湘政辦發(fā)〔2020〕33號(hào)《湖南省人民政府辦公廳關(guān)于印發(fā)〈湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法〉的通知》

湖南省人民政府辦公廳關(guān)于印發(fā)《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》的通知

湘政辦發(fā)〔2020〕33號(hào)

各市州、縣市區(qū)人民政府，省政府各廳委、各直屬機(jī)構(gòu)：

《湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法》已經(jīng)省人民政府同意，現(xiàn)印發(fā)給你們，請(qǐng)認(rèn)真組織實(shí)施。

湖南省人民政府辦公廳

2020年8月18日

(此件主動(dòng)公開(kāi))

湖南省電子政務(wù)外網(wǎng)安全管理暫行辦法

第一章 總則

第一條 為保障湖南省電子政務(wù)外網(wǎng)(以下簡(jiǎn)稱省政務(wù)外網(wǎng))的運(yùn)行安全，落實(shí)政務(wù)外網(wǎng)相關(guān)部門的安全責(zé)任，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等有關(guān)法律、法規(guī)，以及國(guó)家電子政務(wù)外網(wǎng)的各項(xiàng)標(biāo)準(zhǔn)規(guī)范，結(jié)合我省實(shí)際，制定本辦法。

第二條 省政務(wù)外網(wǎng)是國(guó)家電子政務(wù)外網(wǎng)的組成部分，由省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))五級(jí)政務(wù)外網(wǎng)組成，上聯(lián)國(guó)家，橫向連接各級(jí)黨委、人大、政府、政協(xié)、法院、檢察院及其所直屬各部門(單位)，縱向覆蓋省、市州、縣市區(qū)、鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))。政務(wù)外網(wǎng)是我省電子政務(wù)的公共基礎(chǔ)設(shè)施，承載全省政務(wù)部門非涉密信息化系統(tǒng)，實(shí)現(xiàn)基礎(chǔ)信息資源開(kāi)放共享。

第三條 本辦法適用于本省政務(wù)外網(wǎng)各級(jí)建設(shè)運(yùn)維安全管理單位，依托政務(wù)外網(wǎng)開(kāi)展信息化系統(tǒng)建設(shè)的各級(jí)政務(wù)部門，以及接入政務(wù)外網(wǎng)的各單位。

第二章 總體要求

第四條 各級(jí)政務(wù)外網(wǎng)建設(shè)運(yùn)維安全管理單位(以下簡(jiǎn)稱政務(wù)外網(wǎng)管理單位)要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制，履行關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)安全保護(hù)義務(wù)，做好采購(gòu)產(chǎn)品和服務(wù)的安全評(píng)估工作，采取措施保護(hù)政務(wù)外網(wǎng)安全。

第五條 省級(jí)和市級(jí)政務(wù)外網(wǎng)應(yīng)達(dá)到等級(jí)保護(hù)2.0三級(jí)標(biāo)準(zhǔn)，縣級(jí)政務(wù)外網(wǎng)應(yīng)達(dá)到等級(jí)保護(hù)2.0二級(jí)標(biāo)準(zhǔn)。

接入政務(wù)外網(wǎng)的信息化系統(tǒng)正式對(duì)外提供服務(wù)前，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，落實(shí)網(wǎng)絡(luò)安全主體責(zé)任和安全技術(shù)措施，完成等級(jí)保護(hù)測(cè)評(píng)備案、整改加固，通過(guò)驗(yàn)收后方可正式上線提供服務(wù)。

第六條 接入政務(wù)外網(wǎng)的信息化系統(tǒng)，應(yīng)當(dāng)使用由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格的商用密碼產(chǎn)品，進(jìn)行加密保護(hù)和安全認(rèn)證。

第三章 職責(zé)分工

第七條 政務(wù)外網(wǎng)按照“誰(shuí)管理誰(shuí)負(fù)責(zé)、誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)發(fā)布誰(shuí)負(fù)責(zé)”的原則，分級(jí)建設(shè)、分級(jí)管理、各負(fù)其責(zé)。

省政府發(fā)展研究中心(省政府政務(wù)服務(wù)中心)負(fù)責(zé)全省政務(wù)外網(wǎng)建設(shè)的整體規(guī)劃，制定本省政務(wù)外網(wǎng)的標(biāo)準(zhǔn)規(guī)范，負(fù)責(zé)省級(jí)政務(wù)外網(wǎng)的建設(shè)、運(yùn)維及安全管理工作，指導(dǎo)全省政務(wù)外網(wǎng)的建設(shè)、運(yùn)維及安全管理工作，制定電子政務(wù)外網(wǎng)統(tǒng)一接入標(biāo)準(zhǔn)，定期組織市州及縣市區(qū)開(kāi)展相關(guān)業(yè)務(wù)培訓(xùn)，并向國(guó)家政務(wù)外網(wǎng)管理部門報(bào)告。

省公安廳負(fù)責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的監(jiān)督、檢查、指導(dǎo)和違法犯罪案件的查處。

省互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。

各市州人民政府應(yīng)明確一個(gè)本級(jí)政務(wù)外網(wǎng)管理單位，負(fù)責(zé)本級(jí)政務(wù)外網(wǎng)的統(tǒng)一建設(shè)、運(yùn)維及安全管理工作。各縣市區(qū)人民政府應(yīng)明確一個(gè)本級(jí)政務(wù)外網(wǎng)管理單位，負(fù)責(zé)本級(jí)以及下轄鄉(xiāng)鎮(zhèn)(街道)、行政村(社區(qū))的政務(wù)外網(wǎng)統(tǒng)一建設(shè)、運(yùn)維及安全管理工作。

接入政務(wù)外網(wǎng)的單位負(fù)責(zé)本單位局域網(wǎng)和接入政務(wù)外網(wǎng)的信息系統(tǒng)安全，負(fù)責(zé)本單位發(fā)布內(nèi)容安全。

各級(jí)政務(wù)外網(wǎng)使用單位應(yīng)當(dāng)確定至少兩名本單位工作人員作為政務(wù)外網(wǎng)安全聯(lián)系人，并且將聯(lián)系人名單提交給本級(jí)政務(wù)外網(wǎng)管理單位。

第八條 各級(jí)政務(wù)外網(wǎng)管理單位是本級(jí)政務(wù)外網(wǎng)的安全責(zé)任主體，各政務(wù)外網(wǎng)接入單位是本單位政務(wù)外網(wǎng)的安全責(zé)任主體。

政務(wù)外網(wǎng)安全工作實(shí)行領(lǐng)導(dǎo)責(zé)任制。各級(jí)政務(wù)外網(wǎng)管理單位主要領(lǐng)導(dǎo)是本級(jí)政務(wù)外網(wǎng)安全第一責(zé)任人，分管政務(wù)外網(wǎng)的領(lǐng)導(dǎo)是直接責(zé)任人;各接入單位的主要領(lǐng)導(dǎo)是本單位政務(wù)外網(wǎng)安全的第一責(zé)任人。

各運(yùn)營(yíng)商、承建商、運(yùn)維公司、外包服務(wù)公司等按合同規(guī)定承擔(dān)相應(yīng)的安全責(zé)任。

第九條 各級(jí)政務(wù)外網(wǎng)管理單位參照本辦法制定本級(jí)政務(wù)外網(wǎng)安全管理制度，報(bào)上一級(jí)政務(wù)外網(wǎng)管理單位備案。各政務(wù)外網(wǎng)接入單位應(yīng)制定本單位的信息安全管理制度，報(bào)本級(jí)政務(wù)外網(wǎng)管理單位備案。

第四章 運(yùn)維管理

第十條 各級(jí)政務(wù)外網(wǎng)管理單位應(yīng)做好安全保障系統(tǒng)的規(guī)劃、設(shè)計(jì)和建設(shè)工作，落實(shí)運(yùn)行維護(hù)管理中的安全檢查、等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估等工作責(zé)任。各級(jí)財(cái)政應(yīng)保障本級(jí)政務(wù)外網(wǎng)的建設(shè)、運(yùn)維和安全管理經(jīng)費(fèi)。

第十一條 各級(jí)政務(wù)外網(wǎng)管理單位要開(kāi)展網(wǎng)絡(luò)安全監(jiān)控工作，及時(shí)發(fā)現(xiàn)、定位、分析、處置安全事件，每6個(gè)月向上一級(jí)政務(wù)外網(wǎng)管理單位匯報(bào)網(wǎng)絡(luò)安全狀況。發(fā)生重大網(wǎng)絡(luò)安全事件的，應(yīng)立即報(bào)告公安、網(wǎng)信、國(guó)安等信息安全主管職能部門。

第十二條 各級(jí)政務(wù)外網(wǎng)管理單位都應(yīng)組織制定本級(jí)政務(wù)外網(wǎng)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并定期開(kāi)展應(yīng)急演練。

第十三條 各級(jí)政務(wù)外網(wǎng)管理單位都要加強(qiáng)安全審計(jì)工作，審計(jì)記錄的保存時(shí)間不少于6個(gè)月。

第十四條 各級(jí)政務(wù)外網(wǎng)管理單位應(yīng)當(dāng)按照國(guó)家政務(wù)外網(wǎng)安全檢查和風(fēng)險(xiǎn)評(píng)估統(tǒng)一要求，定期組織開(kāi)展網(wǎng)絡(luò)與信息安全自查和風(fēng)險(xiǎn)評(píng)估，并按照信息安全主管職能部門和上級(jí)政務(wù)外網(wǎng)管理單位的要求做好本級(jí)政務(wù)外網(wǎng)信息安全檢查和風(fēng)險(xiǎn)評(píng)估工作。

各級(jí)政務(wù)外網(wǎng)管理單位應(yīng)將本級(jí)政務(wù)外網(wǎng)自查結(jié)果及時(shí)報(bào)上一級(jí)政務(wù)外網(wǎng)管理單位。在自查中發(fā)現(xiàn)接入單位存在問(wèn)題的，應(yīng)責(zé)成存在問(wèn)題的單位進(jìn)行整改。對(duì)問(wèn)題較嚴(yán)重的單位，原則上應(yīng)立即斷開(kāi)其政務(wù)外網(wǎng)連接，待整改完成后再重新接入。

第十五條 各級(jí)政務(wù)外網(wǎng)管理單位要建立信息安全定期報(bào)告制度，每3個(gè)月向上一級(jí)政務(wù)外網(wǎng)管理單位報(bào)告本級(jí)政務(wù)外網(wǎng)出現(xiàn)的信息安全事件。

第十六條 各級(jí)政務(wù)外網(wǎng)管理單位要加強(qiáng)信息安全教育，每年至少對(duì)本級(jí)從事信息安全工作的人員開(kāi)展一次專業(yè)技術(shù)培訓(xùn)。

第十七條 各級(jí)政務(wù)外網(wǎng)管理單位及接入部門應(yīng)對(duì)從事政務(wù)外網(wǎng)信息安全工作的人員按照“分工負(fù)責(zé)、職責(zé)明確、最小授權(quán)和任期有限”的原則進(jìn)行管理。

第十八條 各級(jí)政務(wù)外網(wǎng)管理單位應(yīng)設(shè)置系統(tǒng)管理、安全管理和安全審計(jì)崗位，分別負(fù)責(zé)網(wǎng)絡(luò)運(yùn)行、安全和審計(jì)工作。系統(tǒng)管理員、安全管理員和安全審計(jì)員的權(quán)限設(shè)置應(yīng)相互獨(dú)立、相互制約。

第十九條 管理、使用政務(wù)外網(wǎng)的各級(jí)單位，應(yīng)當(dāng)同運(yùn)維機(jī)構(gòu)簽訂保密協(xié)議，并且約定運(yùn)維機(jī)構(gòu)同運(yùn)維人員個(gè)人簽訂保密協(xié)議。運(yùn)維機(jī)構(gòu)簽署的所有的保密協(xié)議都應(yīng)當(dāng)提交到政務(wù)外網(wǎng)的管理、使用單位備案。

第二十條 政務(wù)外網(wǎng)管理單位應(yīng)當(dāng)對(duì)運(yùn)維機(jī)構(gòu)、人員進(jìn)行安全審查，對(duì)人員準(zhǔn)入進(jìn)行規(guī)范。

第五章 接入管理

第二十一條 接入政務(wù)外網(wǎng)的單位，應(yīng)統(tǒng)一使用政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口。如果單位確實(shí)需要獨(dú)立的互聯(lián)網(wǎng)出口，應(yīng)報(bào)本級(jí)政務(wù)外網(wǎng)管理單位備案。

第二十二條 各級(jí)政務(wù)外網(wǎng)管理單位部署在各接入單位的設(shè)備，由政務(wù)外網(wǎng)管理單位管理運(yùn)維，各接入單位無(wú)權(quán)登錄，不得擅自關(guān)閉設(shè)備、修改配置。

未經(jīng)政務(wù)外網(wǎng)管理單位許可，各接入單位不得改變政務(wù)外網(wǎng)接口的網(wǎng)絡(luò)設(shè)備、結(jié)構(gòu)或配置，不得在政務(wù)外網(wǎng)上搭接無(wú)線網(wǎng)絡(luò)設(shè)備。

第二十三條 通過(guò)專線方式接入政務(wù)外網(wǎng)的單位局域網(wǎng)或業(yè)務(wù)系統(tǒng)，接入單位要保障本單位網(wǎng)絡(luò)、系統(tǒng)的安全，應(yīng)參照所接入政務(wù)外網(wǎng)的等級(jí)保護(hù)級(jí)別標(biāo)準(zhǔn)(二級(jí)或三級(jí))，按照國(guó)家等級(jí)保護(hù)工作要求，開(kāi)展測(cè)評(píng)整改，明確接入網(wǎng)絡(luò)安全責(zé)任人。達(dá)到所接入政務(wù)外網(wǎng)的安全標(biāo)準(zhǔn)后，方能接入政務(wù)外網(wǎng)。

專線接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)內(nèi)的設(shè)備對(duì)政務(wù)外網(wǎng)進(jìn)行攻擊。如果出現(xiàn)這類情況，應(yīng)根據(jù)攻擊情況和系統(tǒng)影響范圍報(bào)本級(jí)政務(wù)外網(wǎng)管理單位后斷開(kāi)政務(wù)外網(wǎng)連接，進(jìn)行溯源、查殺等安全處置。

第二十四條 單機(jī)接入政務(wù)外網(wǎng)的，應(yīng)明確安全責(zé)任人，保證接入政務(wù)外網(wǎng)的單機(jī)安全，避免中病毒或木馬，避免成為攻擊政務(wù)外網(wǎng)的跳板。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的單機(jī)有異常情況時(shí)，應(yīng)先斷開(kāi)與政務(wù)外網(wǎng)的連接，立即對(duì)事故進(jìn)行處置，并將異常情況及處置結(jié)果及時(shí)報(bào)本級(jí)政務(wù)外網(wǎng)管理單位。

第二十五條 通過(guò)撥號(hào)或VPN方式接入政務(wù)外網(wǎng)的單位，應(yīng)明確安全責(zé)任人，要保障接入賬號(hào)及接入終端的安全，避免非授權(quán)用戶獲取賬號(hào)密碼信息接入政務(wù)外網(wǎng)，避免含有惡意軟件的終端接入政務(wù)外網(wǎng)。接入政務(wù)外網(wǎng)后不得有危害政務(wù)外網(wǎng)安全的行為。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的終端有異常情況時(shí)，應(yīng)先斷開(kāi)與政務(wù)外網(wǎng)的連接，立即對(duì)事故進(jìn)行處置，并將異常情況及處置結(jié)果及時(shí)報(bào)本級(jí)政務(wù)外網(wǎng)管理單位。

第二十六條 所有依托于政務(wù)外網(wǎng)運(yùn)行的應(yīng)用系統(tǒng)，所開(kāi)放的端口應(yīng)由使用單位提出要求并對(duì)每個(gè)端口的用途做出說(shuō)明，經(jīng)本級(jí)政務(wù)外網(wǎng)管理單位核準(zhǔn)后開(kāi)放。

第二十七條 各單位如果有獨(dú)立的業(yè)務(wù)專網(wǎng)，并且業(yè)務(wù)專網(wǎng)需要與政務(wù)外網(wǎng)進(jìn)行數(shù)據(jù)交換，使用單位應(yīng)當(dāng)自行在業(yè)務(wù)專網(wǎng)和政務(wù)外網(wǎng)之間部署隔離設(shè)備，并由各單位自行負(fù)責(zé)數(shù)據(jù)擺渡。

將現(xiàn)有業(yè)務(wù)專網(wǎng)遷入政務(wù)外網(wǎng)內(nèi)運(yùn)行的單位，遷移方案須經(jīng)過(guò)省政府發(fā)展研究中心同意。

第二十八條 各單位依托于省政務(wù)外網(wǎng)新建業(yè)務(wù)專網(wǎng)，應(yīng)首先與本級(jí)政務(wù)外網(wǎng)管理單位進(jìn)行溝通，建設(shè)方案須經(jīng)過(guò)本級(jí)政務(wù)外網(wǎng)管理單位同意，并報(bào)省政府發(fā)展研究中心備案。

第二十九條 依托于省政務(wù)外網(wǎng)運(yùn)行的業(yè)務(wù)專網(wǎng)，應(yīng)當(dāng)與政務(wù)外網(wǎng)內(nèi)的其他專網(wǎng)互相隔離。

第六章 安全管理邊界

第三十條 各級(jí)政務(wù)外網(wǎng)管理單位應(yīng)防止本級(jí)政務(wù)外網(wǎng)內(nèi)的設(shè)備攻擊本級(jí)以外政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由故障設(shè)備所屬政務(wù)外網(wǎng)管理單位負(fù)責(zé)開(kāi)展溯源、查殺等安全處置。

第三十一條 所有接入政務(wù)外網(wǎng)的單位需保障本單位內(nèi)部的服務(wù)器、虛擬機(jī)和終端的安全，避免引入病毒或木馬，需保障本單位所轄賬戶的安全，避免賬戶信息泄漏，對(duì)所轄賬戶的所有操作負(fù)責(zé)。接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)設(shè)備攻擊政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由接入單位負(fù)責(zé)開(kāi)展溯源、查殺等安全處置。

第三十二條 使用省級(jí)政務(wù)外網(wǎng)網(wǎng)絡(luò)、云平臺(tái)、大數(shù)據(jù)平臺(tái)及其他基礎(chǔ)設(shè)施的單位，應(yīng)嚴(yán)格控制所申請(qǐng)資源的使用范圍，不得利用省級(jí)政務(wù)外網(wǎng)的網(wǎng)絡(luò)、算力、存儲(chǔ)、數(shù)據(jù)、基礎(chǔ)設(shè)施等資源開(kāi)展批準(zhǔn)范圍之外的應(yīng)用。

第三十三條 使用省級(jí)政務(wù)外網(wǎng)統(tǒng)一云平臺(tái)部署應(yīng)用系統(tǒng)的省直單位，負(fù)責(zé)虛擬主機(jī)的操作系統(tǒng)、中間件及應(yīng)用系統(tǒng)的安全和數(shù)據(jù)安全，并對(duì)該系統(tǒng)的訪問(wèn)控制進(jìn)行優(yōu)化，提出最小化開(kāi)放策略。

第三十四條 設(shè)備托管在政務(wù)外網(wǎng)機(jī)房的單位，要保障托管設(shè)備及其系統(tǒng)層、應(yīng)用層的安全和數(shù)據(jù)安全。

第三十五條 利用政務(wù)外網(wǎng)的機(jī)房、設(shè)備搭建業(yè)務(wù)專網(wǎng)的單位，要保障該專網(wǎng)的安全。

第三十六條 利用省級(jí)政務(wù)外網(wǎng)短信網(wǎng)關(guān)、網(wǎng)站集約化平臺(tái)、郵件系統(tǒng)等基礎(chǔ)設(shè)施平臺(tái)發(fā)布信息的單位，對(duì)本單位發(fā)布的信息內(nèi)容負(fù)責(zé)。

第七章 附則

第三十七條 本辦法自發(fā)布之日起施行。

本文鏈接：http://m.fl1002.com/policy/103744.html

本文關(guān)鍵詞： 湖南省