甘肅省公共資源交易網(wǎng)絡信息安全管理辦法甘肅省公共資源交易網(wǎng)絡信息安全管理辦法

第一條

為加強公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護，保障信息系統(tǒng)穩(wěn)定正常運行，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》等有關法律、法規(guī)、規(guī)章的規(guī)定，結合實際，制定本辦法。第二條

本省行政區(qū)域內(nèi)公共資源交易局（中心）的網(wǎng)絡信息系統(tǒng)安全保護管理工作適用本辦法。第三條

本辦法所稱網(wǎng)絡信息系統(tǒng)，是指與公共資源交易相關的軟件系統(tǒng)（電子服務系統(tǒng)、電子交易系統(tǒng)、電子監(jiān)管系統(tǒng)等），網(wǎng)絡系統(tǒng)（交換設備、傳輸設備、網(wǎng)絡安全設備等），硬件設施（計算機、監(jiān)控系統(tǒng)、詢標系統(tǒng)、門禁系統(tǒng)等），支撐平臺（服務器、數(shù)據(jù)庫、存儲、云平臺資源等），數(shù)據(jù)資源（各類公共資源交易數(shù)據(jù)、設備配置信息、系統(tǒng)日志等）。第四條

公共資源交易局（中心）負責本平臺網(wǎng)絡信息安全保護管理工作。第五條

網(wǎng)絡信息系統(tǒng)的安全保護，應當涵蓋公共資源交易相關軟件系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺。應保障所有相關系統(tǒng)、設施的功能正常發(fā)揮，應保障所有數(shù)據(jù)資源的安全性、合法性和有效性。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第1頁。第六條

公共資源交易局（中心）應當構建公共資源交易網(wǎng)絡信息安全防護體系，保障信息系統(tǒng)及其相關的設備、設施、網(wǎng)絡安全，保障公共資源交易平臺運行安全和數(shù)據(jù)安全。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第1頁。第七條

公共資源交易局（中心）應當履行信息安全主體責任，按要求對本平臺信息系統(tǒng)進行安全等級保護測評，制定本平臺的網(wǎng)絡信息安全應急響應預案，定期開展網(wǎng)絡安全應急演練，提高網(wǎng)絡安全意識。第八條

任何單位和個人不得利用公共資源交易網(wǎng)絡信息系統(tǒng)危害國家安全、泄露國家秘密，不得侵犯國家、社會、企業(yè)利益和公民的合法權益，不得泄露應該保密的信息，不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途，不得從事違法犯罪活動。第九條

公共資源交易局（中心）及其工作人員不得通過任何非法手段接入和使用互聯(lián)網(wǎng)。第十條

嚴格管理連接到互聯(lián)網(wǎng)的設備設施；對涉及國家秘密及商業(yè)秘密的設備，必須做到專機專用，嚴禁接入互聯(lián)網(wǎng)。第十一條

所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設備設施，要統(tǒng)一規(guī)范設置IP地址和訪問端口，要通過白名單控制其訪問權限。第十二條

通過互聯(lián)網(wǎng)下載的文件，必須經(jīng)過計算機病毒和木馬掃描后方可使用。第十三條

公共資源交易局（中心）須做好接入互聯(lián)網(wǎng)的網(wǎng)絡系統(tǒng)及支撐平臺系統(tǒng)日志的存儲和分析工作，并做好日志備份工作。第十四條

公共資源交易局（中心）要定期對內(nèi)部局域網(wǎng)進行安全掃描，對發(fā)現(xiàn)的漏洞及時修補、并統(tǒng)一提供修補程序及修補辦法。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第2頁。第十五條

公共資源交易局（中心）負責對內(nèi)部局域網(wǎng)上的設備設施的網(wǎng)絡配置信息進行登記管理，對所有設備的IP地址進行統(tǒng)籌分配和登記，局域網(wǎng)內(nèi)部所有設備必須使用單位統(tǒng)籌分配的IP地址，不得私自修改。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第2頁。涉及全省遠程異地評標系統(tǒng)的所有設備，應當使用由省公共資源交易局統(tǒng)籌分配的IP地址。局域網(wǎng)內(nèi)的所有計算機、服務器的工作組名、域名和計算機名等配置信息不得隨意修改，防止影響網(wǎng)絡通訊。第十六條

任何單位和個人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡信息安全的活動：（一）未經(jīng)允許訪問、修改和刪除任何設備設施的配置信息；（二）未經(jīng)允許，對公共資源交易相關的軟件系統(tǒng)、數(shù)據(jù)資源進行查閱、刪除、修改；（三）故意制作、傳播計算機病毒或木馬等破壞性程序；（四）其他危害計算機信息網(wǎng)絡安全的行為。第十七條

局域網(wǎng)中的計算機應專人專用，并設置獨立的系統(tǒng)賬號和密碼；對多人共用一臺計算機的，應分別設置每個人的系統(tǒng)賬號及密碼，保存在該計算機上的涉密資料應設置密碼進行保護；系統(tǒng)登錄密碼要定期更改；關鍵計算機應當設置定時屏保及密碼。第十八條

任何部門或個人未經(jīng)允許，不得擅自安裝、拆卸或改變軟件系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺，不得擅自訪問和修改數(shù)據(jù)資源。對獲準允許安裝、拆卸或改變的，進行記錄留痕。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第3頁。第十九條

公共資源交易局（中心）要統(tǒng)一部署國產(chǎn)正版防病毒軟件，所有計算機、服務器都必須安裝防病毒軟件客戶端，并接受服務端的集中統(tǒng)一管理，未安裝防病毒軟件的計算機、服務器嚴禁接入內(nèi)部局域網(wǎng)。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第3頁。第二十條

公共資源交易局（中心）負責管理防病毒軟件服務器，承擔病毒防御策略制定和病毒特征庫的分發(fā)工作。第二十一條

公共資源交易局（中心）要確定專人負責管理防病毒服務器，確保防病毒服務器的正常運行和病毒特征庫的及時更新。防病毒管理員應每天定時對所有計算機、服務器進行病毒掃描，發(fā)現(xiàn)病毒的應立即查殺。第二十二條

任何單位和個人不得擅自停用或刪除計算機、服務器中的防病毒軟件；使用計算機、服務器時要關注防病毒軟件的狀態(tài)，確保防病毒軟件正常工作；發(fā)現(xiàn)問題及時與防病毒管理員聯(lián)系。第二十三條

發(fā)現(xiàn)計算機、服務器感染病毒，應立即啟用防病毒軟件進行殺毒處理。如發(fā)現(xiàn)無法清除病毒，應立即采取如下措施：（一）迅速斷開本機的網(wǎng)絡連接，做好病毒查殺工作；（二）工作人員應作好相關記錄，并立即報告本單位負責人；（三）情況嚴重的，應立即啟動應急預案，并做好取證工作。第二十四條

公共資源交易局（中心）統(tǒng)一管理本平臺信息網(wǎng)絡系統(tǒng)的賬號和密碼；密碼要定期更換，長度不少于10位，要采用數(shù)字、字母和符號組合進行設置；軟件系統(tǒng)、網(wǎng)絡系統(tǒng)和支撐平臺管理賬號必須設置密碼，不得使用系統(tǒng)默認密碼；密碼必須采用分段管理方式，有條件的要使用數(shù)字證書進行用戶身份認證。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第4頁。第二十五條

公共資源交易局（中心）對來自各種渠道的信息網(wǎng)絡服務請求、告警和故障，按照運行維護事件的范圍、影響和緊急程度進行處置并做好記錄工作。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第4頁。第二十六條

軟件系統(tǒng)、支撐平臺及數(shù)據(jù)資源相關的運行維護服務工作包括以下內(nèi)容：（一）負責軟件系統(tǒng)支撐平臺的用戶賬號、密碼和權限的分配與管理；（二）負責軟件系統(tǒng)支撐平臺的運行狀態(tài)檢查、資源配置和日志分析；（三）負責軟件系統(tǒng)的安裝、測試、升級、培訓、技術支持等服務，并做好相應記錄，要做到處處留痕、可溯可查；（四）負責軟件系統(tǒng)支撐平臺的安全防護；（五）負責軟件系統(tǒng)用戶的增加、刪除和修改工作，對系統(tǒng)使用權限進行分配；（六）負責軟件系統(tǒng)和數(shù)據(jù)資源備份，并制定相關的備份和恢復策略；（七）負責完成與各類第三方軟件系統(tǒng)的對接和數(shù)據(jù)交換共享工作；（八）負責對數(shù)據(jù)資源的完整性、有效性、合法性進行校驗，及時處理發(fā)現(xiàn)的數(shù)據(jù)問題。第二十七條

軟件系統(tǒng)及支撐平臺要滿足以下安全要求：（一）軟件系統(tǒng)代碼或數(shù)據(jù)資源的任何修改，必須經(jīng)公共資源交易局（中心）負責人審批后進行修改并記錄；（二）軟件系統(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層（SSL）實現(xiàn)加密；（三）軟件系統(tǒng)要具備防結構化查詢語言（SQL）注入功能；（四）支撐平臺應具備入侵監(jiān)測、病毒查殺、漏洞修復、網(wǎng)頁防篡改等功能；甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第5頁。（五）支撐平臺應具備維護服務審計功能，可以全程記錄運行維護服務人員對支撐平臺的使用過程，做到可溯可查；甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第5頁。（六）在公共資源交易活動中需要提供電子文檔的，應當使用數(shù)字證書進行簽名和加密。第二十八條

網(wǎng)絡安全運行維護服務工作包括以下內(nèi)容：（一）對網(wǎng)絡安全情況進行分析，對系統(tǒng)運行過程中出現(xiàn)的網(wǎng)絡安全問題進行監(jiān)控并及時解決；（二）全面規(guī)劃和指導系統(tǒng)升級、網(wǎng)絡病毒的控制等工作，及時消除網(wǎng)絡安全隱患；（三）負責網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺的配置，關閉網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺上非必要的服務和端口，減少安全隱患；對所有設備設施的配置信息和運行日志進行規(guī)范管理；（四）發(fā)生網(wǎng)絡入侵或攻擊事件時，要具備必須的應對手段，能及時定位到相關入侵來源，同時啟動應急預案，并配合信息管理部門做好取證工作；（五）對信息網(wǎng)絡系統(tǒng)的故障和性能進行監(jiān)控，發(fā)現(xiàn)問題及時解決，并及時報告；（六）負責對信息網(wǎng)絡系統(tǒng)運行過程中發(fā)生的其他各類問題進行及時處理。第二十九條

公共資源交易局（中心）工作人員和運行維護單位違反本辦法有關規(guī)定的，依規(guī)處理；構成犯罪的，移送司法機關處理。第三十條

法律、法規(guī)、規(guī)章對網(wǎng)絡信息安全另有規(guī)定的，從其規(guī)定。第三十一條

公共資源交易局（中心）應與系統(tǒng)運行維護服務單位簽訂保密協(xié)議。甘肅省公共資源交易網(wǎng)絡信息安全管理辦法全文共7頁，當前為第6頁。第三十二條

公共資源交易局（中心）應加強安全意識，定期開展網(wǎng)絡