XX區(qū)電子政務(wù)外網(wǎng)安全管理實施細則

第一章

總則

第一條

為確保XX市XX區(qū)電子政務(wù)外網(wǎng)(以下簡稱區(qū)政務(wù)外網(wǎng))的運行安全，落實政務(wù)外網(wǎng)相關(guān)部門的安全責(zé)任，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《XX省電子政務(wù)外網(wǎng)安全管理暫行辦法》、《XX市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)與信息安全管理實施細則》等法律法規(guī)及文件要求，結(jié)合我區(qū)實際，制訂本細則。

第二條

區(qū)政務(wù)外網(wǎng)是市電子政務(wù)外網(wǎng)的組成部分，由區(qū)、鎮(zhèn)（街道）、行政村（社區(qū)）三級政務(wù)外網(wǎng)組成，上聯(lián)市政務(wù)外網(wǎng)，縱向覆蓋區(qū)、鎮(zhèn)（街道）、行政村（社區(qū)），橫向連接黨委、人大、政府、政協(xié)、法院、檢察院及其直屬各部門（單位）。區(qū)政務(wù)外網(wǎng)是我區(qū)電子政務(wù)的公共基礎(chǔ)設(shè)施，承載全區(qū)政務(wù)部門非涉密信息化系統(tǒng)，實現(xiàn)基礎(chǔ)信息資源開放共享。

第三條

本辦法適用于本區(qū)政務(wù)外網(wǎng)建設(shè)運維安全管理單位（以下簡稱區(qū)政務(wù)外網(wǎng)管理單位），依托政務(wù)外網(wǎng)開展信息化系統(tǒng)建設(shè)的各級政務(wù)部門，以及接入政務(wù)外網(wǎng)的各單位。

第二章

總體要求

第四條

區(qū)政務(wù)外網(wǎng)管理單位在進行政務(wù)外網(wǎng)規(guī)劃、設(shè)計和建設(shè)時，應(yīng)同步做好安全保障系統(tǒng)的規(guī)劃、設(shè)計和建設(shè)工作，落實運維管理中的安全檢查、等級測評和風(fēng)險評估等工作責(zé)任。區(qū)財政部門應(yīng)保障區(qū)政務(wù)外網(wǎng)的建設(shè)、運行和安全管理經(jīng)費。

第五條

區(qū)政務(wù)外網(wǎng)應(yīng)達到等級保護2.0二級標準。

第六條

任何單位和個人，不得利用區(qū)政務(wù)外網(wǎng)從事危害國家利益、集體利益和公民合法權(quán)益的活動，不得危害政務(wù)外網(wǎng)安全。

第三章

職責(zé)分工

第七條

區(qū)政務(wù)外網(wǎng)按照“誰管理誰負責(zé)、誰建設(shè)誰負責(zé)、誰使用誰負責(zé)、誰發(fā)布誰負責(zé)”的原則，統(tǒng)一建設(shè)、分級管理、各負其責(zé)。

區(qū)行政審批服務(wù)局是全區(qū)政務(wù)外網(wǎng)的管理單位，負責(zé)全區(qū)政務(wù)外網(wǎng)建設(shè)的整體規(guī)劃，制定本區(qū)政務(wù)外網(wǎng)的標準規(guī)范，負責(zé)區(qū)、鎮(zhèn)（街道）、行政村（社區(qū)）政務(wù)外網(wǎng)統(tǒng)一建設(shè)、運維及安全管理工作，制定政務(wù)外網(wǎng)統(tǒng)一接入標準，定期組織開展相關(guān)業(yè)務(wù)培訓(xùn)，并向市政務(wù)外網(wǎng)管理部門報告。

XX公安分局負責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的監(jiān)督、檢查、指導(dǎo)和違法犯罪案件的查處。

區(qū)委網(wǎng)信辦負責(zé)統(tǒng)籌協(xié)調(diào)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。

接入政務(wù)外網(wǎng)的單位負責(zé)本單位局域網(wǎng)和接入政務(wù)外網(wǎng)的信息系統(tǒng)安全，負責(zé)本單位發(fā)布內(nèi)容安全。

政務(wù)外網(wǎng)使用單位應(yīng)當(dāng)確定至少兩名本單位工作人員作為政務(wù)外網(wǎng)安全聯(lián)系人，并且將聯(lián)系人名單提交給區(qū)行政審批服務(wù)局。

第八條

區(qū)行政審批服務(wù)局是區(qū)級政務(wù)外網(wǎng)的安全責(zé)任主體，接入政務(wù)外網(wǎng)的單位是本單位政務(wù)外網(wǎng)的安全責(zé)任主體。

政務(wù)外網(wǎng)安全工作實行領(lǐng)導(dǎo)責(zé)任制。區(qū)行政審批服務(wù)局主要領(lǐng)導(dǎo)是區(qū)政務(wù)外網(wǎng)安全第一責(zé)任人，分管政務(wù)外網(wǎng)的領(lǐng)導(dǎo)是直接責(zé)任人；接入政務(wù)外網(wǎng)的單位主要領(lǐng)導(dǎo)是本單位政務(wù)外網(wǎng)安全的第一責(zé)任人。

各運營商、承建商、運維公司、外包服務(wù)公司等按合同規(guī)定承擔(dān)相應(yīng)的安全責(zé)任。

第九條

各政務(wù)外網(wǎng)接入單位應(yīng)制定本單位的信息安全管理制度，報區(qū)行政審批服務(wù)局備案。

第四章

運維管理

第十條

區(qū)行政審批服務(wù)局應(yīng)根據(jù)業(yè)務(wù)應(yīng)用需求，對區(qū)政務(wù)外網(wǎng)規(guī)劃不同的功能區(qū)域，在各區(qū)域間實現(xiàn)邏輯隔離和安全有效控制。

第十一條

區(qū)行政審批服務(wù)局應(yīng)開展網(wǎng)絡(luò)安全監(jiān)控工作，及時發(fā)現(xiàn)、定位、分析、處置安全事件，每6個月向市政務(wù)外網(wǎng)管理部門匯報網(wǎng)絡(luò)安全狀況。發(fā)生重大網(wǎng)絡(luò)安全事件的，應(yīng)立即報告公安、網(wǎng)信等信息安全主管職能部門。

第十二條

區(qū)行政審批服務(wù)局應(yīng)組織制定區(qū)政務(wù)外網(wǎng)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，并定期開展應(yīng)急演練。

第十三條

區(qū)行政審批服務(wù)局要加強安全審計工作，審計記錄的保存時間不少于6個月。

第十四條

區(qū)行政審批服務(wù)局應(yīng)當(dāng)按照國家、省、市政務(wù)外網(wǎng)安全檢查和風(fēng)險評估統(tǒng)一要求，定期組織開展網(wǎng)絡(luò)與信息安全自查和風(fēng)險評估，并按照信息安全主管職能部門和上級政務(wù)外網(wǎng)管理部門的要求，做好全區(qū)政務(wù)外網(wǎng)信息安全檢查和風(fēng)險評估工作。

區(qū)行政審批服務(wù)局應(yīng)將全區(qū)政務(wù)外網(wǎng)自查結(jié)果及時報市政務(wù)外網(wǎng)管理部門。在自查中發(fā)現(xiàn)接入單位存在問題的，應(yīng)責(zé)成存在問題的單位進行整改。對問題較嚴重的單位，原則上應(yīng)立即斷開其政務(wù)外網(wǎng)連接，待整改完成后再重新接入。

第十五條

區(qū)行政審批服務(wù)局要建立信息安全定期報告制度，每3個月向市政務(wù)外網(wǎng)管理部門報告本級政務(wù)外網(wǎng)出現(xiàn)的信息安全事件。

第十六條

區(qū)行政審批服務(wù)局要加強信息安全教育，每年至少對本級從事信息安全工作的人員開展一次專業(yè)技術(shù)培訓(xùn)。

第十七條

區(qū)行政審批服務(wù)局及各接入單位應(yīng)對從事政務(wù)外網(wǎng)信息安全工作的人員按照“分工負責(zé)、職責(zé)明確、最小授權(quán)和任期有限”的原則進行管理。

第十八條

區(qū)行政審批服務(wù)局應(yīng)設(shè)置系統(tǒng)管理、安全管理和安全審計崗位，分別負責(zé)網(wǎng)絡(luò)運行、安全和審計工作。系統(tǒng)管理員、安全管理員和安全審計員的權(quán)限設(shè)置應(yīng)相互獨立、相互制約。

第十九條

管理、使用政務(wù)外網(wǎng)的各級單位，應(yīng)當(dāng)同運維機構(gòu)簽訂保密協(xié)議，并且約定運維機構(gòu)同運維人員個人簽訂保密協(xié)議。運維機構(gòu)簽署的所有的保密協(xié)議都應(yīng)當(dāng)提交到區(qū)行政審批服務(wù)局和使用單位備案。

第二十條

區(qū)行政審批服務(wù)局應(yīng)當(dāng)對運維機構(gòu)、人員進行安全審查，對人員準入進行規(guī)范。

第五章

接入管理

第二十一條

接入?yún)^(qū)政務(wù)外網(wǎng)的單位，應(yīng)統(tǒng)一使用區(qū)政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口。如果單位確實需要獨立的互聯(lián)網(wǎng)出口，應(yīng)報區(qū)行政審批服務(wù)局備案。

第二十二條

區(qū)行政審批服務(wù)局部署在各接入單位的設(shè)備，由區(qū)行政審批服務(wù)局管理運維，各接入單位無權(quán)登錄，不得擅自關(guān)閉設(shè)備、修改配置。

未經(jīng)區(qū)行政審批服務(wù)局許可，各接入單位不得改變政務(wù)外網(wǎng)接口的網(wǎng)絡(luò)設(shè)備、結(jié)構(gòu)或配置，不得在政務(wù)外網(wǎng)上搭接無線網(wǎng)絡(luò)設(shè)備。

第二十三條

通過專線方式接入政務(wù)外網(wǎng)的單位局域網(wǎng)或業(yè)務(wù)系統(tǒng)，接入單位要保障本單位網(wǎng)絡(luò)、系統(tǒng)的安全，應(yīng)參照所接入政務(wù)外網(wǎng)的等級保護級別標準（二級或三級），按照國家等級保護工作要求，開展測評整改，明確接入網(wǎng)絡(luò)安全責(zé)任人。達到所接入政務(wù)外網(wǎng)的安全標準后，方能接入政務(wù)外網(wǎng)。

專線接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)內(nèi)的設(shè)備對政務(wù)外網(wǎng)進行攻擊。如果出現(xiàn)這類情況，應(yīng)根據(jù)攻擊情況和系統(tǒng)影響范圍報區(qū)行政審批服務(wù)局斷開政務(wù)外網(wǎng)連接，進行溯源、查殺等安全處置。

第二十四條

單機接入政務(wù)外網(wǎng)的，應(yīng)明確安全責(zé)任人，保證接入政務(wù)外網(wǎng)的單機安全，避免中病毒或木馬，避免成為攻擊政務(wù)外網(wǎng)的跳板。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的單機有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進行處置，并將異常情況及處置結(jié)果及時報區(qū)行政審批服務(wù)局。

第二十五條

通過撥號或VPN方式接入政務(wù)外網(wǎng)的單位，應(yīng)明確安全責(zé)任人，要保障接入賬號及接入終端的安全，避免非授權(quán)用戶獲取賬號密碼信息接入政務(wù)外網(wǎng)，避免含有惡意軟件的終端接入政務(wù)外網(wǎng)。接入政務(wù)外網(wǎng)后不得有危害政務(wù)外網(wǎng)安全的行為。當(dāng)發(fā)現(xiàn)接入政務(wù)外網(wǎng)的終端有異常情況時，應(yīng)先斷開與政務(wù)外網(wǎng)的連接，立即對事故進行處置，并將異常情況及處置結(jié)果及時報區(qū)行政審批服務(wù)局。

第二十六條

所有依托于政務(wù)外網(wǎng)運行的應(yīng)用系統(tǒng)，所開放的端口應(yīng)由使用單位提出要求并對每個端口的用途做出說明，經(jīng)區(qū)行政審批服務(wù)局核準后開放。

第二十七條

各單位如果有獨立的業(yè)務(wù)專網(wǎng)，并且業(yè)務(wù)專網(wǎng)需要與政務(wù)外網(wǎng)進行數(shù)據(jù)交換，使用單位應(yīng)當(dāng)自行在業(yè)務(wù)專網(wǎng)和政務(wù)外網(wǎng)之間部署隔離設(shè)備，并由各單位自行負責(zé)數(shù)據(jù)擺渡。

將現(xiàn)有業(yè)務(wù)專網(wǎng)遷入政務(wù)外網(wǎng)內(nèi)運行的單位，遷移方案須經(jīng)過區(qū)行政審批服務(wù)局同意。

第二十八條

各單位依托于政務(wù)外網(wǎng)新建業(yè)務(wù)專網(wǎng)，應(yīng)首先與區(qū)行政審批服務(wù)局溝通，建設(shè)方案須經(jīng)過區(qū)行政審批服務(wù)局同意，并報上級政務(wù)外網(wǎng)管理單位備案。

第二十九條

依托于政務(wù)外網(wǎng)運行的業(yè)務(wù)專網(wǎng)，應(yīng)當(dāng)與政務(wù)外網(wǎng)內(nèi)的其他專網(wǎng)互相隔離。

第六章?安全管理邊界

第三十條

區(qū)行政審批服務(wù)局應(yīng)防止區(qū)政務(wù)外網(wǎng)內(nèi)的設(shè)備攻擊本級以外政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由故障設(shè)備所屬單位負責(zé)開展溯源、查殺等安全處置。

第三十一條

所有接入政務(wù)外網(wǎng)的單位需保障本單位內(nèi)部的服務(wù)器、虛擬機和終端的安全，避免引入病毒或木馬；需保障本單位所轄賬戶的安全，避免賬戶信息泄漏，對所轄賬戶的所有操作負責(zé)。接入政務(wù)外網(wǎng)的單位應(yīng)防止本單位局域網(wǎng)設(shè)備攻擊政務(wù)外網(wǎng)。如果出現(xiàn)這種情況，由接入單位負責(zé)開展溯源、查殺等安全處置。

第三十二條

設(shè)備托管在政務(wù)外網(wǎng)機房的單位，要保障托管設(shè)備及其系統(tǒng)層、應(yīng)用層的安全和數(shù)據(jù)安全。

第三十三條

利用政務(wù)外網(wǎng)的機房、設(shè)備搭建業(yè)務(wù)專網(wǎng)的單位，要保障該專網(wǎng)的安全。

第七章?附則

第三十四條

本細則由區(qū)行政審批服務(wù)局負責(zé)解釋。

第三十五條

本細則自發(fā)布之日起施行。