湘政辦發(fā)〔2020〕33號《湖南省人民政府辦公廳關(guān)于印發(fā)〈湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法〉的通知》

湖南省人民政府辦公廳關(guān)于印發(fā)《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》的通知

湘政辦發(fā)〔2020〕33號

各市州、縣市區(qū)人民政府，省政府各廳委、各直屬機(jī)構(gòu)：

《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》已經(jīng)省人民政府同意，現(xiàn)印發(fā)給你們，請認(rèn)真組織實施。

湖南省人民政府辦公廳

2020年8月18日

(此件主動公開)

湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法

第一章 總則

第一條 為保障湖南省電子政務(wù)外網(wǎng)(以下簡稱省政務(wù)外網(wǎng))的運行安全，落實政務(wù)外網(wǎng)相關(guān)部門的安全責(zé)任，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等有關(guān)法律、法規(guī)，以及國家電子政務(wù)外網(wǎng)的各項標(biāo)準(zhǔn)規(guī)范，結(jié)合我省實際，制定本辦法。

第二條 省政務(wù)外網(wǎng)是國家電子政務(wù)外網(wǎng)的組成部分，由省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))五級政務(wù)外網(wǎng)組成，上聯(lián)國家，橫向連接各級黨委、人大、政府、政協(xié)、法院、檢察院及其所直屬各部門(單位)，縱向覆蓋省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))。政務(wù)外網(wǎng)是我省電子政務(wù)的公共基礎(chǔ)設(shè)施，承載全省政務(wù)部門非涉密信息化系統(tǒng)，實現(xiàn)基礎(chǔ)信息資源開放共享。

第三條 本辦法適用于本省政務(wù)外網(wǎng)各級建設(shè)運維安全管理單位，依托政務(wù)外網(wǎng)開展信息化系統(tǒng)建設(shè)的各級政務(wù)部門，以及接入政務(wù)外網(wǎng)的各單位。

第二章 總體要求

第四條 各級政務(wù)外網(wǎng)建設(shè)運維安全管理單位(以下簡稱政務(wù)外網(wǎng)管理單位)要嚴(yán)格落實網(wǎng)絡(luò)安全工作責(zé)任制，履行關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)安全保護(hù)義務(wù)，做好采購產(chǎn)品和服務(wù)的安全評估工作，采取措施保護(hù)政務(wù)外網(wǎng)安全。

第五條 省級和市級政務(wù)外網(wǎng)應(yīng)達(dá)到等級保護(hù)2.0三級標(biāo)準(zhǔn)，縣級政務(wù)外網(wǎng)應(yīng)達(dá)到等級保護(hù)2.0二級標(biāo)準(zhǔn)。

接入政務(wù)外網(wǎng)的信息化系統(tǒng)正式對外提供服務(wù)前，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，落實網(wǎng)絡(luò)安全主體責(zé)任和安全技術(shù)措施，完成等級保護(hù)測評備案、整改加固，通過驗收后方可正式上線提供服務(wù)。

第六條 接入政務(wù)外網(wǎng)的信息化系統(tǒng)，應(yīng)當(dāng)使用由具備資格的機(jī)構(gòu)檢測認(rèn)證合格的商用密碼產(chǎn)品，進(jìn)行加密保護(hù)和安全認(rèn)證。

第三章 職責(zé)分工

第七條 政務(wù)外網(wǎng)按照“誰管理誰負(fù)責(zé)、誰建設(shè)誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰發(fā)布誰負(fù)責(zé)”的原則，分級建設(shè)、分級管理、各負(fù)其責(zé)。

省政府發(fā)展研究中心(省政府政務(wù)服務(wù)中心)負(fù)責(zé)全省政務(wù)外網(wǎng)建設(shè)的整體規(guī)劃，制定本省政務(wù)外網(wǎng)的標(biāo)準(zhǔn)規(guī)范，負(fù)責(zé)省級政務(wù)外網(wǎng)的建設(shè)、運維及安全管理工作，指導(dǎo)全省政務(wù)外網(wǎng)的建設(shè)、運維及安全管理工作，制定電子政務(wù)外網(wǎng)統(tǒng)一接入標(biāo)準(zhǔn)，定期組織市州及縣市區(qū)開展相關(guān)業(yè)務(wù)培訓(xùn)，并向國家政務(wù)外網(wǎng)管理部門報告。

省公安廳負(fù)責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的監(jiān)督、檢查、指導(dǎo)和違法犯罪案件的查處。

省互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。

各市州人民政府應(yīng)明確一個本級政務(wù)外網(wǎng)管理單位，負(fù)責(zé)本級政務(wù)外網(wǎng)的統(tǒng)一建設(shè)、運維及安全管理工作。各縣市區(qū)人民政府應(yīng)明確一個本級政務(wù)外網(wǎng)管理單位，負(fù)責(zé)本級以及下轄鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))的政務(wù)外網(wǎng)統(tǒng)一建設(shè)、運維及安全管理工作。

接入政務(wù)外網(wǎng)的單位負(fù)責(zé)本單位局域網(wǎng)和接入政務(wù)外網(wǎng)的信息系統(tǒng)安全，負(fù)責(zé)本單位發(fā)布內(nèi)容安全。

各級政務(wù)外網(wǎng)使用單位應(yīng)當(dāng)確定至少兩名本單位工作人員作為政務(wù)外網(wǎng)安全聯(lián)系人，并且將聯(lián)系人名單提交給本級政務(wù)外網(wǎng)管理單位。

第八條 各級政務(wù)外網(wǎng)管理單位是本級政務(wù)外網(wǎng)的安全責(zé)任主體，各政務(wù)外網(wǎng)接入單位是本單位政務(wù)外網(wǎng)的安全責(zé)任主體。

政務(wù)外網(wǎng)安全工作實行領(lǐng)導(dǎo)責(zé)任制。各級政務(wù)外網(wǎng)管理單位主要領(lǐng)導(dǎo)是本級政務(wù)外網(wǎng)安全第一責(zé)任人，分管政務(wù)外網(wǎng)的領(lǐng)導(dǎo)是直接責(zé)任人;各接入單位的主要領(lǐng)導(dǎo)是本單位政務(wù)外網(wǎng)安全的第一責(zé)任人。

各運營商、承建商、運維公司、外包服務(wù)公司等按合同規(guī)定承擔(dān)相應(yīng)的安全責(zé)任。

第九條 各級政務(wù)外網(wǎng)管理單位參照本辦法制定本級政務(wù)外網(wǎng)安全管理制度，報上一級政務(wù)外網(wǎng)管理單位備案。各政務(wù)外網(wǎng)接入單位應(yīng)制定本單位的信息安全管理制度，報本級政務(wù)外網(wǎng)管理單位備案。

第四章 運維管理

第十條 各級政務(wù)外網(wǎng)管理單位應(yīng)做好安全保障系統(tǒng)的規(guī)劃、設(shè)計和建設(shè)工作，落實運行維護(hù)管理中的安全檢查、等級保護(hù)測評和風(fēng)險評估等工作責(zé)任。各級財政應(yīng)保障本級政務(wù)外網(wǎng)的建設(shè)、運維和安全管理經(jīng)費。

第十一條 各級政務(wù)外網(wǎng)管理單位要開展網(wǎng)絡(luò)安全監(jiān)控工作，及時發(fā)現(xiàn)、定位、分析、處置安全事件，每6個月向上一級政務(wù)外網(wǎng)管理單位匯報網(wǎng)絡(luò)安全狀況。發(fā)生重大網(wǎng)絡(luò)安全事件的，應(yīng)立即報告公安、網(wǎng)信、國安等信息安全主管職能部門。

第十二條 各級政務(wù)外網(wǎng)管理單位都應(yīng)組織制定本級政務(wù)外網(wǎng)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并定期開展應(yīng)急演練。

第十三條 各級政務(wù)外網(wǎng)管理單位都要加強(qiáng)安全審計工作，審計記錄的保存時間不少于6個月。

第十四條 各級政務(wù)外網(wǎng)管理單位應(yīng)當(dāng)按照國家政務(wù)外網(wǎng)安全檢查和風(fēng)險評估統(tǒng)一要求，定期組織開展網(wǎng)絡(luò)與信息安全自查和風(fēng)險評估，并按照信息安全主管職能部門和上級政務(wù)外網(wǎng)管理單位的要求做好本級政務(wù)外網(wǎng)信息安全檢查和風(fēng)險評估工作。

各級政務(wù)外網(wǎng)管理單位應(yīng)將本級政務(wù)外網(wǎng)自查結(jié)果及時報上一級政務(wù)外網(wǎng)管理單位。在自查中發(fā)現(xiàn)接入單位存在問題的，應(yīng)責(zé)成存在問題的單位進(jìn)行整改。對問題較嚴(yán)重的單位，原則上應(yīng)立即斷開其政務(wù)外網(wǎng)連接，待整改完成后再重新接入。

第十五條 各級政務(wù)外網(wǎng)管理單位要建立信息安全定期報告制度，每3個月向上一級政務(wù)外網(wǎng)管理單位報告本級政務(wù)外網(wǎng)出現(xiàn)的信息安全事件。

第十六條 各級政務(wù)外網(wǎng)管理單位要加強(qiáng)信息安全教育，每年至少對本級從事信息安全工作的人員開展一次專業(yè)技術(shù)培訓(xùn)。

第十七條 各級政務(wù)外網(wǎng)管理單位及接入部門應(yīng)對從事政務(wù)外網(wǎng)信息安全工作的人員按照“分工負(fù)責(zé)、職責(zé)明確、最小授權(quán)和任期有限”的原則進(jìn)行管理。

第十八條 各級政務(wù)外網(wǎng)管理單位應(yīng)設(shè)置系統(tǒng)管理、安全管理和安全審計崗位，分別負(fù)責(zé)網(wǎng)絡(luò)運行、安全和審計工作。系統(tǒng)管理員、安全管理員和安全審計員的權(quán)限設(shè)置應(yīng)相互獨立、相互制約。

第十九條 管理、使用政務(wù)外網(wǎng)的各級單位，應(yīng)當(dāng)同運維機(jī)構(gòu)簽訂保密協(xié)議，并且約定運維機(jī)構(gòu)同運維人員個人簽訂保密協(xié)議。運維機(jī)構(gòu)簽署的所有的保密協(xié)議都應(yīng)當(dāng)提交到政務(wù)外網(wǎng)的管理、使用單位備案。

第二十條 政務(wù)外網(wǎng)管理單位應(yīng)當(dāng)對運維機(jī)構(gòu)、人員進(jìn)行安全審查，對人員準(zhǔn)入進(jìn)行規(guī)范。

第五章 接入管理

第二十一條 接入政務(wù)外網(wǎng)的單位，應(yīng)統(tǒng)一使用政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口。如果單位確實需要獨立的互聯(lián)網(wǎng)出口，應(yīng)報本級政務(wù)外網(wǎng)管理單位備案。

第二十二條 各級政務(wù)外網(wǎng)管理單位部署在各接入單位的設(shè)備，由政務(wù)外網(wǎng)管理單位管理運維，各接入單位無權(quán)登錄，不得擅自關(guān)閉設(shè)備、修改配置。

未經(jīng)政務(wù)外網(wǎng)管理單位許可，各接入單位不得改變政務(wù)外網(wǎng)接口的網(wǎng)絡(luò)設(shè)備、結(jié)構(gòu)或配置，不得在政務(wù)外網(wǎng)上搭接無線網(wǎng)絡(luò)設(shè)備。

第二十三條 通過專線方式接入政務(wù)外網(wǎng)的單位局域網(wǎng)或業(yè)務(wù)系統(tǒng)，接入單位要保障本單位網(wǎng)絡(luò)、系統(tǒng)的安全，應(yīng)參照所接入政務(wù)外網(wǎng)的等級保護(hù)級別標(biāo)準(zhǔn)(二級或三級)，按照國家等級保護(hù)工作要求，開展測評整改，明確接入網(wǎng)絡(luò)安全責(zé)任人。達(dá)到所接入政務(wù)外網(wǎng)的安全標(biāo)準(zhǔn)后，方能接入政務(wù)外網(wǎng)。

專線接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)內(nèi)的設(shè)備對政務(wù)外網(wǎng)進(jìn)行攻擊。如果出現(xiàn)這類情況，應(yīng)根據(jù)攻擊情況和系統(tǒng)影響范圍報本級政務(wù)外網(wǎng)管理單位后斷開政務(wù)外網(wǎng)連接，進(jìn)行溯源、查殺等安全處置。

第二十四條 單機(jī)接入政務(wù)外網(wǎng)的，應(yīng)明確安全責(zé)任人，保證接入政務(wù)外網(wǎng)的單機(jī)安全，避免中病毒或木馬，避免成為攻擊政務(wù)外網(wǎng)的跳板。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的單機(jī)有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進(jìn)行處置，并將異常情況及處置結(jié)果及時報本級政務(wù)外網(wǎng)管理單位。

第二十五條 通過撥號或VPN方式接入政務(wù)外網(wǎng)的單位，應(yīng)明確安全責(zé)任人，要保障接入賬號及接入終端的安全，避免非授權(quán)用戶獲取賬號密碼信息接入政務(wù)外網(wǎng)，避免含有惡意軟件的終端接入政務(wù)外網(wǎng)。接入政務(wù)外網(wǎng)后不得有危害政務(wù)外網(wǎng)安全的行為。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的終端有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進(jìn)行處置，并將異常情況及處置結(jié)果及時報本級政務(wù)外網(wǎng)管理單位。

第二十六條 所有依托于政務(wù)外網(wǎng)運行的應(yīng)用系統(tǒng)，所開放的端口應(yīng)由使用單位提出要求并對每個端口的用途做出說明，經(jīng)本級政務(wù)外網(wǎng)管理單位核準(zhǔn)后開放。

第二十七條 各單位如果有獨立的業(yè)務(wù)專網(wǎng)，并且業(yè)務(wù)專網(wǎng)需要與政務(wù)外網(wǎng)進(jìn)行數(shù)據(jù)交換，使用單位應(yīng)當(dāng)自行在業(yè)務(wù)專網(wǎng)和政務(wù)外網(wǎng)之間部署隔離設(shè)備，并由各單位自行負(fù)責(zé)數(shù)據(jù)擺渡。

將現(xiàn)有業(yè)務(wù)專網(wǎng)遷入政務(wù)外網(wǎng)內(nèi)運行的單位，遷移方案須經(jīng)過省政府發(fā)展研究中心同意。

第二十八條 各單位依托于省政務(wù)外網(wǎng)新建業(yè)務(wù)專網(wǎng)，應(yīng)首先與本級政務(wù)外網(wǎng)管理單位進(jìn)行溝通，建設(shè)方案須經(jīng)過本級政務(wù)外網(wǎng)管理單位同意，并報省政府發(fā)展研究中心備案。

第二十九條 依托于省政務(wù)外網(wǎng)運行的業(yè)務(wù)專網(wǎng)，應(yīng)當(dāng)與政務(wù)外網(wǎng)內(nèi)的其他專網(wǎng)互相隔離。

第六章 安全管理邊界

第三十條 各級政務(wù)外網(wǎng)管理單位應(yīng)防止本級政務(wù)外網(wǎng)內(nèi)的設(shè)備攻擊本級以外政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由故障設(shè)備所屬政務(wù)外網(wǎng)管理單位負(fù)責(zé)開展溯源、查殺等安全處置。

第三十一條 所有接入政務(wù)外網(wǎng)的單位需保障本單位內(nèi)部的服務(wù)器、虛擬機(jī)和終端的安全，避免引入病毒或木馬，需保障本單位所轄賬戶的安全，避免賬戶信息泄漏，對所轄賬戶的所有操作負(fù)責(zé)。接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)設(shè)備攻擊政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由接入單位負(fù)責(zé)開展溯源、查殺等安全處置。

第三十二條 使用省級政務(wù)外網(wǎng)網(wǎng)絡(luò)、云平臺、大數(shù)據(jù)平臺及其他基礎(chǔ)設(shè)施的單位，應(yīng)嚴(yán)格控制所申請資源的使用范圍，不得利用省級政務(wù)外網(wǎng)的網(wǎng)絡(luò)、算力、存儲、數(shù)據(jù)、基礎(chǔ)設(shè)施等資源開展批準(zhǔn)范圍之外的應(yīng)用。

第三十三條 使用省級政務(wù)外網(wǎng)統(tǒng)一云平臺部署應(yīng)用系統(tǒng)的省直單位，負(fù)責(zé)虛擬主機(jī)的操作系統(tǒng)、中間件及應(yīng)用系統(tǒng)的安全和數(shù)據(jù)安全，并對該系統(tǒng)的訪問控制進(jìn)行優(yōu)化，提出最小化開放策略。

第三十四條 設(shè)備托管在政務(wù)外網(wǎng)機(jī)房的單位，要保障托管設(shè)備及其系統(tǒng)層、應(yīng)用層的安全和數(shù)據(jù)安全。

第三十五條 利用政務(wù)外網(wǎng)的機(jī)房、設(shè)備搭建業(yè)務(wù)專網(wǎng)的單位，要保障該專網(wǎng)的安全。

第三十六條 利用省級政務(wù)外網(wǎng)短信網(wǎng)關(guān)、網(wǎng)站集約化平臺、郵件系統(tǒng)等基礎(chǔ)設(shè)施平臺發(fā)布信息的單位，對本單位發(fā)布的信息內(nèi)容負(fù)責(zé)。

第七章 附則

第三十七條 本辦法自發(fā)布之日起施行。

本文鏈接：http://m.per-better.com/policy/103744.html

本文關(guān)鍵詞： 湖南省