榆林市电子政务网络与信息安全管理办法(暂行)
目录
总 则 1
1. 职 责 1
2. 管理要求 2
3. 罚 则 3
4. 附 则 4
总 则
第一条 为加强电子政务网络与信息安全管理,保障全市电子政务健康发展,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《国家信息化领导小组关于我国电子政务建设指导意见》、《陕西省信息化领导小组关于加强信息安全保障工作的意见》和《陕西省电子政务网络与信息安全管理暂行办法》等文件精神及相关法律法规,制定本办法。
第二条 本办法所称电子政务系统是指我市各级党政机关、企事业单位和社会团体等机构 (以下统称为单位)的政务应用和为社会提供各项公共服务的网络与信息系统。
第三条 全市电子政务网络与信息安全管理遵循统一领导、统筹规划、积极防御、综合防范、各负其责、保障安全的原则。
第四条 全市电子政务系统建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,依照相关规定实施信息安全等级保护、风险评估和安全测评。
第五条 全市电子政务系统按照“谁运营、谁主管、谁负责”的要求,分级、分层、分域保障安全。涉及国家秘密的电子政务系统必须执行党和国家的有关保密法规。
第六条 电子政务安全防护系统建设、风险评估、系统测评、安全培训和相关论证审查等所需经费,由系统建设使用单位统一纳入系统建设经费预算和运营维护费用预算予以解决。
第七条 对在电子政务网络与信息安全保障工作中取得突出成绩的单位和个人,由信息化主管部门或其上级部门给予表彰奖励。
1. 职 责
第八条 全市电子政务网络与信息安全保障工作在市信息化领导小组统一领导下,由市信息化领导小组办公室负责组织管理和协调指导,建立完善全市电子政务网络与信息安全保障体系。
第九条 各县区信息化主管部门负责本县区电子政务网络与信息安全保障工作的监督管理和协调指导,负责建立完善本县区电子政务网络与信息安全保障体系。
第十条 各级公安、安全、保密、密码管理等网络与信息安全管理部门,按照各自职能分工,对电子政务网络与信息安全保障工作实施监督管理。
第十一条 电子政务系统建设和使用单位负责建立健全本系统、本单位的网络与信息安全管理机构,配备相应人员,健全安全管理制度,明确岗位责任,建设安全保障体系。
第十二条 以租赁方式建设的电子政务系统,按照国家、省上及本市有关法律法规、技术标准与建设、运维合同的规定,其网络与信息安全保障由承担建设和运行维护方负责,使用单位负责管理。
第十三条 市信息办负责全市电子政务网络与信息安全保障的技术支持和服务。
第十四条 市信息化领导小组办公室会同有关部门统一规划和组织建设全市电子政务安全测评、数字认证、病毒防治、冗灾备份和应急救援服务等安全基础设施。
第十五条 各级信息化主管部门负责组织协调公安、安全、保密、密码管理等有关职能部门,对电子政务网络与信息安全实施监督检查。
2. 管理要求
第十六条 全市电子政务网络由基于电子政务传输网的政务内网和政务外网组成,政务内网与其他网络物理隔离,政务外网与公共网络逻辑隔离;涉密信息及处理涉密信息的应用系统必须部署在政务内网,非涉密信息及应用系统可根据业务需要选择部署在政务外网或政务内网。
第十七条 各单位必须制定电子政务信息的采集、发布、维护、保密等工作程序和管理制度,要按照“谁上网谁负责”的原则,保证其在电子政务网上运行的数据信息真实可靠,安全保密。
第十八条 为电子政务系统建设和运营维护提供服务的机构和个人,应当遵守国家有关法律法规和技术标准的规定,保守在服务活动中获知的国家秘密、内部秘密和个人隐私。
涉密电子政务系统建设和运营维护单位必须与为电子政务系统服务的机构和人员签订具有法律约束力的保密协议。
第十九条 建设电子政务系统必须同步规划、同步建设相应的安全防护系统,并与主体工程同时设计、同时施工、同时投入使用。
第二十条 电子政务工程建设应当实施信息系统工程监理,确保工程的安全和质量。
第二十一条 电子政务建设项目在报批立项前应向同级信息化主管部门提交安全防护系统建设方案,由信息化主管部门进行安全审查,符合电子政务网络与信息安全保障体系建设规划和安全管理规定的,方可按照建设项目程序办理有关手续。
第二十二条 已建和新建的电子政务系统,必须经过国家和省上有关主管部门授权的信息安全测评机构进行安全性测评,测评合格方可投入使用。
第二十三条 电子政务安全防护系统的建设和服务必须由具有相应资质和能力的机构承担,市信息化领导小组办公室依据相关规定,负责对有关机构的资质和能力进行审查。
第二十四条 电子政务系统建设必须使用符合国家电子政务网络与信息安全标准并通过国家产品认证的安全产品。
第二十五条 在电子政务系统建设中,采用无线局域网方式和具有无线局域网功能的计算机、通信设备、打印机、复印机、投影仪等产品的,应依照《无线局域网产品政府采购实施意见》(财库〔2005〕366号)的要求采购、使用符合国家无线局域网安全标准(GB l5629.11/1102)并通过国家认证的产品。
第二十六条 各单位应当依法使用正版软件,并制定本单位计算机终端软件安装使用管理制度。电子政务系统的计算机终端不得安装与工作无关的软件。
第二十七条 依托电子政务统一平台建立安全支撑平台,为各项政务应用提供安全防御、安全支撑、应用支撑、密钥管理等服务。各单位应当利用安全支撑平台提供的安全服务,建设与其相适应的电子政务安全防护系统。
第二十八条 电子政务系统使用数字证书,应当使用符合《中华人民共和国电子签名法》要求的“根认证”在省内或市内的电子认证服务机构颁发的数字证书,实行全省、全市“一证通”。
第二十九条 电子政务系统的设计、验收及运行维护阶段应当进行信息安全风险评估。在规划设计阶段,应通过风险评估明确安全目标;在验收阶段,应通过风险评估验证已设计实施的安全措施能否实现安全目标;在运行维护阶段,应定期进行风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,并根据风险评估结果改进、完善安全保护措施。
电子政务系统的建设、使用单位应适时开展安全风险自评估,信息化主管部门要定期组织安全风险检查评估。
第三十条 各级信息化主管部门应当建立完善网络与信息安全应急救援服务体系,制定并组织协调有关单位落实应急预案,完善应急救援服务。
各单位应当健全灾备系统和应急机制,明确责任,规范网络与信息安全应急事件处置流程,落实安全应急措施。
第三十一条 各单位要选用具备相应网络与信息安全管理专业知识和技能的人员从事安全管理工作,进行必要的专业培训和考核,并对全体工作人员定期进行网络与信息安全知识培训。
第三十二条 任何单位和个人不得利用电子政务系统从事危害国家安全、泄露国家秘密等违法犯罪活动;不得利用电子政务系统查阅、复制、制造和传播非法信息;不得有制作、传播、安装计算机病毒、木马等破坏性程序以及其他危害电子政务系统安全的行为。
第三十三条 任何人未经本单位安全管理机构批准,不得增减或移动电子政务系统设备;不得修改系统设备、软件的配置;不得改变电子政务系统功能;不得从事修改系统数据和软件以及其他影响电子政务系统正常运行的活动。
第三十四条 各级信息化主管部门应当适时组织协调公安、安全、保密、密码管理等有关职能部门对电子政务系统建设、运营、使用单位履行网络与信息安全保护职责的情况进行监督检查。未达到安全保护要求的,应当书面通知其限期整改。
3. 罚 则
第三十五条 违反本办法第二十一条规定,未经安全审查进行电子政务工程建设的,由县级以上信息化主管部门责令改正;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十六条 违反本办法第二十二条规定,未经安全测评或测评不合格而投入运行的电子政务系统,由县级以上信息化主管部门责令其管理单位限期整改;造成重大损失的,对负有直接责任的国家工作人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第三十七条 违反本办法其他规定,由各级信息化主管部门通报批评并责令改正;对于有危害公共安全、国家安全、泄露国家秘密以及其他违犯法律、法规行为的单位和个人,由公安、国家安全、保密以及其他管理部门依法处理;给他人造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
第三十八条 各级信息化主管部门和其他有关部门工作人员在电子政务网络与信息安全保障工作中徇私舞弊、滥用职权、玩忽职守给国家造成损失的,视情节给予行政处分;构成犯罪的,依法追究刑事责任。
4. 附 则
第三十九条 对涉及国家秘密、国家安全的电子政务系统,国家和当地有特殊规定的,从其规定。
第四十条 本办法由市信息化领导小组办公室负责解释。
第四十一条 本办法自发布之日起施行。
