湘政辦發(fā)〔2020〕33號《湖南省人民政府辦公廳關(guān)于印發(fā)〈湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法〉的通知》

湖南省人民政府辦公廳關(guān)于印發(fā)《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》的通知

湘政辦發(fā)〔2020〕33號

各市州、縣市區(qū)人民政府，省政府各廳委、各直屬機構(gòu)：

《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》已經(jīng)省人民政府同意，現(xiàn)印發(fā)給你們，請認真組織實施。

湖南省人民政府辦公廳

2020年8月18日

(此件主動公開)

湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法

第一章 總則

第一條 為保障湖南省電子政務(wù)外網(wǎng)(以下簡稱省政務(wù)外網(wǎng))的運行安全，落實政務(wù)外網(wǎng)相關(guān)部門的安全責任，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等有關(guān)法律、法規(guī)，以及國家電子政務(wù)外網(wǎng)的各項標準規(guī)范，結(jié)合我省實際，制定本辦法。

第二條 省政務(wù)外網(wǎng)是國家電子政務(wù)外網(wǎng)的組成部分，由省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))五級政務(wù)外網(wǎng)組成，上聯(lián)國家，橫向連接各級黨委、人大、政府、政協(xié)、法院、檢察院及其所直屬各部門(單位)，縱向覆蓋省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))。政務(wù)外網(wǎng)是我省電子政務(wù)的公共基礎(chǔ)設(shè)施，承載全省政務(wù)部門非涉密信息化系統(tǒng)，實現(xiàn)基礎(chǔ)信息資源開放共享。

第三條 本辦法適用于本省政務(wù)外網(wǎng)各級建設(shè)運維安全管理單位，依托政務(wù)外網(wǎng)開展信息化系統(tǒng)建設(shè)的各級政務(wù)部門，以及接入政務(wù)外網(wǎng)的各單位。

第二章 總體要求

第四條 各級政務(wù)外網(wǎng)建設(shè)運維安全管理單位(以下簡稱政務(wù)外網(wǎng)管理單位)要嚴格落實網(wǎng)絡(luò)安全工作責任制，履行關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)安全保護義務(wù)，做好采購產(chǎn)品和服務(wù)的安全評估工作，采取措施保護政務(wù)外網(wǎng)安全。

第五條 省級和市級政務(wù)外網(wǎng)應(yīng)達到等級保護2.0三級標準，縣級政務(wù)外網(wǎng)應(yīng)達到等級保護2.0二級標準。

接入政務(wù)外網(wǎng)的信息化系統(tǒng)正式對外提供服務(wù)前，應(yīng)當按照國家網(wǎng)絡(luò)安全等級保護制度要求，落實網(wǎng)絡(luò)安全主體責任和安全技術(shù)措施，完成等級保護測評備案、整改加固，通過驗收后方可正式上線提供服務(wù)。

第六條 接入政務(wù)外網(wǎng)的信息化系統(tǒng)，應(yīng)當使用由具備資格的機構(gòu)檢測認證合格的商用密碼產(chǎn)品，進行加密保護和安全認證。

第三章 職責分工

第七條 政務(wù)外網(wǎng)按照“誰管理誰負責、誰建設(shè)誰負責、誰使用誰負責、誰發(fā)布誰負責”的原則，分級建設(shè)、分級管理、各負其責。

省政府發(fā)展研究中心(省政府政務(wù)服務(wù)中心)負責全省政務(wù)外網(wǎng)建設(shè)的整體規(guī)劃，制定本省政務(wù)外網(wǎng)的標準規(guī)范，負責省級政務(wù)外網(wǎng)的建設(shè)、運維及安全管理工作，指導全省政務(wù)外網(wǎng)的建設(shè)、運維及安全管理工作，制定電子政務(wù)外網(wǎng)統(tǒng)一接入標準，定期組織市州及縣市區(qū)開展相關(guān)業(yè)務(wù)培訓，并向國家政務(wù)外網(wǎng)管理部門報告。

省公安廳負責政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的監(jiān)督、檢查、指導和違法犯罪案件的查處。

省互聯(lián)網(wǎng)信息辦公室負責統(tǒng)籌協(xié)調(diào)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。

各市州人民政府應(yīng)明確一個本級政務(wù)外網(wǎng)管理單位，負責本級政務(wù)外網(wǎng)的統(tǒng)一建設(shè)、運維及安全管理工作。各縣市區(qū)人民政府應(yīng)明確一個本級政務(wù)外網(wǎng)管理單位，負責本級以及下轄鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))的政務(wù)外網(wǎng)統(tǒng)一建設(shè)、運維及安全管理工作。

接入政務(wù)外網(wǎng)的單位負責本單位局域網(wǎng)和接入政務(wù)外網(wǎng)的信息系統(tǒng)安全，負責本單位發(fā)布內(nèi)容安全。

各級政務(wù)外網(wǎng)使用單位應(yīng)當確定至少兩名本單位工作人員作為政務(wù)外網(wǎng)安全聯(lián)系人，并且將聯(lián)系人名單提交給本級政務(wù)外網(wǎng)管理單位。

第八條 各級政務(wù)外網(wǎng)管理單位是本級政務(wù)外網(wǎng)的安全責任主體，各政務(wù)外網(wǎng)接入單位是本單位政務(wù)外網(wǎng)的安全責任主體。

政務(wù)外網(wǎng)安全工作實行領(lǐng)導責任制。各級政務(wù)外網(wǎng)管理單位主要領(lǐng)導是本級政務(wù)外網(wǎng)安全第一責任人，分管政務(wù)外網(wǎng)的領(lǐng)導是直接責任人;各接入單位的主要領(lǐng)導是本單位政務(wù)外網(wǎng)安全的第一責任人。

各運營商、承建商、運維公司、外包服務(wù)公司等按合同規(guī)定承擔相應(yīng)的安全責任。

第九條 各級政務(wù)外網(wǎng)管理單位參照本辦法制定本級政務(wù)外網(wǎng)安全管理制度，報上一級政務(wù)外網(wǎng)管理單位備案。各政務(wù)外網(wǎng)接入單位應(yīng)制定本單位的信息安全管理制度，報本級政務(wù)外網(wǎng)管理單位備案。

第四章 運維管理

第十條 各級政務(wù)外網(wǎng)管理單位應(yīng)做好安全保障系統(tǒng)的規(guī)劃、設(shè)計和建設(shè)工作，落實運行維護管理中的安全檢查、等級保護測評和風險評估等工作責任。各級財政應(yīng)保障本級政務(wù)外網(wǎng)的建設(shè)、運維和安全管理經(jīng)費。

第十一條 各級政務(wù)外網(wǎng)管理單位要開展網(wǎng)絡(luò)安全監(jiān)控工作，及時發(fā)現(xiàn)、定位、分析、處置安全事件，每6個月向上一級政務(wù)外網(wǎng)管理單位匯報網(wǎng)絡(luò)安全狀況。發(fā)生重大網(wǎng)絡(luò)安全事件的，應(yīng)立即報告公安、網(wǎng)信、國安等信息安全主管職能部門。

第十二條 各級政務(wù)外網(wǎng)管理單位都應(yīng)組織制定本級政務(wù)外網(wǎng)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并定期開展應(yīng)急演練。

第十三條 各級政務(wù)外網(wǎng)管理單位都要加強安全審計工作，審計記錄的保存時間不少于6個月。

第十四條 各級政務(wù)外網(wǎng)管理單位應(yīng)當按照國家政務(wù)外網(wǎng)安全檢查和風險評估統(tǒng)一要求，定期組織開展網(wǎng)絡(luò)與信息安全自查和風險評估，并按照信息安全主管職能部門和上級政務(wù)外網(wǎng)管理單位的要求做好本級政務(wù)外網(wǎng)信息安全檢查和風險評估工作。

各級政務(wù)外網(wǎng)管理單位應(yīng)將本級政務(wù)外網(wǎng)自查結(jié)果及時報上一級政務(wù)外網(wǎng)管理單位。在自查中發(fā)現(xiàn)接入單位存在問題的，應(yīng)責成存在問題的單位進行整改。對問題較嚴重的單位，原則上應(yīng)立即斷開其政務(wù)外網(wǎng)連接，待整改完成后再重新接入。

第十五條 各級政務(wù)外網(wǎng)管理單位要建立信息安全定期報告制度，每3個月向上一級政務(wù)外網(wǎng)管理單位報告本級政務(wù)外網(wǎng)出現(xiàn)的信息安全事件。

第十六條 各級政務(wù)外網(wǎng)管理單位要加強信息安全教育，每年至少對本級從事信息安全工作的人員開展一次專業(yè)技術(shù)培訓。

第十七條 各級政務(wù)外網(wǎng)管理單位及接入部門應(yīng)對從事政務(wù)外網(wǎng)信息安全工作的人員按照“分工負責、職責明確、最小授權(quán)和任期有限”的原則進行管理。

第十八條 各級政務(wù)外網(wǎng)管理單位應(yīng)設(shè)置系統(tǒng)管理、安全管理和安全審計崗位，分別負責網(wǎng)絡(luò)運行、安全和審計工作。系統(tǒng)管理員、安全管理員和安全審計員的權(quán)限設(shè)置應(yīng)相互獨立、相互制約。

第十九條 管理、使用政務(wù)外網(wǎng)的各級單位，應(yīng)當同運維機構(gòu)簽訂保密協(xié)議，并且約定運維機構(gòu)同運維人員個人簽訂保密協(xié)議。運維機構(gòu)簽署的所有的保密協(xié)議都應(yīng)當提交到政務(wù)外網(wǎng)的管理、使用單位備案。

第二十條 政務(wù)外網(wǎng)管理單位應(yīng)當對運維機構(gòu)、人員進行安全審查，對人員準入進行規(guī)范。

第五章 接入管理

第二十一條 接入政務(wù)外網(wǎng)的單位，應(yīng)統(tǒng)一使用政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口。如果單位確實需要獨立的互聯(lián)網(wǎng)出口，應(yīng)報本級政務(wù)外網(wǎng)管理單位備案。

第二十二條 各級政務(wù)外網(wǎng)管理單位部署在各接入單位的設(shè)備，由政務(wù)外網(wǎng)管理單位管理運維，各接入單位無權(quán)登錄，不得擅自關(guān)閉設(shè)備、修改配置。

未經(jīng)政務(wù)外網(wǎng)管理單位許可，各接入單位不得改變政務(wù)外網(wǎng)接口的網(wǎng)絡(luò)設(shè)備、結(jié)構(gòu)或配置，不得在政務(wù)外網(wǎng)上搭接無線網(wǎng)絡(luò)設(shè)備。

第二十三條 通過專線方式接入政務(wù)外網(wǎng)的單位局域網(wǎng)或業(yè)務(wù)系統(tǒng)，接入單位要保障本單位網(wǎng)絡(luò)、系統(tǒng)的安全，應(yīng)參照所接入政務(wù)外網(wǎng)的等級保護級別標準(二級或三級)，按照國家等級保護工作要求，開展測評整改，明確接入網(wǎng)絡(luò)安全責任人。達到所接入政務(wù)外網(wǎng)的安全標準后，方能接入政務(wù)外網(wǎng)。

專線接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)內(nèi)的設(shè)備對政務(wù)外網(wǎng)進行攻擊。如果出現(xiàn)這類情況，應(yīng)根據(jù)攻擊情況和系統(tǒng)影響范圍報本級政務(wù)外網(wǎng)管理單位后斷開政務(wù)外網(wǎng)連接，進行溯源、查殺等安全處置。

第二十四條 單機接入政務(wù)外網(wǎng)的，應(yīng)明確安全責任人，保證接入政務(wù)外網(wǎng)的單機安全，避免中病毒或木馬，避免成為攻擊政務(wù)外網(wǎng)的跳板。當發(fā)現(xiàn)接入政務(wù)外網(wǎng)的單機有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進行處置，并將異常情況及處置結(jié)果及時報本級政務(wù)外網(wǎng)管理單位。

第二十五條 通過撥號或VPN方式接入政務(wù)外網(wǎng)的單位，應(yīng)明確安全責任人，要保障接入賬號及接入終端的安全，避免非授權(quán)用戶獲取賬號密碼信息接入政務(wù)外網(wǎng)，避免含有惡意軟件的終端接入政務(wù)外網(wǎng)。接入政務(wù)外網(wǎng)后不得有危害政務(wù)外網(wǎng)安全的行為。當發(fā)現(xiàn)接入政務(wù)外網(wǎng)的終端有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進行處置，并將異常情況及處置結(jié)果及時報本級政務(wù)外網(wǎng)管理單位。

第二十六條 所有依托于政務(wù)外網(wǎng)運行的應(yīng)用系統(tǒng)，所開放的端口應(yīng)由使用單位提出要求并對每個端口的用途做出說明，經(jīng)本級政務(wù)外網(wǎng)管理單位核準后開放。

第二十七條 各單位如果有獨立的業(yè)務(wù)專網(wǎng)，并且業(yè)務(wù)專網(wǎng)需要與政務(wù)外網(wǎng)進行數(shù)據(jù)交換，使用單位應(yīng)當自行在業(yè)務(wù)專網(wǎng)和政務(wù)外網(wǎng)之間部署隔離設(shè)備，并由各單位自行負責數(shù)據(jù)擺渡。

將現(xiàn)有業(yè)務(wù)專網(wǎng)遷入政務(wù)外網(wǎng)內(nèi)運行的單位，遷移方案須經(jīng)過省政府發(fā)展研究中心同意。

第二十八條 各單位依托于省政務(wù)外網(wǎng)新建業(yè)務(wù)專網(wǎng)，應(yīng)首先與本級政務(wù)外網(wǎng)管理單位進行溝通，建設(shè)方案須經(jīng)過本級政務(wù)外網(wǎng)管理單位同意，并報省政府發(fā)展研究中心備案。

第二十九條 依托于省政務(wù)外網(wǎng)運行的業(yè)務(wù)專網(wǎng)，應(yīng)當與政務(wù)外網(wǎng)內(nèi)的其他專網(wǎng)互相隔離。

第六章 安全管理邊界

第三十條 各級政務(wù)外網(wǎng)管理單位應(yīng)防止本級政務(wù)外網(wǎng)內(nèi)的設(shè)備攻擊本級以外政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由故障設(shè)備所屬政務(wù)外網(wǎng)管理單位負責開展溯源、查殺等安全處置。

第三十一條 所有接入政務(wù)外網(wǎng)的單位需保障本單位內(nèi)部的服務(wù)器、虛擬機和終端的安全，避免引入病毒或木馬，需保障本單位所轄賬戶的安全，避免賬戶信息泄漏，對所轄賬戶的所有操作負責。接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)設(shè)備攻擊政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由接入單位負責開展溯源、查殺等安全處置。

第三十二條 使用省級政務(wù)外網(wǎng)網(wǎng)絡(luò)、云平臺、大數(shù)據(jù)平臺及其他基礎(chǔ)設(shè)施的單位，應(yīng)嚴格控制所申請資源的使用范圍，不得利用省級政務(wù)外網(wǎng)的網(wǎng)絡(luò)、算力、存儲、數(shù)據(jù)、基礎(chǔ)設(shè)施等資源開展批準范圍之外的應(yīng)用。

第三十三條 使用省級政務(wù)外網(wǎng)統(tǒng)一云平臺部署應(yīng)用系統(tǒng)的省直單位，負責虛擬主機的操作系統(tǒng)、中間件及應(yīng)用系統(tǒng)的安全和數(shù)據(jù)安全，并對該系統(tǒng)的訪問控制進行優(yōu)化，提出最小化開放策略。

第三十四條 設(shè)備托管在政務(wù)外網(wǎng)機房的單位，要保障托管設(shè)備及其系統(tǒng)層、應(yīng)用層的安全和數(shù)據(jù)安全。

第三十五條 利用政務(wù)外網(wǎng)的機房、設(shè)備搭建業(yè)務(wù)專網(wǎng)的單位，要保障該專網(wǎng)的安全。

第三十六條 利用省級政務(wù)外網(wǎng)短信網(wǎng)關(guān)、網(wǎng)站集約化平臺、郵件系統(tǒng)等基礎(chǔ)設(shè)施平臺發(fā)布信息的單位，對本單位發(fā)布的信息內(nèi)容負責。

第七章 附則

第三十七條 本辦法自發(fā)布之日起施行。

本文鏈接：http://www.fl1002.com/policy/103744.html

本文關(guān)鍵詞： 湖南省