石淑英委员：

您提出的关于“关于做好大数据时代个人信息保护的提案”的提案收悉。首先感谢您对大数据时代个人信息保护工作的诚恳提案和大力支持！您所提提案我局高度重视，根据提案相关内容，结合我市政务数据安全管理和个人信息保护的情况，现答复如下：

一、工作开展情况

我局始终坚持把打造数字政府、培育数字经济、构建数字社会作为首要任务强力推进。尤其重视数据安全和个人信息的保护，主要从以下几方面开展了工作：

（一）制定数据安全管理规章

大数据是信息化发展的新阶段，数据是国家基础性战略资源，是数字经济的关键要素。随着数据技术的不断成熟和数据共享开放的日益增速，保障数据安全也面临着严重挑战。2020年7月2日，《中华人民共和国数据安全法（草案）》在中国人大网全文发布，并公开征求意见。目前，郑州市“城市大脑”建设全面推进，保障政务数据安全成为“城市大脑”建设必须守护的底线。我局高度重视政务数据安全工作，根据《中华人民共和国网络安全法》、《郑州市政府信息资源共享管理办法》等有关规定，制定了《郑州市政务数据安全暂行管理办法》，对加快构建数据安全保障体系，推动全市各级各部门形成责任明晰、安全可靠、能力完备、合作共享的数据安全保障机制提出明确要求。

（二）基础设施安全管理情况

一是强化政务数据安全支撑能力建设。我局自成立以来，局党组高度重视政务数据安全工作，累计投入3211万元用于安全防护体系建设，配备防火墙、IPS、WAF、堡垒机、数据库审计、日志审计、漏洞扫描、数据防泄漏、网络空间资产检索、威胁情报流量探针、安全认证网关、应用数据安全审计网关、数字证书安全认证网关、安全密码服务系统等硬件设备。部署大数据威胁情报管理系统、应用数据安全审计管控平台、网络安全运营管理平台、数据资产安全运维管理平台、网络流量和用户行为分析及优化系统、数字证书综合管理系统等软件平台。配备一线驻场安全工程师6人，二线支撑团队4组，开展每季度一次的全面渗透测试，发现并处理安全隐患7726个，其中Web中间件与数据库问题2450个。每月一次全面安全巡检、漏洞扫描，探测各数据中心设备936台，发现并修复漏洞2.48万个，处理安全事件193起，加固端口50个，优化网络策略65项。建立7×24小时的应急响应、安全溯源分析机制，每逢重大节日、护网行动、特殊时期等重要时间节点启动重保响应。圆满完成2020年国家网络安全宣传周、第35届金鸡百花电影节期间政务数据安全保障工作，没有出现安全事件，期间累计防御网络攻击1155.79万次，封禁1454个恶意IP，主动探测发现并修复漏洞56个，关闭僵尸业务系统83个，处置安全事件34起。

二是加强重要信息系统和数据库的安全管理。在日常工作中，我们坚持排查部署在市政务云平台的应用系统和数据库是否存在弱口令、未授权访问、数据明文传输、安全审计不健全、访问控制策略不严等安全隐患，针对问题专项整改；统一使用涵盖身份认证、账户管理、权限控制、日志审计等功能的安全运维平台进行应用系统和数据库的操作、管理和审计；对政务云平台部署的重要信息系统和数据库开展漏洞扫描、渗透测试，及时升级病毒库，查杀病毒木马，监测网络数据流量，及时发现网络渗透、阻断外部攻击探测，实时对攻击行为进行源地址限制、断网、木马查杀、后门清理等应急处置。按照《中华人民共和国网络安全法》的要求，留存信息系统180天的日志，严格实施信息安全等级保护制度，不断提升网络安全防护和应急处置能力。检测到攻击行为时，及时对攻击源地址进行限制，从源头掐断攻击行为。发现疑似出现数据泄露时，及时对受攻击主机进行断网操作，预防横向扩散，及时对主机进行木马查杀、后门清理等操作，同时对业务系统进行安全升级，避免二次渗透。部署Web应用防护系统，对部署在市政务云平台或托管在政务机房的Web网站类应用进行安全防护，通过抗扫描、防注入、防跨站脚本、防后门攻击等安全策略加强门户网站的安全防护能力，最大限度杜绝网站被黑客入侵。部署漏洞扫描系统，对局域网内的应用系统、操作系统和数据库系统进行漏洞扫描，准确发现各系统存在的网络安全漏洞，并给出详细的描述和解决方案，防止服务器出现重大安全漏洞。上云应用需通过平台安全检查，尤其在进行漏洞扫描及安全基线检查工作后，达到云平台规定的安全标准，方可正式开通业务。

三是强化边界防护，防范内部信息系统及数据被攻击泄漏风险。梳理与互联网逻辑隔离的政务外网、与互联网物理隔离的资源专网等网络边界，做好互联网接入区边界安全防护措施，坚决禁止违规外联。在网络边界处，对各业务系统使用的端口、访问源IP及目的IP地址进行限制。外部单位和内部用户访问数据库通过安全运维平台，记录操作日志；内部数据库管理员访问数据库服务器通过网络策略设置，只允许单一固定IP访问；数据库设置复杂密码，每月更换数据库管理用户密码。

（三）政务数据安全管理情况

一是加强城市大脑数据资产安全防护。统一规划建设城市大脑安全防护体系，通过态势感知平台，监控溯源威胁情报，通过数据防泄漏、漏洞扫描等平台开展实时审计，保障政务数据安全可控流转。持续对重要数据资产进行监控审计，达到数据资产着重防护，隐形资产可视管理，对数据申请和数据流向进行比对分析、管控，杜绝数据非法使用渠道，防范政务数据泄露。

二是防范软件供应链风险，开展第三方安全监测。重点排查重要信息系统所使用的开源数据库和中间件等使用情况，及时升级信息系统和数据库安全补丁，对业务系统进行安全加固，对业务系统进行渗透测试及漏洞修复。

三是定期开展政务数据安全检查。联合市委网信办、市公安局、市工信局、市机要保密局成立检查组，每年对全市关键信息基础设施运营单位、党政机关和重点企事业单位、存在严重安全隐患的单位、重点互联网企业等，开展网络安全现场检查。针对发现的网络安全漏洞和问题，逐条登记并通报，责令其限期整改并跟踪督办，确保问题整改清零。开展数字政府建设专项检查工作，每年5月、11月，对各开发区、区县（市）、市直各单位从安全管理、政务云使用安全、网络安全和数据安全等方面进行安全检查。

四是建立政务数据安全应急响应机制。我局坚持7×24小时值班制度，对全网链路、政务云平台、重要信息系统、核心数据资产、网络安全事件进行全天候不间断监控。建立完善政务数据安全应急预案，每半年组织相关人员进行演练，事后对应急处理流程、系统恢复重建、数据备份恢复等方面出现的问题进行评估，总结经验教训，进一步健全完善应急处理预案。

五是建立政务数据安全通报机制。每季度进行安全巡检、安全渗透测试，针对发现潜在安全风险的上云单位和应用系统发出安全通报，提出整改要求，2020年5月以来共发布105期政务网络安全通报。

（四）安全责任管理、人员管理情况

加强政务数据安全日常管理，不定期开展安全检查、督查，对违规行为“零容忍”，对安全管理制度及要求不落实、整改措施不到位的参建企业实时通报整改。强化人员安全教育，规范工作人员行为，组织项目参建企业涉及政务数据工作人员全员填报《郑州市政务数据处理人员审查表》。

（五）推进国家《个人信息保护法》出台

我局在做好基础设施、数据、人员的安全管理工作之外，还积极推动国家《个人信息保护法》出台，整理了《关于加快出台<个人信息保护法>的议案》，建议建立个人信息的采集许可和事先告知机制，采集和使用个人信息最小化原则以及开展个人信息安全影响评估，提交市委法工委，为市级主要领导参加全国政协会议提供提案素材。

二、下一步工作计划

（一）创新体制机制，完善政策法规体系。

一是建立健全公共数据开放工作体系。以出台《郑州市公共数据开放暂行办法》和建设公共数据开放平台为抓手，推动公共数据开放成为产业发展最重要的政策补贴形式，加快培育数据要素市场，逐步提升社会数据资源价值。培育数字经济新产业、新业态和新模式。二是积极配合相关职能监管部门，进一步完善大数据的行业内部个人信息安全制度，加强对涉及公民个人信息采集的从业人员的教育、管理，严格行业自律。

（二）加强宣教，提高政务数据处理人员安全意识

    政务数据中涉及个人信息被泄露、盗用、滥用，与政务部门数据处理人员的安全意识不强有直接关系。当前提高政务数据处理人员的安全意识是防止政务数据中个人信息泄露的较直接的方法。我局将积极会同新闻宣传部门，通过以案释法，依托电视、报纸、短信、郑好办APP等载体，加强对政务部门和政务数据处理人员的防范宣传教育，尽量避免政务部门或政务数据处理人员泄露个人信息。

（三）技术创新，提高个人信息防护能力

一是加强网络安全态势感知。整合资源，建立统一的全天候网络安全感知平台，以更好地发现风险、感知风险，进而构建统一高效的网络安全风险发现机制、报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。二是组织开展风险评估。完善网络安全风险评估机制，加强对涉及较多个人信息等重要数据库和应用系统的评估，根据评估情况，适时调整网络安全工作方案和保护措施。三是定期组织应急演练。组织关键信息基础设施运营单位定期进行应急演练，使涉及个人隐私数据的重要信息系统能够有效应对有组织的高强度网络攻击。四是认真落实法律要求，强化关键信息系统数据的备份建设，定期开展备份效果验证，提升信息系统的抗灾、减灾和恢复能力，并督促各单位认真落实法律法规规定，履行网络安全职责。

（四）联合治理，严惩侵犯个人信息违法违规行为

为持续保持对侵犯公民个人信息违法犯罪的高压严打态势，从源头上治理公民个人信息被泄露、隐私被侵犯的安全隐患，提高行政机关、企事业单位对公民个人信息和数据安全的保护能力，形成源头治理、综合治理、系统治理的工作格局，我局将配合公安局、网信办、法院、检察院、工信局、市监局等部门提供相应的技术支撑，建立打击危害公民个人信息和数据安全违法犯罪的长效机制。同时，我局将积极参与国家、省市等组织的护网行动，主动监测、发现并通报涉及金融、教育、电信、交通、物流等重点行业信息系统及安全监管漏洞，提高网络安全防范能力。

以上答复，如有不当，请批评指正，恳请您一如既往地关心支持大数据管理相关工作，并多提宝贵意见和建议。

   2021年6月18日