现将《丽水电子政务外网网络与信息安全管理暂行办法》印发给你们,请认真遵照执行。
第一条为加强丽水电子政务外网(以下简称“丽水政务外网”)网络与信息安全工作,依照国家信息安全相关法律和法规,结合国家政务外网建设和运行实际,制定本办法。
第二条本办法适用于各级政务外网建设、运维和管理单位(以下简称“各级政务外网单位”)。在丽水政务外网上运行的各业务应用系统的运维和管理部门,参照本办法的相关条款执行。
第三条丽水政务外网网络与信息安全工作要统筹规划、统一策略、分级建设,在丽水信息安全主管部门的指导下,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。丽水市大数据发展管理局负责丽水政务外网网络与信息安全的保障工作,各级政务外网单位负责本级政务外网网络与信息安全的保障工作,接入政务外网的各级政务部门负责本部门网络与信息安全的保障工作。
第四条各级政务外网单位在进行政务外网规划、设计和建设时应同步做好安全保障系统的规划、设计和建设,并落实运行维护管理中的安全检查、等级测评和风险评估等经费。
第五条任何单位和个人不得利用丽水政务外网从事危害国家利益、集体利益和公民合法权益的活动,不得危害国家政务外网的安全。
第六条丽水政务外网网络与信息安全管理工作实行领导负责制,各级政务外网单位应落实一名分管领导负责网络与信息安全工作。
第七条丽水市大数据发展管理局负责协调、指导丽水政务外网网络与信息安全工作,负责丽水政务外网网络与信息安全管理工作,主要职责包括:
(一)贯彻执行国家、省信息安全相关法律和法规,指导、协调和规范本市政务外网网络与信息安全工作。
(二)组织制定丽水政务外网网络与信息安全总体设计、安全策略、标准规范和各项管理制度。
(三)负责联系上级信息安全主管部门并接受其指导,向有关部门报告丽水政务外网网络与信息安全重大事件。
(四)组织丽水政务外网网络与信息安全等级保护工作,组织并且开展信息安全自查、检查和风险评估,对全网安全运作状况进行分析、研判和通报。
第八条县(市、区)大数据管理机构负责协调、指导本县(市、区)政务外网网络与信息安全工作,负责本县(市、区)政务外网网络与信息安全管理工作,主要职责包括:
(一)贯彻执行国家、省、市信息安全相关法律法规,指导、协调和规范本县(市、区)政务外网网络与信息安全工作。
(二)组织制定本县(市、区)政务外网网络与信息安全总体规划、安全策略、标准规范和各项管理制度。
(三)负责联系上级信息安全主管部门并接受其指导,向有关部门报告本县(市、区)政务外网网络与信息安全重大事件。
(四)组织本县(市、区)政务外网网络与信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对全网安全运行状况做分析、研判和通报。
(六)制定本县(市、区)级政务外网网络与信息安全应急预案,组织开展应急演练。
(九)负责本县(市、区)政务外网资产管理工作,落实本县(市、区)政务外网互联网出口整合工作,落实政务外网终端安全防护体系建设工作。
第九条各政务部门负责协调、指导本部门政务外网网络与信息安全工作,负责本部门政务外网网络与信息安全管理工作,主要职责包括:
(一)贯彻执行国家、省、市、县信息安全相关法律法规,指导、协调和规范本部门政务外网网络与信息安全工作。
(二)组织制定本部门政务外网网络与信息安全总体规划、安全策略、标准规范和各项管理制度。
(三)负责联系上级信息安全主管部门并接受其指导,向有关部门报告本部门政务外网网络与信息安全重大事件。
(四)组织本部门政务外网网络与信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对本部门网络与信息安全运行状况做多元化的分析、研判和通报。
(八)负责本部门政务外网安全建设及管理工作,落实政务外网安全接入规范,确保接入政务外网边界安全,严格执行互联网出口整合要求,严格落实端安全防护体系建设。
(九)负责本部门政务外网资产管理工作,确保本部门政务外网资产信息的动态更新与数据的准确。
第十条丽水市行政中心政务外网网络与信息安全管理工作,涉及市大数据发展管理局、市机关事务中心、市行政中心各单位,各方的主要职责如下:
1.负责市行政中心政务外网核心机房的管理工作,以及市行政中心政务外网核心设备的管理工作。
4.接受市行政中心各单位的委托,对各单位委托服务的内容安排第三方运维团队提供服务。
1.负责市行政中心大楼基础设施建设、维护与管理工作,包含核心机房至楼道弱电间、楼道弱电间至各办公室等市行政中心内部的所有线缆的建设、维护与管理工作。
2.负责市行政中心楼道弱电间的建设、维护与管理工作,包含楼道弱电间内所有的设备建设、维护与管理。
1.负责梳理本单位所有政务外网资产信息,并对资产信息进行管理,对资产信息进行分类与梳理,确定委托服务内容,完成委托服务工作。
第十一条其他政务外网单位的信息安全主管部门和负责单位,应参照本办法第七、八、九条,确定本单位政务外网信息安全管理机构及其职责。
第十二条丽水政务外网根据职责边界划分为:市级广域网、县级广域网、市级城域骨干网、县级城域骨干网、市级互联网出口、县级互联网出口、市级安全运维中心、县级安全运维中心、市级移动办公接入、县级移动办公接入、政务云、市级部门局域网、县级部门局域网、其它专网平台接入。
第十三条丽水政务外网信息安全管理机构包含:市大数据发展管理局、县(市、区)大数据管理机构、各政务部门(包括其他政务外网接入单位)。
(一)市大数据发展管理局安全边界:市级广域网、县级广域网、市级城域骨干网、市级互联网出口、市级安全运维中心、市级移动办公接入、政务云区域的整体安全,市级部门局域网接入、其他专网平台接入城域网骨干侧的安全。
(二)县(市、区)大数据管理机构安全边界:县级城域骨干网、县级互联网出口、县级安全运维中心、县级移动办公接入的整体安全,县级部门局域网接入城域骨干网侧的安全。
(三)各政务部门(包括其他政务外网接入单位)安全边界:本部门、本单位接入政务外网的局域网安全,有下属单位的,包含下属单位局域网的安全;局域网接入政务外网的边界安全与局域网内部所有接入设备的安全。
第十六条按照业务安全需求,丽水政务外网划分为互联网接入区、公用网络区和专用网络区等功能区域,在各区域之间实现逻辑隔离和安全有效控制。
第十七条市级政务外网应达到信息安全等级保护第三级的要求,区县级政务外网应达到信息安全等级保护第二级的要求,各级政务部门政务外网及信息系统根据《信息系统安全等级保护定级指南》进行自主定级。
第十九条各级政务外网单位都要开展网络安全监控工作,及时发现、定位、分析、控制安全事件,定期向上级管理部门汇报网络安全状况。
第二十条各级政务部门的业务应用系统原则上应统一部署在政务外网政务云上,各业务应用系统应按照信息安全等级保护的要求,通过安全检查和风险评估。
第二十一条各级政务外网单位都应组织制定本级政务外网网络与信息安全应急预案并定期开展应急演练。
第二十二条各级政务外网单位都要加强安全审计工作,审计记录的保存时间不少于半年。
第二十三条各级政务外网单位都要加强政务外网终端安全管理,对接入政务外网的所有终端,应安装全省统一的终端管理软件,定期进行杀毒并及时更新补丁、实行统一管理。
第二十四条丽水政务外网承载各级政务部门非涉及国家秘密的业务应用系统和信息,不得存储、处理和传输涉及国家秘密的信息和数据。
第二十五条丽水政务外网承载的业务应用系统应按照信息安全等级保护的要求,采取必要的安全保障措施,其信息安全由该系统所属部门负责。
第二十六条各级政务部门的业务应用系统需要与丽水政务外网的互联网接入区、公用区或专用区进行跨区数据交换时,应按照丽水政务外网的跨网数据交换安全要求,采取相应的安全保障措施。
第二十七条各级政务外网单位应当按照丽水政务外网安全检查和风险评估的统一要求,负责组织在本级政务外网开展定期或不定期的网络与信息安全自查与风险评估,配合上级主管部门和上一级政务外网单位做好本级政务外网的信息安全检查和风险评估工作。
第二十八条各级政务外网单位应将信息安全检查结果及时报上一级政务外网单位,同时按要求通报本地信息安全主管部门,并责成存在问题的单位进行整改。
第二十九条建立信息安全定期通报制度,及时向上一级政务外网单位通报重大信息安全事件。
第三十条加强各级政务外网单位人员的信息安全教育,增强其信息安全意识,定期对从事信息安全的工作人员开展专业技术培训,提高其信息安全技能。
第三十一条对从事丽水政务外网信息安全管理的人员按照“分工负责、职责明确、最小授权和任期有限”的原则进行管理。
第三十二条各级政务外网单位应设置系统管理、安全管理和安全审计岗位,负责网络运行、安全和审计工作。系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。
第三十四条建立奖惩制度。对在信息安全工作中做出突出成绩的单位和个人予以表彰;对违反信息安全规定的责任人,责令其限期改正;对造成严重后果的责任人,由相关部门依照法律和法规予以处理。
第三十五条各级政务外网单位应根据本办法,制定本单位政务外网网络与信息安全管理实施细则,并在实际运行中不断完善。