湖南省人民政府辦公廳關于印發《湖南省電子政務外網安全管理暫行辦法》的通知

索引號:430S00/2020-01013259 文號:湘政辦發〔2020〕33號 統一登記號:HNPR—2020—01020
公開方式:政府網站 公開范圍:全部公開 信息時效期:2025-09-17
簽署日期:2020-08-18 登記日期:2020-08-18 所屬機構:省人民政府辦公廳
所屬主題: 發文日期:2020-08-18 公開責任部門:省政府辦公廳

湖南省人民政府辦公廳關于印發《湖南省電子政務外網安全管理暫行辦法》的通知

湘政辦發〔2020〕33號

各市州、縣市區人民政府,省政府各廳委、各直屬機構:

  《湖南省電子政務外網安全管理暫行辦法》已經省人民政府同意,現印發給你們,請認真組織實施。

湖南省人民政府辦公廳

2020年8月18日

  (此件主動公開)

湖南省電子政務外網安全管理暫行辦法

第一章 總則

  第一條 為保障湖南省電子政務外網(以下簡稱省政務外網)的運行安全,落實政務外網相關部門的安全責任,根據《中華人民共和國網絡安全法》等有關法律、法規,以及國家電子政務外網的各項標準規范,結合我省實際,制定本辦法。

  第二條 省政務外網是國家電子政務外網的組成部分,由省、市州、縣市區、鄉鎮(街道)、行政村(社區)五級政務外網組成,上聯國家,橫向連接各級黨委、人大、政府、政協、法院、檢察院及其所直屬各部門(單位),縱向覆蓋省、市州、縣市區、鄉鎮(街道)、行政村(社區)。政務外網是我省電子政務的公共基礎設施,承載全省政務部門非涉密信息化系統,實現基礎信息資源開放共享。

  第三條 本辦法適用于本省政務外網各級建設運維安全管理單位,依托政務外網開展信息化系統建設的各級政務部門,以及接入政務外網的各單位。

第二章 總體要求

  第四條 各級政務外網建設運維安全管理單位(以下簡稱政務外網管理單位)要嚴格落實網絡安全工作責任制,履行關鍵信息基礎設施的相關安全保護義務,做好采購產品和服務的安全評估工作,采取措施保護政務外網安全。

  第五條 省級和市級政務外網應達到等級保護2.0三級標準,縣級政務外網應達到等級保護2.0二級標準。

  接入政務外網的信息化系統正式對外提供服務前,應當按照國家網絡安全等級保護制度要求,落實網絡安全主體責任和安全技術措施,完成等級保護測評備案、整改加固,通過驗收后方可正式上線提供服務。

  第六條 接入政務外網的信息化系統,應當使用由具備資格的機構檢測認證合格的商用密碼產品,進行加密保護和安全認證。

第三章 職責分工

  第七條 政務外網按照“誰管理誰負責、誰建設誰負責、誰使用誰負責、誰發布誰負責”的原則,分級建設、分級管理、各負其責。

  省政府發展研究中心(省政府政務服務中心)負責全省政務外網建設的整體規劃,制定本省政務外網的標準規范,負責省級政務外網的建設、運維及安全管理工作,指導全省政務外網的建設、運維及安全管理工作,制定電子政務外網統一接入標準,定期組織市州及縣市區開展相關業務培訓,并向國家政務外網管理部門報告。

  省公安廳負責政務外網網絡安全的監督、檢查、指導和違法犯罪案件的查處。

  省互聯網信息辦公室負責統籌協調政務外網網絡安全工作和相關監督管理工作。

  各市州人民政府應明確一個本級政務外網管理單位,負責本級政務外網的統一建設、運維及安全管理工作。各縣市區人民政府應明確一個本級政務外網管理單位,負責本級以及下轄鄉鎮(街道)、行政村(社區)的政務外網統一建設、運維及安全管理工作。

  接入政務外網的單位負責本單位局域網和接入政務外網的信息系統安全,負責本單位發布內容安全。

  各級政務外網使用單位應當確定至少兩名本單位工作人員作為政務外網安全聯系人,并且將聯系人名單提交給本級政務外網管理單位。

  第八條 各級政務外網管理單位是本級政務外網的安全責任主體,各政務外網接入單位是本單位政務外網的安全責任主體。

  政務外網安全工作實行領導責任制。各級政務外網管理單位主要領導是本級政務外網安全第一責任人,分管政務外網的領導是直接責任人;各接入單位的主要領導是本單位政務外網安全的第一責任人。

  各運營商、承建商、運維公司、外包服務公司等按合同規定承擔相應的安全責任。

  第九條 各級政務外網管理單位參照本辦法制定本級政務外網安全管理制度,報上一級政務外網管理單位備案。各政務外網接入單位應制定本單位的信息安全管理制度,報本級政務外網管理單位備案。

第四章 運維管理

  第十條 各級政務外網管理單位應做好安全保障系統的規劃、設計和建設工作,落實運行維護管理中的安全檢查、等級保護測評和風險評估等工作責任。各級財政應保障本級政務外網的建設、運維和安全管理經費。

  第十一條 各級政務外網管理單位要開展網絡安全監控工作,及時發現、定位、分析、處置安全事件,每6個月向上一級政務外網管理單位匯報網絡安全狀況。發生重大網絡安全事件的,應立即報告公安、網信、國安等信息安全主管職能部門。

  第十二條 各級政務外網管理單位都應組織制定本級政務外網網絡與信息安全應急預案,并定期開展應急演練。

  第十三條 各級政務外網管理單位都要加強安全審計工作,審計記錄的保存時間不少于6個月。

  第十四條 各級政務外網管理單位應當按照國家政務外網安全檢查和風險評估統一要求,定期組織開展網絡與信息安全自查和風險評估,并按照信息安全主管職能部門和上級政務外網管理單位的要求做好本級政務外網信息安全檢查和風險評估工作。

  各級政務外網管理單位應將本級政務外網自查結果及時報上一級政務外網管理單位。在自查中發現接入單位存在問題的,應責成存在問題的單位進行整改。對問題較嚴重的單位,原則上應立即斷開其政務外網連接,待整改完成后再重新接入。

  第十五條 各級政務外網管理單位要建立信息安全定期報告制度,每3個月向上一級政務外網管理單位報告本級政務外網出現的信息安全事件。

  第十六條 各級政務外網管理單位要加強信息安全教育,每年至少對本級從事信息安全工作的人員開展一次專業技術培訓。

  第十七條 各級政務外網管理單位及接入部門應對從事政務外網信息安全工作的人員按照“分工負責、職責明確、最小授權和任期有限”的原則進行管理。

  第十八條 各級政務外網管理單位應設置系統管理、安全管理和安全審計崗位,分別負責網絡運行、安全和審計工作。系統管理員、安全管理員和安全審計員的權限設置應相互獨立、相互制約。

  第十九條 管理、使用政務外網的各級單位,應當同運維機構簽訂保密協議,并且約定運維機構同運維人員個人簽訂保密協議。運維機構簽署的所有的保密協議都應當提交到政務外網的管理、使用單位備案。

  第二十條 政務外網管理單位應當對運維機構、人員進行安全審查,對人員準入進行規范。

第五章 接入管理

  第二十一條 接入政務外網的單位,應統一使用政務外網的互聯網出口。如果單位確實需要獨立的互聯網出口,應報本級政務外網管理單位備案。

  第二十二條 各級政務外網管理單位部署在各接入單位的設備,由政務外網管理單位管理運維,各接入單位無權登錄,不得擅自關閉設備、修改配置。

  未經政務外網管理單位許可,各接入單位不得改變政務外網接口的網絡設備、結構或配置,不得在政務外網上搭接無線網絡設備。

  第二十三條 通過專線方式接入政務外網的單位局域網或業務系統,接入單位要保障本單位網絡、系統的安全,應參照所接入政務外網的等級保護級別標準(二級或三級),按照國家等級保護工作要求,開展測評整改,明確接入網絡安全責任人。達到所接入政務外網的安全標準后,方能接入政務外網。

  專線接入政務外網的單位應防止本單位局域網內的設備對政務外網進行攻擊。如果出現這類情況,應根據攻擊情況和系統影響范圍報本級政務外網管理單位后斷開政務外網連接,進行溯源、查殺等安全處置。

  第二十四條 單機接入政務外網的,應明確安全責任人,保證接入政務外網的單機安全,避免中病毒或木馬,避免成為攻擊政務外網的跳板。當發現接入政務外網的單機有異常情況時,應先斷開與政務外網的連接,立即對事故進行處置,并將異常情況及處置結果及時報本級政務外網管理單位。

  第二十五條 通過撥號或VPN方式接入政務外網的單位,應明確安全責任人,要保障接入賬號及接入終端的安全,避免非授權用戶獲取賬號密碼信息接入政務外網,避免含有惡意軟件的終端接入政務外網。接入政務外網后不得有危害政務外網安全的行為。當發現接入政務外網的終端有異常情況時,應先斷開與政務外網的連接,立即對事故進行處置,并將異常情況及處置結果及時報本級政務外網管理單位。

  第二十六條 所有依托于政務外網運行的應用系統,所開放的端口應由使用單位提出要求并對每個端口的用途做出說明,經本級政務外網管理單位核準后開放。

  第二十七條 各單位如果有獨立的業務專網,并且業務專網需要與政務外網進行數據交換,使用單位應當自行在業務專網和政務外網之間部署隔離設備,并由各單位自行負責數據擺渡。

  將現有業務專網遷入政務外網內運行的單位,遷移方案須經過省政府發展研究中心同意。

  第二十八條 各單位依托于省政務外網新建業務專網,應首先與本級政務外網管理單位進行溝通,建設方案須經過本級政務外網管理單位同意,并報省政府發展研究中心備案。

  第二十九條 依托于省政務外網運行的業務專網,應當與政務外網內的其他專網互相隔離。

第六章 安全管理邊界

  第三十條 各級政務外網管理單位應防止本級政務外網內的設備攻擊本級以外政務外網。如果出現這種情況,由故障設備所屬政務外網管理單位負責開展溯源、查殺等安全處置。

  第三十一條 所有接入政務外網的單位需保障本單位內部的服務器、虛擬機和終端的安全,避免引入病毒或木馬,需保障本單位所轄賬戶的安全,避免賬戶信息泄漏,對所轄賬戶的所有操作負責。接入政務外網的單位應防止本單位局域網設備攻擊政務外網。如果出現這種情況,由接入單位負責開展溯源、查殺等安全處置。

  第三十二條 使用省級政務外網網絡、云平臺、大數據平臺及其他基礎設施的單位,應嚴格控制所申請資源的使用范圍,不得利用省級政務外網的網絡、算力、存儲、數據、基礎設施等資源開展批準范圍之外的應用。

  第三十三條 使用省級政務外網統一云平臺部署應用系統的省直單位,負責虛擬主機的操作系統、中間件及應用系統的安全和數據安全,并對該系統的訪問控制進行優化,提出最小化開放策略。

  第三十四條 設備托管在政務外網機房的單位,要保障托管設備及其系統層、應用層的安全和數據安全。

  第三十五條 利用政務外網的機房、設備搭建業務專網的單位,要保障該專網的安全。

  第三十六條 利用省級政務外網短信網關、網站集約化平臺、郵件系統等基礎設施平臺發布信息的單位,對本單位發布的信息內容負責。

第七章 附則

  第三十七條 本辦法自發布之日起施行。

打印 收藏