湘政辦發(fā)〔2020〕33號《湖南省人民政府辦公廳關(guān)于印發(fā)〈湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法〉的通知》

瀏覽量：時(shí)間：2021-02-11 03:40:09

湖南省人民政府辦公廳關(guān)于印發(fā)《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》的通知

湘政辦發(fā)〔2020〕33號

各市州、縣市區人民政府，省政府各廳委、各直屬機構：

《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》已經(jīng)省人民政府同意，現印發(fā)給你們，請認真組織實(shí)施。

湖南省人民政府辦公廳

2020年8月18日

(此件主動(dòng)公開(kāi))

湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法

第一章總則

第一條為保障湖南省電子政務(wù)外網(wǎng)(以下簡(jiǎn)稱(chēng)省政務(wù)外網(wǎng))的運行安全，落實(shí)政務(wù)外網(wǎng)相關(guān)部門(mén)的安全責任，根據《中華人民共和國網(wǎng)絡(luò )安全法》等有關(guān)法律、法規，以及國家電子政務(wù)外網(wǎng)的各項標準規范，結合我省實(shí)際，制定本辦法。

第二條省政務(wù)外網(wǎng)是國家電子政務(wù)外網(wǎng)的組成部分，由省、市州、縣市區、鄉鎮(街道)、行政村(社區)五級政務(wù)外網(wǎng)組成，上聯(lián)國家，橫向連接各級黨委、人大、政府、政協(xié)、法院、檢察院及其所直屬各部門(mén)(單位)，縱向覆蓋省、市州、縣市區、鄉鎮(街道)、行政村(社區)。政務(wù)外網(wǎng)是我省電子政務(wù)的公共基礎設施，承載全省政務(wù)部門(mén)非涉密信息化系統，實(shí)現基礎信息資源開(kāi)放共享。

第三條本辦法適用于本省政務(wù)外網(wǎng)各級建設運維安全管理單位，依托政務(wù)外網(wǎng)開(kāi)展信息化系統建設的各級政務(wù)部門(mén)，以及接入政務(wù)外網(wǎng)的各單位。

第二章總體要求

第四條各級政務(wù)外網(wǎng)建設運維安全管理單位(以下簡(jiǎn)稱(chēng)政務(wù)外網(wǎng)管理單位)要嚴格落實(shí)網(wǎng)絡(luò )安全工作責任制，履行關(guān)鍵信息基礎設施的相關(guān)安全保護義務(wù)，做好采購產(chǎn)品和服務(wù)的安全評估工作，采取措施保護政務(wù)外網(wǎng)安全。

第五條省級和市級政務(wù)外網(wǎng)應達到等級保護2.0三級標準，縣級政務(wù)外網(wǎng)應達到等級保護2.0二級標準。

接入政務(wù)外網(wǎng)的信息化系統正式對外提供服務(wù)前，應當按照國家網(wǎng)絡(luò )安全等級保護制度要求，落實(shí)網(wǎng)絡(luò )安全主體責任和安全技術(shù)措施，完成等級保護測評備案、整改加固，通過(guò)驗收后方可正式上線(xiàn)提供服務(wù)。

第六條接入政務(wù)外網(wǎng)的信息化系統，應當使用由具備資格的機構檢測認證合格的商用密碼產(chǎn)品，進(jìn)行加密保護和安全認證。

第三章職責分工

第七條政務(wù)外網(wǎng)按照“誰(shuí)管理誰(shuí)負責、誰(shuí)建設誰(shuí)負責、誰(shuí)使用誰(shuí)負責、誰(shuí)發(fā)布誰(shuí)負責”的原則，分級建設、分級管理、各負其責。

省政府發(fā)展研究中心(省政府政務(wù)服務(wù)中心)負責全省政務(wù)外網(wǎng)建設的整體規劃，制定本省政務(wù)外網(wǎng)的標準規范，負責省級政務(wù)外網(wǎng)的建設、運維及安全管理工作，指導全省政務(wù)外網(wǎng)的建設、運維及安全管理工作，制定電子政務(wù)外網(wǎng)統一接入標準，定期組織市州及縣市區開(kāi)展相關(guān)業(yè)務(wù)培訓，并向國家政務(wù)外網(wǎng)管理部門(mén)報告。

省公安廳負責政務(wù)外網(wǎng)網(wǎng)絡(luò )安全的監督、檢查、指導和違法犯罪案件的查處。

省互聯(lián)網(wǎng)信息辦公室負責統籌協(xié)調政務(wù)外網(wǎng)網(wǎng)絡(luò )安全工作和相關(guān)監督管理工作。

各市州人民政府應明確一個(gè)本級政務(wù)外網(wǎng)管理單位，負責本級政務(wù)外網(wǎng)的統一建設、運維及安全管理工作。各縣市區人民政府應明確一個(gè)本級政務(wù)外網(wǎng)管理單位，負責本級以及下轄鄉鎮(街道)、行政村(社區)的政務(wù)外網(wǎng)統一建設、運維及安全管理工作。

接入政務(wù)外網(wǎng)的單位負責本單位局域網(wǎng)和接入政務(wù)外網(wǎng)的信息系統安全，負責本單位發(fā)布內容安全。

各級政務(wù)外網(wǎng)使用單位應當確定至少兩名本單位工作人員作為政務(wù)外網(wǎng)安全聯(lián)系人，并且將聯(lián)系人名單提交給本級政務(wù)外網(wǎng)管理單位。

第八條各級政務(wù)外網(wǎng)管理單位是本級政務(wù)外網(wǎng)的安全責任主體，各政務(wù)外網(wǎng)接入單位是本單位政務(wù)外網(wǎng)的安全責任主體。

政務(wù)外網(wǎng)安全工作實(shí)行領(lǐng)導責任制。各級政務(wù)外網(wǎng)管理單位主要領(lǐng)導是本級政務(wù)外網(wǎng)安全第一責任人，分管政務(wù)外網(wǎng)的領(lǐng)導是直接責任人;各接入單位的主要領(lǐng)導是本單位政務(wù)外網(wǎng)安全的第一責任人。

各運營(yíng)商、承建商、運維公司、外包服務(wù)公司等按合同規定承擔相應的安全責任。

第九條各級政務(wù)外網(wǎng)管理單位參照本辦法制定本級政務(wù)外網(wǎng)安全管理制度，報上一級政務(wù)外網(wǎng)管理單位備案。各政務(wù)外網(wǎng)接入單位應制定本單位的信息安全管理制度，報本級政務(wù)外網(wǎng)管理單位備案。

第四章運維管理

第十條各級政務(wù)外網(wǎng)管理單位應做好安全保障系統的規劃、設計和建設工作，落實(shí)運行維護管理中的安全檢查、等級保護測評和風(fēng)險評估等工作責任。各級財政應保障本級政務(wù)外網(wǎng)的建設、運維和安全管理經(jīng)費。

第十一條各級政務(wù)外網(wǎng)管理單位要開(kāi)展網(wǎng)絡(luò )安全監控工作，及時(shí)發(fā)現、定位、分析、處置安全事件，每6個(gè)月向上一級政務(wù)外網(wǎng)管理單位匯報網(wǎng)絡(luò )安全狀況。發(fā)生重大網(wǎng)絡(luò )安全事件的，應立即報告公安、網(wǎng)信、國安等信息安全主管職能部門(mén)。

第十二條各級政務(wù)外網(wǎng)管理單位都應組織制定本級政務(wù)外網(wǎng)網(wǎng)絡(luò )與信息安全應急預案，并定期開(kāi)展應急演練。

第十三條各級政務(wù)外網(wǎng)管理單位都要加強安全審計工作，審計記錄的保存時(shí)間不少于6個(gè)月。

第十四條各級政務(wù)外網(wǎng)管理單位應當按照國家政務(wù)外網(wǎng)安全檢查和風(fēng)險評估統一要求，定期組織開(kāi)展網(wǎng)絡(luò )與信息安全自查和風(fēng)險評估，并按照信息安全主管職能部門(mén)和上級政務(wù)外網(wǎng)管理單位的要求做好本級政務(wù)外網(wǎng)信息安全檢查和風(fēng)險評估工作。

各級政務(wù)外網(wǎng)管理單位應將本級政務(wù)外網(wǎng)自查結果及時(shí)報上一級政務(wù)外網(wǎng)管理單位。在自查中發(fā)現接入單位存在問(wèn)題的，應責成存在問(wèn)題的單位進(jìn)行整改。對問(wèn)題較嚴重的單位，原則上應立即斷開(kāi)其政務(wù)外網(wǎng)連接，待整改完成后再重新接入。

第十五條各級政務(wù)外網(wǎng)管理單位要建立信息安全定期報告制度，每3個(gè)月向上一級政務(wù)外網(wǎng)管理單位報告本級政務(wù)外網(wǎng)出現的信息安全事件。

第十六條各級政務(wù)外網(wǎng)管理單位要加強信息安全教育，每年至少對本級從事信息安全工作的人員開(kāi)展一次專(zhuān)業(yè)技術(shù)培訓。

第十七條各級政務(wù)外網(wǎng)管理單位及接入部門(mén)應對從事政務(wù)外網(wǎng)信息安全工作的人員按照“分工負責、職責明確、最小授權和任期有限”的原則進(jìn)行管理。

第十八條各級政務(wù)外網(wǎng)管理單位應設置系統管理、安全管理和安全審計崗位，分別負責網(wǎng)絡(luò )運行、安全和審計工作。系統管理員、安全管理員和安全審計員的權限設置應相互獨立、相互制約。

第十九條管理、使用政務(wù)外網(wǎng)的各級單位，應當同運維機構簽訂保密協(xié)議，并且約定運維機構同運維人員個(gè)人簽訂保密協(xié)議。運維機構簽署的所有的保密協(xié)議都應當提交到政務(wù)外網(wǎng)的管理、使用單位備案。

第二十條政務(wù)外網(wǎng)管理單位應當對運維機構、人員進(jìn)行安全審查，對人員準入進(jìn)行規范。

第五章接入管理

第二十一條接入政務(wù)外網(wǎng)的單位，應統一使用政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口。如果單位確實(shí)需要獨立的互聯(lián)網(wǎng)出口，應報本級政務(wù)外網(wǎng)管理單位備案。

第二十二條各級政務(wù)外網(wǎng)管理單位部署在各接入單位的設備，由政務(wù)外網(wǎng)管理單位管理運維，各接入單位無(wú)權登錄，不得擅自關(guān)閉設備、修改配置。

未經(jīng)政務(wù)外網(wǎng)管理單位許可，各接入單位不得改變政務(wù)外網(wǎng)接口的網(wǎng)絡(luò )設備、結構或配置，不得在政務(wù)外網(wǎng)上搭接無(wú)線(xiàn)網(wǎng)絡(luò )設備。

第二十三條通過(guò)專(zhuān)線(xiàn)方式接入政務(wù)外網(wǎng)的單位局域網(wǎng)或業(yè)務(wù)系統，接入單位要保障本單位網(wǎng)絡(luò )、系統的安全，應參照所接入政務(wù)外網(wǎng)的等級保護級別標準(二級或三級)，按照國家等級保護工作要求，開(kāi)展測評整改，明確接入網(wǎng)絡(luò )安全責任人。達到所接入政務(wù)外網(wǎng)的安全標準后，方能接入政務(wù)外網(wǎng)。

專(zhuān)線(xiàn)接入政務(wù)外網(wǎng)的單位應防止本單位局域網(wǎng)內的設備對政務(wù)外網(wǎng)進(jìn)行攻擊。如果出現這類(lèi)情況，應根據攻擊情況和系統影響范圍報本級政務(wù)外網(wǎng)管理單位后斷開(kāi)政務(wù)外網(wǎng)連接，進(jìn)行溯源、查殺等安全處置。

第二十四條單機接入政務(wù)外網(wǎng)的，應明確安全責任人，保證接入政務(wù)外網(wǎng)的單機安全，避免中病毒或木馬，避免成為攻擊政務(wù)外網(wǎng)的跳板。當發(fā)現接入政務(wù)外網(wǎng)的單機有異常情況時(shí)，應先斷開(kāi)與政務(wù)外網(wǎng)的連接，立即對事故進(jìn)行處置，并將異常情況及處置結果及時(shí)報本級政務(wù)外網(wǎng)管理單位。

第二十五條通過(guò)撥號或VPN方式接入政務(wù)外網(wǎng)的單位，應明確安全責任人，要保障接入賬號及接入終端的安全，避免非授權用戶(hù)獲取賬號密碼信息接入政務(wù)外網(wǎng)，避免含有惡意軟件的終端接入政務(wù)外網(wǎng)。接入政務(wù)外網(wǎng)后不得有危害政務(wù)外網(wǎng)安全的行為。當發(fā)現接入政務(wù)外網(wǎng)的終端有異常情況時(shí)，應先斷開(kāi)與政務(wù)外網(wǎng)的連接，立即對事故進(jìn)行處置，并將異常情況及處置結果及時(shí)報本級政務(wù)外網(wǎng)管理單位。

第二十六條所有依托于政務(wù)外網(wǎng)運行的應用系統，所開(kāi)放的端口應由使用單位提出要求并對每個(gè)端口的用途做出說(shuō)明，經(jīng)本級政務(wù)外網(wǎng)管理單位核準后開(kāi)放。

第二十七條各單位如果有獨立的業(yè)務(wù)專(zhuān)網(wǎng)，并且業(yè)務(wù)專(zhuān)網(wǎng)需要與政務(wù)外網(wǎng)進(jìn)行數據交換，使用單位應當自行在業(yè)務(wù)專(zhuān)網(wǎng)和政務(wù)外網(wǎng)之間部署隔離設備，并由各單位自行負責數據擺渡。

將現有業(yè)務(wù)專(zhuān)網(wǎng)遷入政務(wù)外網(wǎng)內運行的單位，遷移方案須經(jīng)過(guò)省政府發(fā)展研究中心同意。

第二十八條各單位依托于省政務(wù)外網(wǎng)新建業(yè)務(wù)專(zhuān)網(wǎng)，應首先與本級政務(wù)外網(wǎng)管理單位進(jìn)行溝通，建設方案須經(jīng)過(guò)本級政務(wù)外網(wǎng)管理單位同意，并報省政府發(fā)展研究中心備案。

第二十九條依托于省政務(wù)外網(wǎng)運行的業(yè)務(wù)專(zhuān)網(wǎng)，應當與政務(wù)外網(wǎng)內的其他專(zhuān)網(wǎng)互相隔離。

第六章安全管理邊界

第三十條各級政務(wù)外網(wǎng)管理單位應防止本級政務(wù)外網(wǎng)內的設備攻擊本級以外政務(wù)外網(wǎng)。如果出現這種情況，由故障設備所屬政務(wù)外網(wǎng)管理單位負責開(kāi)展溯源、查殺等安全處置。

第三十一條所有接入政務(wù)外網(wǎng)的單位需保障本單位內部的服務(wù)器、虛擬機和終端的安全，避免引入病毒或木馬，需保障本單位所轄賬戶(hù)的安全，避免賬戶(hù)信息泄漏，對所轄賬戶(hù)的所有操作負責。接入政務(wù)外網(wǎng)的單位應防止本單位局域網(wǎng)設備攻擊政務(wù)外網(wǎng)。如果出現這種情況，由接入單位負責開(kāi)展溯源、查殺等安全處置。

第三十二條使用省級政務(wù)外網(wǎng)網(wǎng)絡(luò )、云平臺、大數據平臺及其他基礎設施的單位，應嚴格控制所申請資源的使用范圍，不得利用省級政務(wù)外網(wǎng)的網(wǎng)絡(luò )、算力、存儲、數據、基礎設施等資源開(kāi)展批準范圍之外的應用。

第三十三條使用省級政務(wù)外網(wǎng)統一云平臺部署應用系統的省直單位，負責虛擬主機的操作系統、中間件及應用系統的安全和數據安全，并對該系統的訪(fǎng)問(wèn)控制進(jìn)行優(yōu)化，提出最小化開(kāi)放策略。

第三十四條設備托管在政務(wù)外網(wǎng)機房的單位，要保障托管設備及其系統層、應用層的安全和數據安全。

第三十五條利用政務(wù)外網(wǎng)的機房、設備搭建業(yè)務(wù)專(zhuān)網(wǎng)的單位，要保障該專(zhuān)網(wǎng)的安全。

第三十六條利用省級政務(wù)外網(wǎng)短信網(wǎng)關(guān)、網(wǎng)站集約化平臺、郵件系統等基礎設施平臺發(fā)布信息的單位，對本單位發(fā)布的信息內容負責。

第七章附則

第三十七條本辦法自發(fā)布之日起施行。

掃描二維碼關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/policy/103744.html

本文關(guān)鍵詞：湖南省

打印

關(guān)閉