据安全管理办法开展本部门数据分类分级工作。分类分级方法参见附表1，分类分级、开放类型和范围参见附表2。 第七条 平台领导小组组织开展数据分类分级情况论证、审查工作，确定数据开放范围。 第八条 平台应根据网络与信息安全管理要求，统筹考虑数据安全保护措施，确保数据安全保护与信息系统同步规划、同步建设、同步投入使用。 第九条 平台业务出现变化时，应及时调整数据分类分级情况，并向局科技与信息化办公室重新报备。局科技与信息化办公室根据重新报备的分级分类情况动态调整数据安全保护措施。 第四章 数据安全人员管理 第十条 任何人员应在许可权限范围内访问和使用数据，不得非法获取、泄露、篡改、破坏或不当利用数据。 第十一条 平台应采取完善的技术防护措施，对外部人员在日常数据操作过程进行全程监督、控制、记录。 第十二条 为信息系统提供技术服务的第三方服务机构及人员，应签署数据安全保密协议，机构还应签署网络安全责任书。 第五章 数据安全评估 第十三条 平台每年负责组织一次数据安全自查工作，内容包括人员管理、制度保障、权限管理等方面。针对数据安全自查过程中发现的问题，应制定整改方案，实施整改。 第十四条 平台应对开放共享数据进行审查、评估，必要时通过合同或协议约定数据安全保护责任、使用范围和反馈机制，确保数据安全风险可控。 第六章 数据安全措施 第十五条 所有数据的批量操作应落实审批程序、全过程监控，严禁未经授权访问和操作数据。信息系统中的数据批量查询、导出应进行数量限定，对超出限定的操作采用双因子授权。 第十六条 2级及以上的数据不得用于信息系统开发、测试等工作；3级数据在全生命周期过程中应采用加密、脱敏等技术手段，使用符合国家相关要求的密码产品和服务。 第十七条 数据采集时信息系统应提供数据有效性检验功能，保证输入的格式、内容符合数据安全的要求。 第十八条 数据传输原则上应采用内容加密、HTTPS作为传输协议等技术手段确保传输保密性，对违规行为进行告警和阻断，防止数据被破坏或泄露。 第十九条 数据发布时数据安全主体责任部门应对公开发布的数据内容进行审核，通过脱敏、模糊化等技术手段防止敏感数据泄露。 第二十条 数据存储应落实本地或异地数据备份机制，定期进行数据备份与恢复演练，保证数据完整性、可恢复性、可用性；重要数据存储应采用应用层加密、网关层加密、存储系统加密等技术手段对数据进行加密，不得在境外存储。 第二十一条 数据销毁应参照《信息安全技术 数据销毁软件产品安全技术要求》（GA/T 1143-2014）等有关规定执行。 第七章 附 则 第二十二条 本办法由奉化区气动产业质量基础设施一站式服务平台领导小组负责解释，自发布之日起生效执行。