寧波信息管理辦法一、總則（一）目的為加強(qiáng)寧波地區(qū)信息管理，規(guī)范信息活動(dòng)，保障信息安全，促進(jìn)信息資源的有效利用，推動(dòng)經(jīng)濟(jì)社會(huì)持續(xù)健康發(fā)展，特制定本辦法。（二）適用范圍本辦法適用于在寧波行政區(qū)域內(nèi)從事信息的收集、存儲(chǔ)、傳輸、處理、使用、共享、公開等活動(dòng)的單位和個(gè)人。（三）基本原則1.合法合規(guī)原則信息管理活動(dòng)必須嚴(yán)格遵守國(guó)家法律法規(guī)和相關(guān)行業(yè)標(biāo)準(zhǔn)，確保信息活動(dòng)的合法性、規(guī)范性。2.安全保障原則強(qiáng)化信息安全意識(shí)，采取有效技術(shù)和管理措施，保障信息的保密性、完整性和可用性，防止信息泄露、篡改和丟失。3.合理利用原則促進(jìn)信息資源的優(yōu)化配置和共享，提高信息利用效率，充分發(fā)揮信息在經(jīng)濟(jì)社會(huì)發(fā)展中的作用。4.誠(chéng)信自律原則信息提供者和使用者應(yīng)秉持誠(chéng)信原則，自覺遵守信息管理規(guī)定，履行信息管理義務(wù)。二、信息收集管理（一）收集主體與范圍1.明確收集主體依法具有信息收集權(quán)限的行政機(jī)關(guān)、企事業(yè)單位、社會(huì)組織等為信息收集主體。各收集主體應(yīng)在法定職責(zé)范圍內(nèi)開展信息收集工作。2.界定收集范圍收集主體應(yīng)根據(jù)工作需要，合理確定信息收集范圍，避免過度收集。收集的信息應(yīng)與收集目的直接相關(guān)，且具有必要性和適度性。（二）收集程序1.制定收集計(jì)劃收集主體在開展信息收集前，應(yīng)制定詳細(xì)的收集計(jì)劃，明確收集目的、內(nèi)容、方式、時(shí)間、范圍等，并報(bào)相關(guān)部門備案（如有要求）。2.告知義務(wù)收集主體應(yīng)向信息提供者明確告知信息收集的目的、范圍、方式、用途以及信息提供者的權(quán)利和義務(wù)等事項(xiàng)。采用書面形式收集信息的，應(yīng)在收集文件中明確上述內(nèi)容；采用口頭形式收集信息的，應(yīng)做好記錄，并經(jīng)信息提供者確認(rèn)。3.合法收集方式收集主體應(yīng)通過合法、正當(dāng)、必要的方式收集信息，不得采取欺騙、脅迫、誘導(dǎo)等非法手段獲取信息。嚴(yán)禁通過暴力、威脅、非法限制人身自由等違法方式收集信息。（三）信息質(zhì)量要求1.真實(shí)性收集的信息應(yīng)真實(shí)可靠，不得虛構(gòu)、偽造信息。信息提供者應(yīng)對(duì)所提供信息的真實(shí)性負(fù)責(zé)。2.準(zhǔn)確性確保收集信息的內(nèi)容準(zhǔn)確無誤，避免因信息錯(cuò)誤導(dǎo)致決策失誤或其他不良后果。3.完整性收集的信息應(yīng)全面完整，能夠滿足信息使用目的的需要，避免信息缺失影響信息價(jià)值。三、信息存儲(chǔ)管理（一）存儲(chǔ)設(shè)施與環(huán)境1.存儲(chǔ)設(shè)施建設(shè)信息存儲(chǔ)主體應(yīng)根據(jù)信息存儲(chǔ)量、存儲(chǔ)期限、安全要求等因素，合理建設(shè)信息存儲(chǔ)設(shè)施，包括服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等。存儲(chǔ)設(shè)施應(yīng)具備冗余備份、數(shù)據(jù)恢復(fù)等功能，確保信息存儲(chǔ)的可靠性。2.存儲(chǔ)環(huán)境要求提供安全、穩(wěn)定、可靠的存儲(chǔ)環(huán)境，具備防火、防潮、防盜、防雷、防靜電等設(shè)施，防止因自然災(zāi)害、人為破壞等因素導(dǎo)致信息存儲(chǔ)設(shè)備損壞或信息丟失。（二）存儲(chǔ)方式與分類1.存儲(chǔ)方式選擇根據(jù)信息特點(diǎn)和使用需求，選擇合適的存儲(chǔ)方式，如磁盤存儲(chǔ)、磁帶存儲(chǔ)、云存儲(chǔ)等。對(duì)于重要敏感信息，應(yīng)采用多種存儲(chǔ)方式進(jìn)行備份，確保信息的安全性和可恢復(fù)性。2.信息分類存儲(chǔ)按照信息的性質(zhì)、用途、敏感程度等進(jìn)行分類存儲(chǔ)，便于信息的檢索、管理和使用。建立信息分類目錄，明確各類信息的存儲(chǔ)位置和存儲(chǔ)要求。（三）存儲(chǔ)安全管理1.訪問控制建立嚴(yán)格的訪問控制機(jī)制，對(duì)信息存儲(chǔ)設(shè)施的訪問進(jìn)行權(quán)限管理。根據(jù)工作人員的工作職責(zé)和業(yè)務(wù)需求，授予相應(yīng)的訪問權(quán)限，嚴(yán)禁未經(jīng)授權(quán)的人員訪問信息存儲(chǔ)設(shè)施。2.數(shù)據(jù)加密對(duì)存儲(chǔ)的重要敏感信息進(jìn)行加密處理，確保信息在存儲(chǔ)過程中的保密性。采用先進(jìn)的加密算法和密鑰管理系統(tǒng)，定期更換加密密鑰，防止信息被破解。3.存儲(chǔ)監(jiān)控與審計(jì)建立信息存儲(chǔ)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)存儲(chǔ)設(shè)備的運(yùn)行狀態(tài)、信息訪問情況等。定期開展信息存儲(chǔ)審計(jì)工作，檢查信息存儲(chǔ)的合規(guī)性、安全性，及時(shí)發(fā)現(xiàn)和處理異常情況。四、信息傳輸管理（一）傳輸渠道與方式1.合法傳輸渠道信息傳輸應(yīng)通過合法、安全、可靠的渠道進(jìn)行，如專用網(wǎng)絡(luò)、互聯(lián)網(wǎng)等。嚴(yán)禁通過非法渠道傳輸信息，防止信息泄露和被篡改。2.傳輸方式選擇根據(jù)信息的性質(zhì)、傳輸量、傳輸速度等因素，選擇合適的傳輸方式，如有線傳輸、無線傳輸?shù)?。?duì)于重要敏感信息，應(yīng)采用加密傳輸方式，確保信息傳輸過程中的安全性。（二）傳輸安全保障1.身份認(rèn)證與授權(quán)在信息傳輸過程中，采用身份認(rèn)證技術(shù)，確保信息發(fā)送方和接收方的身份真實(shí)性。根據(jù)傳輸信息的重要性和敏感性，對(duì)傳輸過程進(jìn)行授權(quán)管理，防止非法傳輸和越權(quán)訪問。2.傳輸加密對(duì)傳輸?shù)闹匾舾行畔⑦M(jìn)行加密處理，確保信息在傳輸過程中的保密性。采用對(duì)稱加密和非對(duì)稱加密相結(jié)合的方式，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，防止信息在傳輸過程中被竊取或篡改。3.傳輸監(jiān)控與審計(jì)建立信息傳輸監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)信息傳輸?shù)牧髁?、流向、傳輸狀態(tài)等。定期開展信息傳輸審計(jì)工作，檢查信息傳輸?shù)暮弦?guī)性、安全性，及時(shí)發(fā)現(xiàn)和處理傳輸異常情況。五、信息處理管理（一）處理主體與權(quán)限1.明確處理主體依法具有信息處理權(quán)限的單位和個(gè)人為信息處理主體。信息處理主體應(yīng)在授權(quán)范圍內(nèi)開展信息處理工作。2.處理權(quán)限界定根據(jù)信息處理的目的和要求，明確信息處理主體的處理權(quán)限，包括信息的加工、分析、整合、挖掘等。嚴(yán)禁超越權(quán)限處理信息，確保信息處理的合法性和規(guī)范性。（二）處理流程與規(guī)范1.制定處理流程信息處理主體應(yīng)制定詳細(xì)的信息處理流程，明確處理環(huán)節(jié)、處理方法、處理標(biāo)準(zhǔn)等。處理流程應(yīng)符合相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的要求，確保信息處理的質(zhì)量和效率。2.規(guī)范處理操作信息處理人員應(yīng)按照處理流程和規(guī)范要求進(jìn)行操作，確保信息處理的準(zhǔn)確性和一致性。在信息處理過程中，應(yīng)做好記錄，保留處理過程中的相關(guān)數(shù)據(jù)和文檔，以備審計(jì)和追溯。（三）處理結(jié)果管理1.結(jié)果審核對(duì)信息處理結(jié)果進(jìn)行審核，確保處理結(jié)果的準(zhǔn)確性、可靠性和合法性。審核內(nèi)容包括處理方法是否正確、處理結(jié)果是否符合預(yù)期等。2.結(jié)果存儲(chǔ)與使用對(duì)審核通過的信息處理結(jié)果進(jìn)行妥善存儲(chǔ)，并按照規(guī)定的用途進(jìn)行使用。信息處理結(jié)果的存儲(chǔ)和使用應(yīng)符合信息安全管理要求，防止信息泄露和濫用。六、信息使用管理（一）使用目的與范圍1.明確使用目的信息使用主體應(yīng)明確信息使用的目的，確保信息使用符合法律法規(guī)和道德規(guī)范的要求。信息使用目的應(yīng)與收集目的一致，不得擅自改變信息用途。2.限定使用范圍根據(jù)信息的性質(zhì)和敏感程度，限定信息的使用范圍。嚴(yán)禁將信息用于非法目的或超出授權(quán)范圍使用信息，防止信息泄露和濫用。（二）使用程序與審批1.使用申請(qǐng)信息使用主體如需使用信息，應(yīng)向信息提供方提交使用申請(qǐng)，說明使用目的、使用范圍、使用期限等內(nèi)容。2.審批流程信息提供方應(yīng)按照規(guī)定的審批流程對(duì)使用申請(qǐng)進(jìn)行審核。審核內(nèi)容包括使用目的是否合法、使用范圍是否合理、使用期限是否適當(dāng)?shù)?。?jīng)審批同意后，信息使用主體方可使用信息。（三）使用安全管理1.訪問控制對(duì)信息使用過程進(jìn)行訪問控制，根據(jù)信息使用人員的工作職責(zé)和業(yè)務(wù)需求，授予相應(yīng)的訪問權(quán)限。嚴(yán)禁未經(jīng)授權(quán)的人員訪問和使用信息。2.使用記錄與審計(jì)信息使用主體應(yīng)做好信息使用記錄，記錄信息使用的時(shí)間、人員、內(nèi)容、用途等。定期開展信息使用審計(jì)工作，檢查信息使用的合規(guī)性、安全性，及時(shí)發(fā)現(xiàn)和處理使用異常情況。七、信息共享管理（一）共享原則與范圍1.共享原則遵循合法、必要、安全、可控的原則，在保障信息安全和信息提供者合法權(quán)益的前提下，推動(dòng)信息共享。2.共享范圍界定明確信息共享的范圍，包括共享的信息內(nèi)容、共享對(duì)象、共享方式等。共享的信息應(yīng)與共享目的直接相關(guān)，且具有共享的必要性和可行性。（二）共享程序與機(jī)制1.共享申請(qǐng)與審批信息共享需求方應(yīng)向信息提供方提交共享申請(qǐng)，說明共享目的、共享范圍、共享期限等內(nèi)容。信息提供方應(yīng)按照規(guī)定的審批流程對(duì)共享申請(qǐng)進(jìn)行審核。經(jīng)審批同意后，雙方簽訂信息共享協(xié)議，明確雙方的權(quán)利和義務(wù)。2.共享安全保障建立信息共享安全保障機(jī)制，采取加密傳輸、訪問控制、數(shù)據(jù)脫敏等技術(shù)手段，確保共享信息的安全性。在信息共享過程中，對(duì)共享信息進(jìn)行全程監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)和處理共享異常情況。（三）共享監(jiān)督與評(píng)估1.監(jiān)督管理相關(guān)部門應(yīng)加強(qiáng)對(duì)信息共享工作的監(jiān)督管理，定期檢查信息共享的合規(guī)性、安全性，及時(shí)發(fā)現(xiàn)和糾正信息共享過程中的問題。2.效果評(píng)估定期開展信息共享效果評(píng)估工作，評(píng)估信息共享對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的促進(jìn)作用、對(duì)信息安全的影響等。根據(jù)評(píng)估結(jié)果，及時(shí)調(diào)整和完善信息共享政策和措施，提高信息共享的質(zhì)量和效率。八、信息公開管理（一）公開原則與范圍1.公開原則遵循公正、公平、合法、便民的原則，依法依規(guī)推進(jìn)信息公開。2.公開范圍界定明確信息公開的范圍，包括主動(dòng)公開的信息內(nèi)容、依申請(qǐng)公開的信息范圍等。主動(dòng)公開的信息應(yīng)符合法律法規(guī)和政府信息公開相關(guān)規(guī)定的要求，保障公民、法人和其他組織的知情權(quán)。（二）公開程序與方式1.公開程序信息公開主體應(yīng)按照規(guī)定的程序進(jìn)行信息公開，包括信息編制、審核、發(fā)布等環(huán)節(jié)。信息公開前應(yīng)進(jìn)行保密審查，確保公開的信息不涉及國(guó)家秘密、商業(yè)秘密和個(gè)人隱私。2.公開方式選擇根據(jù)信息的性質(zhì)和公開范圍，選擇合適的公開方式，如政府網(wǎng)站、新聞發(fā)布會(huì)、政務(wù)新媒體等。確保信息公開的及時(shí)性、準(zhǔn)確性和便捷性，方便公眾獲取信息。（三）公開監(jiān)督與保障1.監(jiān)督管理相關(guān)部門應(yīng)加強(qiáng)對(duì)信息公開工作的監(jiān)督管理，定期檢查信息公開的合規(guī)性、準(zhǔn)確性，及時(shí)發(fā)現(xiàn)和糾正信息公開過程中的問題。2.投訴舉報(bào)處理建立信息公開投訴舉報(bào)機(jī)制，受理公民、法人和其他組織對(duì)信息公開工作的投訴舉報(bào)。對(duì)投訴舉報(bào)事項(xiàng)進(jìn)行及時(shí)調(diào)查處理，并將處理結(jié)果反饋給投訴舉報(bào)人。九、信息安全管理（一）安全制度建設(shè)1.建立安全管理制度信息管理單位應(yīng)建立健全信息安全管理制度，明確信息安全管理職責(zé)、安全操作規(guī)程、安全檢查與評(píng)估等內(nèi)容。2.制度執(zhí)行與監(jiān)督嚴(yán)格執(zhí)行信息安全管理制度，加強(qiáng)對(duì)制度執(zhí)行情況的監(jiān)督檢查。對(duì)違反制度的行為進(jìn)行嚴(yán)肅處理，確保制度的有效執(zhí)行。（二）安全技術(shù)措施1.防火墻與入侵檢測(cè)部署防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備，防止外部非法網(wǎng)絡(luò)攻擊和惡意入侵，保護(hù)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。2.數(shù)據(jù)備份與恢復(fù)定期對(duì)重要信息進(jìn)行備份，并建立數(shù)據(jù)恢復(fù)機(jī)制。確保在信息系統(tǒng)遭受破壞或數(shù)據(jù)丟失時(shí)，能夠及時(shí)恢復(fù)數(shù)據(jù)，保障信息的連續(xù)性。3.加密技術(shù)應(yīng)用廣泛應(yīng)用加密技術(shù)，對(duì)重要敏感信息進(jìn)行加密處理，確保信息在存儲(chǔ)、傳輸和處理過程中的保密性。（三）安全人員管理1.人員安全培訓(xùn)定期對(duì)信息管理相關(guān)人員進(jìn)行安全培訓(xùn)，提高人員的安全意識(shí)和安全技能。培訓(xùn)內(nèi)容包括信息安全法律法規(guī)、安全操作規(guī)程、應(yīng)急處理等。2.人員背景審查對(duì)涉及信息管理的關(guān)鍵崗位人員進(jìn)行背景審查，確保人員具備良好的職業(yè)道德和安全意識(shí)，防止因人員問題導(dǎo)致信息安全事故。十、監(jiān)督檢查與法律責(zé)任（一）監(jiān)督檢查主體與方式1.監(jiān)督檢查主體相關(guān)行政部門負(fù)責(zé)對(duì)本行業(yè)領(lǐng)域的信息管理活動(dòng)進(jìn)行監(jiān)督檢查。如網(wǎng)信部門負(fù)責(zé)對(duì)網(wǎng)絡(luò)信息管理進(jìn)行監(jiān)督檢查，經(jīng)信部門負(fù)責(zé)對(duì)工業(yè)領(lǐng)域信息管理進(jìn)行監(jiān)督檢查等。2.監(jiān)督檢查方式監(jiān)督檢查可采取定期檢查、