市生態(tài)環(huán)保局平臺安全實施細(xì)則第一章總則第一條目的與依據(jù)為規(guī)范市生態(tài)環(huán)境局各類業(yè)務(wù)平臺運行管理，保障平臺數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)安全，提升生態(tài)環(huán)境治理數(shù)字化、智能化水平，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《生態(tài)環(huán)境信息網(wǎng)絡(luò)安全管理辦法》等法律法規(guī)及政策要求，結(jié)合本市生態(tài)環(huán)保工作實際，制定本實施細(xì)則。第二條適用范圍本細(xì)則適用于市生態(tài)環(huán)境局（含下屬分局、直屬單位）建設(shè)、管理、使用的所有信息化業(yè)務(wù)平臺（以下簡稱“平臺”），包括但不限于環(huán)境監(jiān)測數(shù)據(jù)管理平臺、污染源在線監(jiān)控平臺、生態(tài)環(huán)境執(zhí)法監(jiān)管平臺、政務(wù)協(xié)同辦公平臺、公眾服務(wù)平臺等自建、共建及租用的信息系統(tǒng)。第三條基本原則1.安全可控：堅持安全與發(fā)展并重，將安全要求貫穿平臺規(guī)劃、建設(shè)、運行、維護(hù)全過程，確保平臺關(guān)鍵技術(shù)自主可控，數(shù)據(jù)資產(chǎn)安全可管。2.預(yù)防為主：建立常態(tài)化風(fēng)險評估與隱患排查機制，強化事前防范、事中監(jiān)控、事后處置的全周期管理，降低安全事件發(fā)生概率。3.責(zé)任到人：明確平臺安全管理責(zé)任主體，落實“誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的責(zé)任體系，形成全員參與的安全管理格局。4.動態(tài)優(yōu)化：適應(yīng)生態(tài)環(huán)保業(yè)務(wù)發(fā)展和技術(shù)迭代需求，定期更新安全策略，完善防護(hù)措施，確保平臺安全防護(hù)能力與業(yè)務(wù)發(fā)展同步提升。---第二章組織架構(gòu)與職責(zé)分工第四條領(lǐng)導(dǎo)小組成立市生態(tài)環(huán)境局平臺安全領(lǐng)導(dǎo)小組（以下簡稱“領(lǐng)導(dǎo)小組”），由局主要負(fù)責(zé)人任組長，分管信息化工作的局領(lǐng)導(dǎo)任副組長，成員包括辦公室、法規(guī)處、科財處、監(jiān)測處、執(zhí)法局、信息中心等部門主要負(fù)責(zé)人。主要職責(zé)如下：1.統(tǒng)籌平臺安全重大事項決策，審議平臺安全規(guī)劃、年度計劃、應(yīng)急預(yù)案等重要文件；2.協(xié)調(diào)解決平臺安全管理中的跨部門、跨層級問題；3.監(jiān)督平臺安全責(zé)任落實情況，對重大安全事件進(jìn)行責(zé)任認(rèn)定與處理。第五條技術(shù)保障部門信息中心作為平臺安全技術(shù)保障部門，承擔(dān)平臺安全日常管理職責(zé)：1.制定平臺安全技術(shù)規(guī)范、操作指南及應(yīng)急預(yù)案，組織實施安全防護(hù)措施；2.負(fù)責(zé)平臺網(wǎng)絡(luò)邊界防護(hù)、主機系統(tǒng)加固、應(yīng)用漏洞修復(fù)、數(shù)據(jù)備份恢復(fù)等技術(shù)工作；3.開展平臺安全監(jiān)測、風(fēng)險評估和隱患排查，定期向領(lǐng)導(dǎo)小組提交安全形勢分析報告；4.組織平臺安全培訓(xùn)與應(yīng)急演練，指導(dǎo)使用部門落實安全操作要求。第六條使用部門職責(zé)各業(yè)務(wù)部門（含下屬單位）作為平臺使用主體，承擔(dān)本部門平臺使用安全責(zé)任：1.落實“最小權(quán)限”原則，明確本部門平臺用戶賬號權(quán)限，定期審核權(quán)限合理性；2.規(guī)范用戶操作行為，禁止非授權(quán)訪問、數(shù)據(jù)泄露、惡意篡改等違規(guī)行為；3.配合信息中心開展平臺安全檢查、風(fēng)險整改及應(yīng)急處置，及時報告異常情況；4.負(fù)責(zé)本部門產(chǎn)生的業(yè)務(wù)數(shù)據(jù)分類分級，提出數(shù)據(jù)安全保護(hù)需求，配合做好數(shù)據(jù)脫敏、加密等工作。---第三章平臺分類與安全等級第七條平臺分類標(biāo)準(zhǔn)根據(jù)平臺承載業(yè)務(wù)的重要性、數(shù)據(jù)敏感性及潛在影響，將平臺劃分為三級：1.一級平臺：支撐生態(tài)環(huán)境核心業(yè)務(wù)（如污染源在線監(jiān)控、環(huán)境質(zhì)量預(yù)警、執(zhí)法案件管理），涉及國家秘密、重大公共利益或公民個人敏感信息（如身份證號、聯(lián)系方式）的平臺；2.二級平臺：支撐重要業(yè)務(wù)（如政務(wù)協(xié)同辦公、企業(yè)環(huán)保信用評價、環(huán)境統(tǒng)計），涉及一般工作秘密或非敏感業(yè)務(wù)數(shù)據(jù)的平臺；3.三級平臺：支撐常規(guī)業(yè)務(wù)（如公共信息發(fā)布、政策解讀、辦事指南查詢），僅涉及公開或低敏感性數(shù)據(jù)的平臺。第八條安全等級要求不同等級平臺實行差異化安全防護(hù)，具體要求如下：|安全等級|訪問控制|數(shù)據(jù)加密|備份頻率|監(jiān)測頻率|應(yīng)急響應(yīng)||----------|----------|----------|----------|----------|----------||一級平臺|多重身份認(rèn)證（如數(shù)字證書+動態(tài)令牌）|全生命周期加密（傳輸、存儲、處理）|每日增量備份+每周全量備份|7×24小時實時監(jiān)測|30分鐘內(nèi)啟動響應(yīng)||二級平臺|雙因素認(rèn)證（如賬號+密碼+短信驗證）|傳輸與存儲加密|每周全量備份|每日定時監(jiān)測|2小時內(nèi)啟動響應(yīng)||三級平臺|單因素認(rèn)證（賬號+密碼）|重要字段加密（如企業(yè)名稱、聯(lián)系人）|每月全量備份|每周抽樣監(jiān)測|4小時內(nèi)啟動響應(yīng)|---第四章安全防護(hù)具體要求第九條物理安全1.平臺服務(wù)器、存儲設(shè)備等關(guān)鍵基礎(chǔ)設(shè)施須部署在符合國家標(biāo)準(zhǔn)的專用機房內(nèi)，機房應(yīng)配置消防系統(tǒng)、溫濕度監(jiān)控（溫度22±2℃，濕度40%-60%）、不間斷電源（UPS供電時間≥2小時）及入侵報警裝置；2.機房實行嚴(yán)格準(zhǔn)入管理，僅允許授權(quán)人員進(jìn)入，訪問需登記備案并留存監(jiān)控錄像（保存時間≥90天）；3.設(shè)備采購、維修、報廢需履行審批程序，維修時需拆除存儲介質(zhì)或全程監(jiān)督，報廢設(shè)備需進(jìn)行數(shù)據(jù)徹底清除（采用消磁或覆蓋寫入方式）。第十條網(wǎng)絡(luò)安全1.平臺網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界需部署防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS），一級平臺需額外部署網(wǎng)閘或隔離裝置；2.劃分安全域，核心業(yè)務(wù)系統(tǒng)與辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)實行邏輯隔離，禁止非授權(quán)跨域訪問；3.定期開展網(wǎng)絡(luò)流量分析，對異常流量（如大規(guī)模數(shù)據(jù)外傳、高頻訪問請求）進(jìn)行阻斷并溯源；4.互聯(lián)網(wǎng)出口帶寬需滿足業(yè)務(wù)峰值需求，一級平臺需采用雙鏈路冗余設(shè)計，確保斷網(wǎng)后可切換備用線路。第十一條主機與應(yīng)用安全1.主機操作系統(tǒng)需關(guān)閉非必要服務(wù)與端口，啟用自動補丁更新（測試通過后48小時內(nèi)部署），一級平臺需人工審核補丁安全性；2.應(yīng)用系統(tǒng)開發(fā)遵循“安全開發(fā)規(guī)范”，上線前需通過第三方漏洞掃描（高危漏洞修復(fù)率100%，中危漏洞修復(fù)率≥90%）及滲透性測試；3.禁止使用默認(rèn)賬號、弱口令（密碼需包含字母+數(shù)字+符號，長度≥12位，每90天強制修改），一級平臺用戶需綁定數(shù)字證書；4.定期對應(yīng)用系統(tǒng)進(jìn)行性能優(yōu)化，防范DDoS攻擊、SQL注入、XSS跨站腳本等常見攻擊，一級平臺需部署網(wǎng)頁防篡改系統(tǒng)。第十二條數(shù)據(jù)安全1.數(shù)據(jù)分類分級：按照《生態(tài)環(huán)境數(shù)據(jù)分類分級指南》，將數(shù)據(jù)分為“絕密”“機密”“秘密”“內(nèi)部”“公開”五級，一級平臺數(shù)據(jù)至少為“秘密”級；2.數(shù)據(jù)采集：通過合法合規(guī)渠道獲取數(shù)據(jù)，涉及個人信息的需取得用戶授權(quán)，明確數(shù)據(jù)用途與保存期限；3.數(shù)據(jù)傳輸：跨網(wǎng)絡(luò)傳輸敏感數(shù)據(jù)需使用SSL/TLS1.2以上協(xié)議加密，一級平臺需采用國密算法（SM2/SM4）；4.數(shù)據(jù)存儲：敏感數(shù)據(jù)存儲時需加密（如哈希加鹽、字段替換），數(shù)據(jù)庫需啟用審計功能，記錄所有增刪改操作；5.數(shù)據(jù)共享：對外提供數(shù)據(jù)需經(jīng)業(yè)務(wù)部門初審、信息中心安全評估、領(lǐng)導(dǎo)小組審批，簽訂數(shù)據(jù)安全協(xié)議，限制使用范圍與期限；6.數(shù)據(jù)銷毀：不再使用的數(shù)據(jù)需通過物理銷毀（如消磁）或邏輯銷毀（如徹底刪除+覆蓋寫入），留存銷毀記錄（保存時間≥3年）。---第五章運行管理規(guī)范第十三條日常運維管理1.建立平臺運維日志，記錄巡檢時間、檢查項（如服務(wù)器負(fù)載、數(shù)據(jù)庫連接數(shù)、系統(tǒng)日志）、異常情況及處理結(jié)果，日志保存時間≥1年；2.每月開展一次全面運維檢查，一級平臺每周至少一次專項檢查，檢查內(nèi)容包括安全設(shè)備狀態(tài)、補丁更新情況、賬號權(quán)限合理性等；3.平臺升級或變更（如功能調(diào)整、參數(shù)修改）需提前制定方案，經(jīng)信息中心安全評估、領(lǐng)導(dǎo)小組審批后實施，升級期間需安排專人監(jiān)控，完成后進(jìn)行功能與安全測試。第十四條訪問與權(quán)限管理1.用戶賬號實行“一人一號”，禁止共享賬號，離職人員賬號需在24小時內(nèi)注銷；2.權(quán)限分配遵循“最小必要”原則，根據(jù)崗位職責(zé)設(shè)置查詢、修改、刪除等權(quán)限，一級平臺權(quán)限需經(jīng)部門負(fù)責(zé)人審批；3.每季度對賬號權(quán)限進(jìn)行一次核查，清理冗余賬號與越權(quán)權(quán)限，核查記錄報信息中心備案；4.外部人員（如第三方運維人員）訪問平臺需簽訂安全承諾書，限定訪問時間與范圍，由使用部門全程監(jiān)督。第十五條日志與審計管理1.平臺需完整記錄用戶登錄、操作（如數(shù)據(jù)查詢、修改、刪除）、系統(tǒng)異常等日志，日志字段包括用戶ID、IP地址、時間、操作類型、結(jié)果；2.日志存儲需符合“三權(quán)分立”原則（管理員、審計員、操作員權(quán)限分離），禁止修改或刪除歷史日志；3.信息中心每月對日志進(jìn)行一次安全審計，分析異常操作（如非工作時間高頻訪問、跨權(quán)限數(shù)據(jù)下載），形成審計報告報領(lǐng)導(dǎo)小組。---第六章應(yīng)急響應(yīng)與處置第十六條應(yīng)急預(yù)案制定信息中心負(fù)責(zé)編制《市生態(tài)環(huán)境局平臺安全應(yīng)急預(yù)案》，明確以下內(nèi)容：1.應(yīng)急組織：設(shè)立應(yīng)急指揮組（領(lǐng)導(dǎo)小組）、技術(shù)處置組（信息中心）、業(yè)務(wù)保障組（使用部門）、輿情應(yīng)對組（宣傳部門）；2.事件分級：根據(jù)影響范圍與程度，分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）、一般（Ⅳ級）四級；3.響應(yīng)流程：包括監(jiān)測預(yù)警（發(fā)現(xiàn)異?！醪脚袛啵?、事件報告（30分鐘內(nèi)口頭報告，2小時內(nèi)書面報告）、分級處置（Ⅰ-Ⅱ級由領(lǐng)導(dǎo)小組指揮，Ⅲ-Ⅳ級由信息中心處置）、事后評估（72小時內(nèi)提交總結(jié)報告）；4.資源保障：儲備應(yīng)急設(shè)備（如備用服務(wù)器、加密設(shè)備）、技術(shù)團(tuán)隊（內(nèi)部+第三方專家）、通信聯(lián)絡(luò)表（關(guān)鍵人員24小時聯(lián)系方式）。第十七條應(yīng)急演練與培訓(xùn)1.每年至少開展2次應(yīng)急演練（其中1次為跨部門綜合演練），演練內(nèi)容包括數(shù)據(jù)泄露、系統(tǒng)癱瘓、網(wǎng)絡(luò)攻擊等場景，演練記錄（方案、腳本、總結(jié)）保存時間≥3年；2.每季度組織一次平臺安全培訓(xùn)，培訓(xùn)對象覆蓋全體工作人員，內(nèi)容包括安全法規(guī)、操作規(guī)范、應(yīng)急技能等，培訓(xùn)考核不合格者暫停平臺使用權(quán)限；3.定期向干部職工推送安全警示案例（如數(shù)據(jù)泄露事件、弱口令攻擊），提升全員安全意識與防范能力。---第七章監(jiān)督檢查與責(zé)任追究第十八條內(nèi)部檢查機制1.領(lǐng)導(dǎo)小組每半年對平臺安全工作進(jìn)行一次專項檢查，檢查內(nèi)容包括責(zé)任落實、制度執(zhí)行、隱患整改等；2.信息中心每月對平臺安全防護(hù)措施（如訪問控制、數(shù)據(jù)加密）進(jìn)行一次技術(shù)檢查，形成問題清單并督促整改；3.使用部門每季度對本部門平臺使用情況進(jìn)行一次自查，重點檢查賬號管理、操作規(guī)范、數(shù)據(jù)安全，自查報告報信息中心備案。第十九條外部測評與認(rèn)證1.一級平臺每年需通過第三方網(wǎng)絡(luò)安全等級保護(hù)測評（至少三級）及數(shù)據(jù)安全評估，二級平臺每兩年測評一次；2.平臺采購或外包服務(wù)（如云服務(wù)、運維服務(wù)）需要求供應(yīng)商提供ISO27001信息安全管理體系認(rèn)證或同等資質(zhì)，簽訂安全責(zé)任協(xié)議；3.測評或評估中發(fā)現(xiàn)的問題需在30日內(nèi)完成整改，整改情況報領(lǐng)導(dǎo)小組審議。第二十條責(zé)任追究1.對違反本細(xì)則的行為（如違規(guī)操作導(dǎo)致數(shù)據(jù)泄露、未及時報告安全事件、擅自修改平臺參數(shù)），視情節(jié)輕重給予批評教育、通報批評、崗位調(diào)整等處理；2.因失職瀆職造成重大安全事件（如