HNPR—2020—01020湖南省人民政府办公厅关于印发《湖南省电子政务外网安全管理暂行办法》的通知湘政办发〔2020〕33号各市州、县市区人民政府,省政府各厅委、各直属机构:《湖南省电子政务外网安全管理暂行办法》已经省人民政府同意,现印发给你们,请认真组织实施.
湖南省人民政府办公厅2020年8月18日(此件主动公开)湖南省电子政务外网安全管理暂行办法第一章总则第一条为保障湖南省电子政务外网(以下简称省政务外网)的运行安全,落实政务外网相关部门的安全责任,根据《中华人民共和国网络安全法》等有关法律、法规,以及国家电子政务外网的各项标准规范,结合我省实际,制定本办法.
第二条省政务外网是国家电子政务外网的组成部分,由省、市州、县市区、乡镇(街道)、行政村(社区)五级政务外网组成,上联国家,横向连接各级党委、人大、政府、政协、法院、检察院及其所直属各部门(单位),纵向覆盖省、市州、县市区、乡镇(街道)、行政村(社区).
政务外网是我省电子政务的公共基础设施,承载全省政务部门非涉密信息化系统,实现基础信息资源开放共享.
第三条本办法适用于本省政务外网各级建设运维安全管理单位,依托政务外网开展信息化系统建设的各级政务部门,以及接入政务外网的各单位.
第二章总体要求第四条各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)要严格落实网络安全工作责任制,履行关键信息基础设施的相关安全保护义务,做好采购产品和服务的安全评估工作,采取措施保护政务外网安全.
第五条省级和市级政务外网应达到等级保护2.
0三级标准,县级政务外网应达到等级保护2.
0二级标准.
接入政务外网的信息化系统正式对外提供服务前,应当按照国家网络安全等级保护制度要求,落实网络安全主体责任和安全技术措施,完成等级保护测评备案、整改加固,通过验收后方可正式上线提供服务.
第六条接入政务外网的信息化系统,应当使用由具备资格的机构检测认证合格的商用密码产品,进行加密保护和安全认证.
第三章职责分工第七条政务外网按照"谁管理谁负责、谁建设谁负责、谁使用谁负责、谁发布谁负责"的原则,分级建设、分级管理、各负其责.
省政府发展研究中心(省政府政务服务中心)负责全省政务外网建设的整体规划,制定本省政务外网的标准规范,负责省级政务外网的建设、运维及安全管理工作,指导全省政务外网的建设、运维及安全管理工作,制定电子政务外网统一接入标准,定期组织市州及县市区开展相关业务培训,并向国家政务外网管理部门报告.
省公安厅负责政务外网网络安全的监督、检查、指导和违法犯罪案件的查处.
省互联网信息办公室负责统筹协调政务外网网络安全工作和相关监督管理工作.
各市州人民政府应明确一个本级政务外网管理单位,负责本级政务外网的统一建设、运维及安全管理工作.
各县市区人民政府应明确一个本级政务外网管理单位,负责本级以及下辖乡镇(街道)、行政村(社区)的政务外网统一建设、运维及安全管理工作.
接入政务外网的单位负责本单位局域网和接入政务外网的信息系统安全,负责本单位发布内容安全.
各级政务外网使用单位应当确定至少两名本单位工作人员作为政务外网安全联系人,并且将联系人名单提交给本级政务外网管理单位.
第八条各级政务外网管理单位是本级政务外网的安全责任主体,各政务外网接入单位是本单位政务外网的安全责任主体.
政务外网安全工作实行领导责任制.
各级政务外网管理单位主要领导是本级政务外网安全第一责任人,分管政务外网的领导是直接责任人;各接入单位的主要领导是本单位政务外网安全的第一责任人.
各运营商、承建商、运维公司、外包服务公司等按合同规定承担相应的安全责任.
第九条各级政务外网管理单位参照本办法制定本级政务外网安全管理制度,报上一级政务外网管理单位备案.
各政务外网接入单位应制定本单位的信息安全管理制度,报本级政务外网管理单位备案.
第四章运维管理第十条各级政务外网管理单位应做好安全保障系统的规划、设计和建设工作,落实运行维护管理中的安全检查、等级保护测评和风险评估等工作责任.
各级财政应保障本级政务外网的建设、运维和安全管理经费.
第十一条各级政务外网管理单位要开展网络安全监控工作,及时发现、定位、分析、处置安全事件,每6个月向上一级政务外网管理单位汇报网络安全状况.
发生重大网络安全事件的,应立即报告公安、网信、国安等信息安全主管职能部门.
第十二条各级政务外网管理单位都应组织制定本级政务外网网络与信息安全应急预案,并定期开展应急演练.
第十三条各级政务外网管理单位都要加强安全审计工作,审计记录的保存时间不少于6个月.
第十四条各级政务外网管理单位应当按照国家政务外网安全检查和风险评估统一要求,定期组织开展网络与信息安全自查和风险评估,并按照信息安全主管职能部门和上级政务外网管理单位的要求做好本级政务外网信息安全检查和风险评估工作.
各级政务外网管理单位应将本级政务外网自查结果及时报上一级政务外网管理单位.
在自查中发现接入单位存在问题的,应责成存在问题的单位进行整改.
对问题较严重的单位,原则上应立即断开其政务外网连接,待整改完成后再重新接入.
第十五条各级政务外网管理单位要建立信息安全定期报告制度,每3个月向上一级政务外网管理单位报告本级政务外网出现的信息安全事件.
第十六条各级政务外网管理单位要加强信息安全教育,每年至少对本级从事信息安全工作的人员开展一次专业技术培训.
第十七条各级政务外网管理单位及接入部门应对从事政务外网信息安全工作的人员按照"分工负责、职责明确、最小授权和任期有限"的原则进行管理.
第十八条各级政务外网管理单位应设置系统管理、安全管理和安全审计岗位,分别负责网络运行、安全和审计工作.
系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约.
第十九条管理、使用政务外网的各级单位,应当同运维机构签订保密协议,并且约定运维机构同运维人员个人签订保密协议.
运维机构签署的所有的保密协议都应当提交到政务外网的管理、使用单位备案.
第二十条政务外网管理单位应当对运维机构、人员进行安全审查,对人员准入进行规范.
第五章接入管理第二十一条接入政务外网的单位,应统一使用政务外网的互联网出口.
如果单位确实需要独立的互联网出口,应报本级政务外网管理单位备案.
第二十二条各级政务外网管理单位部署在各接入单位的设备,由政务外网管理单位管理运维,各接入单位无权登录,不得擅自关闭设备、修改配置.
未经政务外网管理单位许可,各接入单位不得改变政务外网接口的网络设备、结构或配置,不得在政务外网上搭接无线网络设备.
第二十三条通过专线方式接入政务外网的单位局域网或业务系统,接入单位要保障本单位网络、系统的安全,应参照所接入政务外网的等级保护级别标准(二级或三级),按照国家等级保护工作要求,开展测评整改,明确接入网络安全责任人.
达到所接入政务外网的安全标准后,方能接入政务外网.
专线接入政务外网的单位应防止本单位局域网内的设备对政务外网进行攻击.
如果出现这类情况,应根据攻击情况和系统影响范围报本级政务外网管理单位后断开政务外网连接,进行溯源、查杀等安全处置.
第二十四条单机接入政务外网的,应明确安全责任人,保证接入政务外网的单机安全,避免中病毒或木马,避免成为攻击政务外网的跳板.
当发现接入政务外网的单机有异常情况时,应先断开与政务外网的连接,立即对事故进行处置,并将异常情况及处置结果及时报本级政务外网管理单位.
第二十五条通过拨号或VPN方式接入政务外网的单位,应明确安全责任人,要保障接入账号及接入终端的安全,避免非授权用户获取账号密码信息接入政务外网,避免含有恶意软件的终端接入政务外网.
接入政务外网后不得有危害政务外网安全的行为.
当发现接入政务外网的终端有异常情况时,应先断开与政务外网的连接,立即对事故进行处置,并将异常情况及处置结果及时报本级政务外网管理单位.
第二十六条所有依托于政务外网运行的应用系统,所开放的端口应由使用单位提出要求并对每个端口的用途做出说明,经本级政务外网管理单位核准后开放.
第二十七条各单位如果有独立的业务专网,并且业务专网需要与政务外网进行数据交换,使用单位应当自行在业务专网和政务外网之间部署隔离设备,并由各单位自行负责数据摆渡.
将现有业务专网迁入政务外网内运行的单位,迁移方案须经过省政府发展研究中心同意.
第二十八条各单位依托于省政务外网新建业务专网,应首先与本级政务外网管理单位进行沟通,建设方案须经过本级政务外网管理单位同意,并报省政府发展研究中心备案.
第二十九条依托于省政务外网运行的业务专网,应当与政务外网内的其他专网互相隔离.
第六章安全管理边界第三十条各级政务外网管理单位应防止本级政务外网内的设备攻击本级以外政务外网.
如果出现这种情况,由故障设备所属政务外网管理单位负责开展溯源、查杀等安全处置.
第三十一条所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全,避免引入病毒或木马,需保障本单位所辖账户的安全,避免账户信息泄漏,对所辖账户的所有操作负责.
接入政务外网的单位应防止本单位局域网设备攻击政务外网.
如果出现这种情况,由接入单位负责开展溯源、查杀等安全处置.
