安徽省数据资源管理局关于印发
《安徽省政务服务平台管理办法(试行)》的通知
各市数据资源局,合肥、宿州市政务服务局:
现将《安徽省政务服务平台管理办法(试行)》印发给你们,请遵照执行。
安徽省数据资源管理局
2023年2月10日
安徽省政务服务平台管理办法(试行)
第一章 总 则
第一条 为确保我省政务服务平台安全、平稳、规范、高效运行,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《国务院关于在线政务服务的若干规定》等法律法规,以及《国务院办公厅关于全国一体化政务服务平台运行管理办法的通知》(国办函〔2022〕92号)等政策要求,结合我省实际,制定本办法。
第二条 本办法所称政务服务平台是指办理政务服务事项的平台,包括省级政务服务平台(以下简称省级平台)、市级政务服务平台(以下简称市级平台)和各级行业主管部门建设的政务服务事项办理系统(以下简称部门系统)。政务服务事项包括纳入政务服务事项目录清单的依申请办理的行政权力事项和公共服务事项。
(一)行政权力事项包括依申请办理的行政许可、行政确认、行政裁决、行政给付、行政奖励、行政备案及其他行政权力事项;
(二)公共服务事项包括公共教育、劳动就业、社会保险、医疗卫生、养老服务、社会服务、住房保障、文化体育、扶残助残等领域依申请办理的事项。
第三条 本办法适用于我省政务服务平台的规划、建设、管理、运营、维护等活动。
第二章 职责分工
第四条 各级政务服务管理机构负责对本部门建设运行的政务服务平台进行管理,以及对本级其他部门的政务服务工作进行监督协调。
第五条 各级平台建设管理单位应当充分依托全省一体化数据基础平台的支撑服务能力,加强平台规划、建设、管理、运营和维护等活动管理。
各级平台建设管理单位应当按照国家网络安全等级保护、数据安全、密码应用、关键信息基础设施安全保护等法律法规要求,落实平台网络安全主体责任,规范安全建设和安全运行,加强数据安全、业务安全、接入安全保障,落实相关保障措施,确保平台网络安全。
各级平台建设管理单位应当建立健全平台网络安全责任体系和保护制度,明确一名负责同志分管平台网络安全保护工作,确定具体承担网络安全保护工作的责任部门。
各级平台建设管理单位应当加强平台保密管理,防止敏感数据外泄。严禁将涉密计算机、涉密存储设备接入平台,严禁使用平台存储、处理国家秘密信息。
各级平台建设管理单位应当严格遵守有关法律法规和文件要求,依据相关技术标准,同步规划编制网络安全建设方案, 同步建设网络安全防护系统,同步开展网络安全运行工作,持续完善网络安全防护体系,不断提高防护水平,确保有效应对内外部网络安全风险和威胁。
第三章 平台管理
第六条 政务服务平台应当确保政务服务和服务应用等准确、稳定可靠,并加强服务监控管理。
政务服务平台不得擅自暂停或终止政务服务和服务应用,确需暂停或终止的,应当与本地区政务服务管理机构协商一致,并及时发布公告。涉及民生、营商环境等高频重点服务暂停或终止前,须向省级平台管理部门备案。不得擅自在其网络边界设置可能阻止、限制正常访问的策略。
政务服务平台应当采取巡检、第三方测试等方式对政务服务和服务应用实施动态监控,对发现的问题按程序处置并及时报相关主管部门备案。
第七条 政务服务平台运维运营工作主要包括:
(一)统筹政务服务平台的运维运营管理,组织制定相关管理制度和标准规范;
(二)组织、实施、管理政务服务平台日常运维运营工作;
(三)做好政务服务平台热点服务、高频应用、重点功能等的宣传推广工作。
第八条 各市、各部门依托我省一体化在线政务服务平台事项库,编制汇聚政务服务事项基本目录和实施清单,确保政务服务事项数据同源、动态更新、联动管理、内容准确。
第九条 政务服务管理机构应加强省级平台、市级平台的电子监察,确保业务及时办理、及时反馈。
第十条 平台建设管理单位应建立常态化培训机制,组织岗前培训和日常培训,加强对政务服务事项办理人员、运维运营人员、网络安全保障人员的业务、技术和安全教育培训,不断提高服务保障水平和能力。
第四章 安全管理
第十一条 平台建设管理单位应当对政务服务业务操作进行严格的权限管理,关键政务服务业务操作应当采取审批、操作、核验分离措施。
平台建设管理单位应当持续对关键政务服务业务进行监测,发现安全风险隐患或安全事件及时处置,对其他政务服务平台可能造成关联影响的及时报告公安部门。
个人或法人用户注册、修改绑定手机号或口令的,平台建设 管理单位应当进行实名身份核验。
个人或法人用户访问敏感业务或查看敏感信息的,平台建设管理单位应当采用人脸等生物特征、数字证书或电子营业执照等 方式进行二次核验,不得把生物特征作为唯一核验方式。
使用生物特征方式核验用户身份的,平台建设管理单位应当 采取与业务风险相适应的手段做好活体检测工作,切实降低身份冒用风险。
平台建设管理单位应当对政务服务业务全程审计,各级政务服务平台应当保存该政务服务业务在本级平台的审计记录。审计记录保存期限应当符合法律法规相关规定。
平台建设管理单位规划、建设和运行电子印章系统的,应当健全密码保障体系,组织开展商用密码应用安全性评估。电子印章制发、使用等部门应当制定完善网络安全保障措施,确保电子印章相关信息安全。电子印章使用应当参照实体印章管理,相关使用记录应当按照相关法律法规要求,做好存证记录。
政务服务平台应当加强电子证照签发、归集、存储、使用等环节的安全管理,严格落实安全管理责任,做好数据备份。
第十二条 平台建设管理单位应当加强本平台常态化网络安全检测和网络安全风险评估工作,开展年度网络安全等级保护测评和密码应用安全性评估,主动发现并及时排除网络安全风险隐患。
第十三条 政务数据质量管理遵循“谁提供、谁管理,谁使用、谁反馈”的原则。政务数据安全管理遵循“谁提供、谁负责,谁使用、谁负责,谁管理、谁负责”的原则。
第十四条 政务服务平台应加强数据安全管理。
(一)加强数据资源访问的用户认证、授权鉴权、数据溯源、任务审批等行为的日志审计管理;
(二)建立数据分类分级管理、重要数据资源和个人信息安全保护制度;
(三)采取国产密码技术、安全审计等保护措施,保障数据资源在信息收集、存储、传输、使用、提供、销毁过程中的安全;
(四)采取同城、异地备份恢复等技术措施,确保重要数据资源的安全性、完整性和可用性。
第十五条 政务服务平台应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第十六条 平台建设管理单位应制定平台网络安全和数据安全应急预案,定期组织应急演练,发生突发安全事件应当立即按照预案进行响应和处置。
第五章 接入安全
第十七条 市级平台、部门系统接入省级平台,平台建设管理单位应当组织接入系统的安全检测,经省数据资源局审批通过后方可实施。平台建设管理单位应持续加强接入系统的安全管理。
第十八条 市级平台、部门系统建设管理单位应当对接入系统进行安全风险监控,部署相应的管理和技术措施,发现安全问题及时报告省数据资源局。
第十九条 市级平台、部门系统如发生云平台、安全支撑系统等基础设施或关键业务的重大变更,平台建设管理单位应当及时通知省数据资源局,并重新组织接入系统的安全检测,经省数据资源局审批通过后方可重新接入省级平台。
第二十条 市级平台、部门系统如出现安全问题,省数据资源局根据安全风险等级采取封禁或断开的措施。市级平台、部门系统完成安全问题整改并通过安全风险测评后,平台建设管理单位向省数据资源局申请重新接入。
第二十一条 第三方系统接入单位应当提交接入方案及权威机构出具的安全能力评估报告,不得超出授权范围获取、使用数据,数据使用过程应当全程审计、跟踪,接入的平台建设管理单位应当进行安全审核和备案。
第六章 附则
第二十二条 各级政务服务相关公共服务平台按照“谁主管、谁负责,谁建设、谁负责,谁运营、谁负责”的原则管理,参照本办法执行。
第二十三条 本办法由省数据资源局负责解释。
第二十四条 法律法规、国家和省有关政策对政务服务平台管理另有规定的,从其规定。
第二十五条 本办法自印发之日起施行。