浏阳市新型智慧城市和数字政府建设工作领导小组关于印发《浏阳市政务网络安全管理暂行规范》的通知
各乡、镇人民政府,街道办事处,市直各单位:
现将《浏阳市政务网络安全管理暂行规范》印发给你们,请认真遵照执行。
浏阳市新型智慧城市和数字政府建设工作领导小组
2023年7月14日
浏阳市政务网络安全管理暂行规范
第一章 总则
第一条 为加强和规范全市电子政务网络安全的统筹管理工作,提高政务网络安全防护水平,实现政务网络安全可控、能控,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《湖南省电子政务外网安全管理暂行办法》(湘政办发〔2020〕33号)和《长沙市政务网络安全管理办法》(长智慧办发〔2023〕3号)等法律、法规及文件规定,结合我市实际,制定本规范。
第二条 本规范所称政务网络,为浏阳市电子政务外网,是我市电子政务的公共基础设施,是国家电子政务外网的组成部分,与互联网逻辑隔离,为非涉密网络,由市、乡镇(街道)、村(社区)三级组成,上联长沙市电子政务外网,横向连接市内各委办局及其所属各部门(单位),纵向覆盖乡镇(街道)、村(社区),承载全市政务部门(单位)非涉密信息系统,实现基础信息资源开放共享。
第三条 本规范适用于依托浏阳市电子政务外网建设运行的各类信息系统以及接入电子政务外网的终端设备,政务内网、专网的网络安全管理另行参照相应规章制度执行。
第四条 浏阳市政务网络安全管理遵循“谁管理谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”的原则,分级建设,分级管理,各负其责。
第二章 职责分工
第五条 市委网络安全和信息化委员会办公室(以下简称市委网信办)负责全市网络安全工作的统筹协调和监督管理。
第六条 市新型智慧城市和数字政府建设工作领导小组办公室(以下简称领导小组办公室)负责制定全市政务网络安全管理总体规划、安全策略、标准规范和管理制度,负责指导、组织调度和监督管理全市政务网络安全工作。
第七条 市公安局负责政务网络安全的监督、检查、指导以及违法犯罪案件的查处。
第八条 市数据资源中心是市本级政务主干网络(指市中心机房至各单位接入交换机之间的网络)的安全责任主体,负责统筹、规划、指导和监督政务网络基础设施安全运行,负责市本级政务主干网络的建设、运维及安全管理工作,组织开展全市政务网络安全运行自查和风险评估。
第九条 国安、保密、密码、应急等主管部门按照各自职责,做好政务网络安全管理的相关工作,协调处理政务网络安全突发事件。
第十条 接入电子政务外网和依托电子政务外网建设运行信息系统的各级党政机关、事业单位、群团组织、国有企业等为业务单位,是本单位内部局域网(指接入交换机至终端设备〔含〕之间的网络)和接入电子政务外网信息系统安全的责任主体,负责落实本单位政务网络安全管理责任,保证网络安全建设与信息化建设项目同步规划、同步建设、同步运行。
第三章 网络及信息系统接入
第十一条 可接入电子政务外网的单位包括:浏阳市各级党政机关和国有企事业单位、群团组织、村(社区)、法律法规规定要求接入电子政务外网的辖区内单位。
第十二条 电子政务外网及信息系统的接入、变更实行申请审核制度,由业务单位向市数据资源中心提出申请,经审批通过后方可实施。业务单位的信息系统需开放政务外网或互联网端口访问,应当对每个端口的用途作出说明,向市数据资源中心备案,通过安全测评后方可核准开放。
第十三条 业务单位内部终端应按照电子政务外网统一规划配置网络地址,登记使用情况并向市数据资源中心备案;不得擅自改变电子政务外网接口的网络设备、结构或配置,不得私自在电子政务外网上搭接无线网络设备。
第十四条 业务单位内部终端因工作需要接入互联网或其他外部网络的,或外部人员接入电子政务外网的,应向市数据资源中心提出申请,审批通过后方可执行。
第四章 网络安全运行
第十五条 业务单位应当建立健全网络安全组织机构和管理制度,设置管理岗位并明确职责,加强网络安全教育培训,对管理职责范围内的网络资产进行统一登记管理,定期开展资产盘点及安全风险评估,进行日常安全监测并配合监督检查,对安全隐患及时整改和反馈,发生安全事件时及时上报和处理。
第十六条 业务单位应对接入电子政务外网的终端设备进行安全加固,包括但不限于身份鉴别、访问控制、恶意代码防范、入侵防范、安全审计、数据保护等;应安装杀毒、防火墙等安全防护软件,并定期开展终端设备杀毒工作;应对U盘等移动介质设备全面杀毒后,方可插入电子政务外网终端设备使用,防止木马、蠕虫等病毒影响终端设备、电子政务外网和信息系统的安全运行。
第十七条 业务单位应落实网络安全区域隔离、边界防护、终端接入控制、访问控制、基线核查、安全审计等措施,加强接入政务外网的局域网及终端的网络安全防护,严禁将电子政务外网与互联网、专网等其它网络进行串联与互通。
第十八条 业务单位应在自建机房和专网内外网络边界部署边界安全防护、入侵检测与防御、安全审计等安全措施,重要信息系统采取增强级的安全防护,如需进行数据交换时采取加密、脱敏等安全措施。
第十九条 业务单位禁止通过电子政务外网浏览、发布非法信息,严禁利用电子政务外网从事非法活动;禁止利用电子政务外网资源从事挖矿等占据网络链路带宽资源等活动;不得将涉密计算机、设备(含存储介质)和网络接入电子政务外网,不得利用电子政务外网存储、处理、传输涉密信息。
第五章 信息系统安全运行
第二十条 业务单位的信息系统应当具备统一用户管理、权限管理、日志审计等安全功能,并保障操作系统的漏洞补丁及时更新,不得留存后门程序或者绕过安全机制;发布的政务网站应当使用网页防篡改技术或专用安全技术进行保护,并确保网站在受到破坏时能自动恢复。
第二十一条 业务单位应当保障接入电子政务外网的服务器、虚拟机等信息化主机的安全,定期进行信息系统部署环境安全检查,对系统日志进行备份和分析,及时升级系统版本或修复常用软件漏洞,进行病毒木马查杀,保留安全检查日志。
第二十二条 业务单位对职责范围内的数据进行分级安全管理,保障数据机密性、完整性和可用性,落实数据收集、存储、使用、加工、传输、提供、公开等处理环节的安全措施,加强个人信息保护,并进行数据备份。
第二十三条 业务单位应对网络服务提供商、系统提供商、网络安全服务提供商等外部企业进行安全管理,约定安全责任,在产品或服务提供过程中进行对应的访问控制、风险管理、安全检查、安全审计、数据备份等。
第六章 应急管理
第二十四条 市数据资源中心制定浏阳市政务网络安全应急预案并定期组织相关单位开展应急演练,业务单位应根据系统重要性及运行需要制定本单位应急预案,并组织实施。
第二十五条 建立健全联动处置机制,由市委网信办、市公安局、市数据资源中心等政务网络安全监管部门和业务单位共享网络安全信息,协同处置网络安全事件。当发生危害政务网络安全的事件时,业务单位和相关服务提供商应负责开展溯源、查杀等安全处置,及时按要求整改到位,出具事件分析报告,并按有关程序上报。
第二十六条 政务网络安全突发事件发生后或政务网络安全风险持续增加时,业务单位应当及时通知受影响单位,按照相关规定及时向市委网信办、市公安局、市数据资源中心等政务网络安全监管部门报告,并向领导小组办公室报备。如出现的网络安全问题,影响或可能影响电子政务外网正常运行,市数据资源中心有权采取临时措施进行处置,直至隐患消失或者网络攻击停止。
第七章 监督检查
第二十七条 领导小组办公室组织政务网络安全监管部门开展常态化网络安全监测,完善整改流程,提供处置建议,对发现的政务网络安全隐患和问题进行通报。
第二十八条 领导小组办公室组织政务网络安全监管部门监督推动业务单位接入政务外网的信息系统的网络安全等级保护测评、商用密码应用安全性评估工作。业务单位应按照国家网络安全等级保护及密码管理有关要求,根据相应级别定期评估和检查本单位网络安全保护措施落实情况及密码应用保障体系情况。
第二十九条 领导小组办公室会同网信、公安、保密、密码等监管部门组成联合检查组,定期对政务网络安全进行检查,可根据政策要求和上级要求进行专项检查,对发现的违法违规行为及时提出整改意见并予以督促落实。
第三十条 业务单位存在违反本规范规定的,由领导小组办公室督促整改,逾期未整改或整改不到位的,可根据情节严重程度暂停其网络资源使用和新建信息化项目审批等,所产生的一切后果由其自行负责;造成严重后果的,由有权机关依照《中华人民共和国网络安全法》等法律法规要求,对违反相关法律、法规和规章的责任单位和人员给予相应处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第三十一条 本规范由市数据资源中心负责解释。
第三十二条 本规范自发布之日起施行。
扫一扫在手机打开当前页