成都市城市管理委员会关于印发《成都市地下综合管廊网络安全管理办法》《成都市地下综合管廊数据安全管理办法》的通知

成都市地下综合管廊网络安全管理办法

第一章 总则

第一条 为规范地下综合管廊（以下简称管廊）网络安全管理工作，促进管廊信息化健康发展，依据《中华人民共和国网络安全法》《党委（党组）网络安全工作责任制实施办法》等相关规定，结合本市实际，制定本办法。

第二条 本办法适用于本市行政区域内管廊运营维护阶段的网络安全管理工作。

本办法所称的网络安全是指为保障管廊信息系统及所在网络稳定可靠运行，避免可能遭受的攻击、侵入、干扰、破坏和非法使用等情形，所采取的一系列管理措施和技术防护手段。

第三条 管廊网络安全管理遵循“积极利用、科学发展、依法管理、确保安全”的工作方针，按照“谁管理谁负责、谁运维谁负责”的原则，落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

第二章 职责分工

第四条 市城市管理部门负责全市管廊运营维护阶段网络安全的指导和监督管理工作。

第五条 各区（市）县管廊运维主管部门负责本区域内管廊运营维护阶段网络安全的监督管理工作。

第六条 管廊管理单位承担网络安全主体责任，负责开展网络安全建设、运维、管理等工作。

第七条 市区两级管廊运维主管部门及管廊管理单位应设立专门的网络安全领导机构，明确网络安全岗位职责，将责任落实到人。

第三章 网络安全保护

第八条 管廊管理单位应落实管廊网络安全等级保护责任，按照确定的网络安全等级保护防护要求开展网络安全相关工作，保障管廊信息系统网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第九条 管廊管理单位应制定网络安全等级保护、信息系统安全防护、监测预警、信息通报、应急处置等方面制度。

第十条 新建或升级改造管廊信息系统时，应当明确系统安全保护需求，保证安全技术措施同步规划、同步建设、同步使用。信息系统上线前，应开展安全测试，可委托具备网络安全服务资质的机构开展。

第十一条 管廊管理单位应定期备份业务信息、系统数据及软件系统，制定相应的备份、恢复策略。

第十二条 管廊管理单位应定期开展系统安全巡查，采取边界防护、访问控制、入侵防范、恶意代码检测等技术措施保障管廊信息系统及设备安全。

第十三条 管廊管理单位应建立健全网络安全漏洞信息接收渠道并保持畅通，定期开展网络安全漏洞扫描和风险识别，发现存在安全漏洞后，应及时对安全漏洞进行验证与修补。

第十四条 管廊管理单位应指定专门部门或人员对监控中心机房进行管理，编制管廊网络安全保护对象资产清单，包括资产责任部门、重要程度和所处位置等。

第十五条 管廊管理单位应落实密码安全防护要求，对管廊信息系统采用密码技术进行保护，采用强密码口令并在网络安全等级测评中同步开展密码应用安全性评估。

第十六条 管廊管理单位应建立管廊网络安全风险信息上报和威胁情报收集机制，每年至少开展一次管廊网络安全风险评估，发现可能对自身网络安全产生较大及以上影响风险时，第一时间上报上级管廊运维主管部门和属地网络安全监管部门。

第十七条 管廊管理单位应具备网络安全专业技术能力，通过建立专业网络安全队伍或购买服务等形式对管廊提供网络安全技术支撑。

第十八条 管廊管理单位每年至少开展一次网络安全宣传教育，提高全员网络安全意识。加强管廊网络安全从业人员管理，定期接受相关政策规范和专业技能培训，经考核合格后方能上岗。

第十九条 管廊管理单位应积极应用安全可信的网络安全产品及服务，在与供应商签订网络安全责任书、保密协议时明确各方需履行的网络安全保护义务。

第二十条 管廊管理单位应足额保障管廊网络安全等级测评、风险评估、日常运维、应急保障、教育培训等经费投入。

第四章 监测预警与应急管理

第二十一条 管廊管理单位应当建立健全管廊网络安全监测预警机制，对管廊信息系统运行状况进行监测，可利用态势感知、威胁信息分析系统等，对各类安全日志、网络流量进行分析，实现网络安全事件的快速甄别、追踪溯源和威胁处置，网络日志应按规定留存不少于六个月。定期向上级管廊运维主管部门报送本单位管廊网络安全监测情况。

第二十二条 管廊管理单位应当制定管廊网络安全事件应急预案，每年至少开展一次网络安全事件应急演练。在发生危害网络安全的事件时，应立即启动应急预案，并向上级管廊运维主管部门和属地网络安全监管部门报告，同时采取应急处置措施。事件处置完成后应在规定时限内向上级管廊运维主管部门和属地网络安全监管部门报告网络安全事件处置情况。

第二十三条 管廊管理单位在重要活动、会议期间应当结合实际制定管廊网络安全保障专项工作方案，成立保障组织机构，明确目标任务，细化措施要求，组织预案演练，确保管廊信息系统安全稳定运行。

第五章 监督管理

第二十四条 市区两级管廊运维主管部门应不定期开展网络安全监督服务工作，针对发现的网络安全缺陷、漏洞等风险督促管廊管理单位及时排查，采取风险防范措施，并在规定时限内（超危风险2日内、高危风险4日内、中危风险5日内、低危风险7日内）完成整改。涉及公安、网信等部门通报的网络安全风险按上述要求完成整改并报告上级管廊运维主管部门。

第二十五条 管廊管理单位应将每年网络安全自查、检测评估、等保测评和备案等工作开展情况向上级管廊运维主管部门报备。

第二十六条 对不履行网络安全保护义务的管廊管理单位，由上级管廊运维主管部门责令整改，给予通报。发现违反国家有关法律、行政法规情形的，移交公安、网信等部门依法处理。

第六章 附则

第二十七条 本办法由成都市城市管理委员会负责解释。

第二十八条 本办法自2026年2月25日起施行，有效期5年。

成都市地下综合管廊数据安全管理办法

第一章 总则

第一条 为规范地下综合管廊（以下简称管廊）数据安全管理工作，保障管廊数据安全，促进管廊数据合理开发利用，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等相关规定，结合本市实际，制定本办法。

第二条 本办法适用于本市行政区域内管廊运营维护阶段的数据（除国家秘密以外的数据）安全管理工作。

本办法所称数据安全是指为保障管廊基础数据类、运营维护类、监控报警类等各类信息的完整性、可用性，避免可能遭受的未授权访问、窃取、篡改、泄露、损毁或滥用等情形，所采取的一系列管理措施和技术防护手段。

第三条 管廊数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针，按照“谁管理谁负责、谁运营谁负责、谁接入谁负责”的原则，落实数据安全“合法合规、责任明确，最小可用、分类分级”措施。

第二章 职责分工

第四条 市城市管理部门负责全市管廊运营维护阶段数据安全的指导和监督管理工作。

第五条 各区（市）县管廊运维主管部门负责本区域内管廊运营维护阶段数据安全的监督管理工作。

第六条 管廊管理单位承担数据安全主体责任，负责开展数据安全建设、运维、管理等工作。

第七条 市区两级管廊运维主管部门及管廊管理单位应设立专门的数据安全领导机构，明确数据安全岗位职责，将责任落实到人。

第三章 数据分类分级管理

第八条 管廊运维主管部门应按照《数据安全技术 数据分类分级规则》（GB/T 43697-2024）及有关规定，编制管廊数据分类分级标准，明确分类原则、分级规则、防护基准及实施要求等。

第九条 管廊管理单位应按照《四川省城市综合管廊基础数据标准》（DBJ51/T241—2023）《成都市地下综合管廊设施设备分类编码规范》（DB5101/T 164-2023）等建立数据目录，并做好动态管理和维护。

第十条 管廊管理单位应以数据目录为基础，按照管廊数据分类分级标准，对管廊数据进行分类分级。

第十一条 管廊管理单位应依托分类分级结果，制定防护措施，对管廊各类数据实行精确防护。

第十二条 管廊管理单位应加强管廊数据安全级别的动态管理，建立审批机制，当数据的使用范围、应用场景、重要程度和可能造成的危害程度等发生变化，导致原安全级别不再适用的，应当及时动态调整。

第四章 数据全生命周期安全管理

第十三条 管廊管理单位应制定管廊数据收集、存储、使用、加工、传输、提供、公开、销毁等数据处理活动的安全管理制度。

第十四条 管廊管理单位开展管廊数据收集工作时，应通过配备技术手段、签署保密协议等措施，加强对数据收集人员、设备的管控，保障收集过程中的数据安全性、确保数据来源可追溯。

第十五条 管廊管理单位应按照管廊数据安全保护级别要求做好数据存储管理，对不同安全级别的数据采取差异化脱敏存储、加密存储等措施。加强移动存储介质管控，对使用情况做好记录并定期检查。

第十六条 管廊管理单位应建立管廊数据容灾备份、恢复及完整性校验机制，明确备份策略和验证计划，指定数据维护和备份的责任人员、设备及对应IP地址，并严格履行审批手续。

第十七条 管廊管理单位应建立数据使用审批机制，明确数据使用或保存期限，对高危操作、账号授权、审批流程等数据访问行为实施安全审计。

第十八条 管廊管理单位应保障管廊数据在清洗转换、汇聚融合、分析挖掘等数据加工活动时的数据安全。当数据安全级别发生变化时，应当及时评估、调整安全保护措施。

第十九条 管廊管理单位应根据业务流程合理划分安全域，在安全边界上配置访问控制策略、部署安全措施。向外部传输数据时，应采用符合国家相关标准的安全协议和加密算法，建立安全传输链路，对数据内容加密后传输。

第二十条 管廊管理单位向外部提供或公开（共享）管廊数据，应当取得上级管廊运维主管部门同意，按照相关法律法规要求开展工作。

第二十一条 管廊管理单位在进行管廊数据销毁时，应留存数据删除记录，并确保数据不可恢复。

第五章 数据安全防护

第二十二条 管廊管理单位应定期对管廊数据处理活动平台进行扫描识别，可采取自动化扫描、数据分布可视化、数据流转监测等技术手段，及时厘清数据分布、流转及异常变动等情况。

第二十三条 管廊管理单位应加强管廊信息系统接口安全管控，可采取流量监测、接入鉴权、数据加密、限制直传等技术手段，及时告警、阻断非授权或违规设备、系统非法连接。

第二十四条 管廊管理单位应对管廊核心及重要数据采用替换、删除、泛化等方式进行脱敏，并做好脱敏方法的保密工作。

第二十五条 管廊管理单位应使用国家密码管理主管部门认证核准的密码技术和产品，结合数据处理活动和数据安全级别，配置不同的加密策略。

第二十六条 管廊管理单位应建立管廊数据安全风险信息上报和威胁情报收集机制，对管廊数据处理活动每年至少开展一次风险评估，发现可能对自身数据安全产生较大及以上影响的风险时，第一时间上报上级管廊运维主管部门和属地网络安全监管部门。

第二十七条 管廊管理单位应每年至少开展一次数据安全宣传教育，增强全员数据安全意识，加强对管廊数据处理活动相关人员的考核和管理，定期接受相应的政策规范和专业技能培训，经培训合格后上岗。

第二十八条 管廊管理单位应具备数据安全专业技术能力，通过建立专业数据安全队伍或购买服务等形式对管廊提供数据安全技术支撑。

第二十九条 管廊管理单位应积极应用安全可信的数据安全产品及服务，在与供应商签订数据安全责任书、保密协议时明确各方需履行的数据安全保护义务。

第六章 监测预警与应急管理

第三十条 管廊管理单位应建立健全管廊数据安全监测预警机制，可利用态势感知、数据访问行为分析、数据水印等措施，及时发现安全缺陷和漏洞、数据泄露、违规传输、访问异常等风险，实现数据安全事件的快速甄别、追踪溯源和应急处置。定期向上级管廊运维主管部门报送管廊数据安全监测情况。

第三十一条 管廊管理单位应当制定数据安全事件应急预案，每年至少开展一次应急演练。在发生数据安全事件时，立即启动应急预案，并向上级管廊运维主管部门和属地网络安全监管部门报告，同时采取应急处置措施。事件处置完成后在规定时限内向上级管廊运维主管部门和属地网络安全监管部门报告数据安全事件处置情况。

第三十二条 管廊管理单位在重要活动、会议期间应当结合实际制定管廊数据安全保障专项工作方案，成立保障组织机构，明确目标任务，细化措施要求，组织预案演练，确保管廊信息系统安全稳定运行。

第七章 监督管理

第三十三条 市区两级管廊运维主管部门应不定期开展数据安全监督服务工作，针对检查发现的数据安全风险督促管廊管理单位及时排查，采取风险防范措施，并在规定时限内（超危风险2日内、高危风险4日内、中危风险5日内、低危风险7日内）完成整改。涉及公安、网信等部门通报的数据安全风险按上述要求完成整改并报告上级管廊运维主管部门。

第三十四条 管廊管理单位应将每年数据安全风险评估、数据分类分级等工作开展情况向上级管廊运维主管部门报备。

第三十五条 对不履行数据安全保护义务的管廊管理单位，由上级管廊运维主管部门督促整改。发现违反国家有关法律、行政法规情形的，移交公安、网信等部门依法处理。

第八章 附则

第三十六条 本办法由成都市城市管理委员会负责解释。

第三十七条 本办法自2026年2月25日起施行，有效期5年。