各鄉(xiāng)、鎮(zhèn)人民政府，街道辦事處，市直各單位：

　　現(xiàn)將《瀏陽市政務網(wǎng)絡安全管理暫行規(guī)范》印發(fā)給你們，請認真遵照執(zhí)行。

　　瀏陽市新型智慧城市和數(shù)字政府建設工作領導小組

　　2023年7月14日

　　瀏陽市政務網(wǎng)絡安全管理暫行規(guī)范

　　第一章總則

　　第一條為加強和規(guī)范全市電子政務網(wǎng)絡安全的統(tǒng)籌管理工作，提高政務網(wǎng)絡安全防護水平，實現(xiàn)政務網(wǎng)絡安全可控、能控，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》《湖南省電子政務外網(wǎng)安全管理暫行辦法》（湘政辦發(fā)〔2020〕33號）和《長沙市政務網(wǎng)絡安全管理辦法》（長智慧辦發(fā)〔2023〕3號）等法律、法規(guī)及文件規(guī)定，結合我市實際，制定本規(guī)范。

　　第二條本規(guī)范所稱政務網(wǎng)絡，為瀏陽市電子政務外網(wǎng)，是我市電子政務的公共基礎設施，是國家電子政務外網(wǎng)的組成部分，與互聯(lián)網(wǎng)邏輯隔離，為非涉密網(wǎng)絡，由市、鄉(xiāng)鎮(zhèn)（街道）、村（社區(qū)）三級組成，上聯(lián)長沙市電子政務外網(wǎng)，橫向連接市內(nèi)各委辦局及其所屬各部門（單位），縱向覆蓋鄉(xiāng)鎮(zhèn)（街道）、村（社區(qū)），承載全市政務部門（單位）非涉密信息系統(tǒng)，實現(xiàn)基礎信息資源開放共享。

　　第三條本規(guī)范適用于依托瀏陽市電子政務外網(wǎng)建設運行的各類信息系統(tǒng)以及接入電子政務外網(wǎng)的終端設備，政務內(nèi)網(wǎng)、專網(wǎng)的網(wǎng)絡安全管理另行參照相應規(guī)章制度執(zhí)行。

　　第四條瀏陽市政務網(wǎng)絡安全管理遵循“誰管理誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責”的原則，分級建設，分級管理，各負其責。

　　第二章職責分工

　　第五條市委網(wǎng)絡安全和信息化委員會辦公室（以下簡稱市委網(wǎng)信辦）負責全市網(wǎng)絡安全工作的統(tǒng)籌協(xié)調和監(jiān)督管理。

　　第六條市新型智慧城市和數(shù)字政府建設工作領導小組辦公室（以下簡稱領導小組辦公室）負責制定全市政務網(wǎng)絡安全管理總體規(guī)劃、安全策略、標準規(guī)范和管理制度，負責指導、組織調度和監(jiān)督管理全市政務網(wǎng)絡安全工作。

　　第七條市公安局負責政務網(wǎng)絡安全的監(jiān)督、檢查、指導以及違法犯罪案件的查處。

　　第八條市數(shù)據(jù)資源中心是市本級政務主干網(wǎng)絡（指市中心機房至各單位接入交換機之間的網(wǎng)絡）的安全責任主體，負責統(tǒng)籌、規(guī)劃、指導和監(jiān)督政務網(wǎng)絡基礎設施安全運行，負責市本級政務主干網(wǎng)絡的建設、運維及安全管理工作，組織開展全市政務網(wǎng)絡安全運行自查和風險評估。

　　第九條國安、保密、密碼、應急等主管部門按照各自職責，做好政務網(wǎng)絡安全管理的相關工作，協(xié)調處理政務網(wǎng)絡安全突發(fā)事件。

　　第十條接入電子政務外網(wǎng)和依托電子政務外網(wǎng)建設運行信息系統(tǒng)的各級黨政機關、事業(yè)單位、群團組織、國有企業(yè)等為業(yè)務單位，是本單位內(nèi)部局域網(wǎng)（指接入交換機至終端設備〔含〕之間的網(wǎng)絡）和接入電子政務外網(wǎng)信息系統(tǒng)安全的責任主體，負責落實本單位政務網(wǎng)絡安全管理責任，保證網(wǎng)絡安全建設與信息化建設項目同步規(guī)劃、同步建設、同步運行。

　　第三章網(wǎng)絡及信息系統(tǒng)接入

　　第十一條可接入電子政務外網(wǎng)的單位包括：瀏陽市各級黨政機關和國有企事業(yè)單位、群團組織、村（社區(qū)）、法律法規(guī)規(guī)定要求接入電子政務外網(wǎng)的轄區(qū)內(nèi)單位。

　　第十二條電子政務外網(wǎng)及信息系統(tǒng)的接入、變更實行申請審核制度，由業(yè)務單位向市數(shù)據(jù)資源中心提出申請，經(jīng)審批通過后方可實施。業(yè)務單位的信息系統(tǒng)需開放政務外網(wǎng)或互聯(lián)網(wǎng)端口訪問,應當對每個端口的用途作出說明,向市數(shù)據(jù)資源中心備案，通過安全測評后方可核準開放。

　　第十三條業(yè)務單位內(nèi)部終端應按照電子政務外網(wǎng)統(tǒng)一規(guī)劃配置網(wǎng)絡地址，登記使用情況并向市數(shù)據(jù)資源中心備案；不得擅自改變電子政務外網(wǎng)接口的網(wǎng)絡設備、結構或配置，不得私自在電子政務外網(wǎng)上搭接無線網(wǎng)絡設備。

　　第十四條業(yè)務單位內(nèi)部終端因工作需要接入互聯(lián)網(wǎng)或其他外部網(wǎng)絡的，或外部人員接入電子政務外網(wǎng)的，應向市數(shù)據(jù)資源中心提出申請，審批通過后方可執(zhí)行。

　　第四章網(wǎng)絡安全運行

　　第十五條業(yè)務單位應當建立健全網(wǎng)絡安全組織機構和管理制度，設置管理崗位并明確職責，加強網(wǎng)絡安全教育培訓，對管理職責范圍內(nèi)的網(wǎng)絡資產(chǎn)進行統(tǒng)一登記管理，定期開展資產(chǎn)盤點及安全風險評估，進行日常安全監(jiān)測并配合監(jiān)督檢查，對安全隱患及時整改和反饋，發(fā)生安全事件時及時上報和處理。

　　第十六條業(yè)務單位應對接入電子政務外網(wǎng)的終端設備進行安全加固，包括但不限于身份鑒別、訪問控制、惡意代碼防范、入侵防范、安全審計、數(shù)據(jù)保護等；應安裝殺毒、防火墻等安全防護軟件，并定期開展終端設備殺毒工作；應對U盤等移動介質設備全面殺毒后，方可插入電子政務外網(wǎng)終端設備使用，防止木馬、蠕蟲等病毒影響終端設備、電子政務外網(wǎng)和信息系統(tǒng)的安全運行。

　　第十七條業(yè)務單位應落實網(wǎng)絡安全區(qū)域隔離、邊界防護、終端接入控制、訪問控制、基線核查、安全審計等措施，加強接入政務外網(wǎng)的局域網(wǎng)及終端的網(wǎng)絡安全防護，嚴禁將電子政務外網(wǎng)與互聯(lián)網(wǎng)、專網(wǎng)等其它網(wǎng)絡進行串聯(lián)與互通。

　　第十八條業(yè)務單位應在自建機房和專網(wǎng)內(nèi)外網(wǎng)絡邊界部署邊界安全防護、入侵檢測與防御、安全審計等安全措施，重要信息系統(tǒng)采取增強級的安全防護，如需進行數(shù)據(jù)交換時采取加密、脫敏等安全措施。

　　第十九條業(yè)務單位禁止通過電子政務外網(wǎng)瀏覽、發(fā)布非法信息，嚴禁利用電子政務外網(wǎng)從事非法活動；禁止利用電子政務外網(wǎng)資源從事挖礦等占據(jù)網(wǎng)絡鏈路帶寬資源等活動；不得將涉密計算機、設備（含存儲介質）和網(wǎng)絡接入電子政務外網(wǎng)，不得利用電子政務外網(wǎng)存儲、處理、傳輸涉密信息。

　　第五章信息系統(tǒng)安全運行

　　第二十條業(yè)務單位的信息系統(tǒng)應當具備統(tǒng)一用戶管理、權限管理、日志審計等安全功能，并保障操作系統(tǒng)的漏洞補丁及時更新，不得留存后門程序或者繞過安全機制；發(fā)布的政務網(wǎng)站應當使用網(wǎng)頁防篡改技術或專用安全技術進行保護，并確保網(wǎng)站在受到破壞時能自動恢復。

　　第二十一條業(yè)務單位應當保障接入電子政務外網(wǎng)的服務器、虛擬機等信息化主機的安全，定期進行信息系統(tǒng)部署環(huán)境安全檢查，對系統(tǒng)日志進行備份和分析，及時升級系統(tǒng)版本或修復常用軟件漏洞，進行病毒木馬查殺，保留安全檢查日志。

　　第二十二條業(yè)務單位對職責范圍內(nèi)的數(shù)據(jù)進行分級安全管理，保障數(shù)據(jù)機密性、完整性和可用性，落實數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理環(huán)節(jié)的安全措施，加強個人信息保護，并進行數(shù)據(jù)備份。

　　第二十三條業(yè)務單位應對網(wǎng)絡服務提供商、系統(tǒng)提供商、網(wǎng)絡安全服務提供商等外部企業(yè)進行安全管理，約定安全責任，在產(chǎn)品或服務提供過程中進行對應的訪問控制、風險管理、安全檢查、安全審計、數(shù)據(jù)備份等。

　　第六章應急管理

　　第二十四條市數(shù)據(jù)資源中心制定瀏陽市政務網(wǎng)絡安全應急預案并定期組織相關單位開展應急演練，業(yè)務單位應根據(jù)系統(tǒng)重要性及運行需要制定本單位應急預案，并組織實施。

　　第二十五條建立健全聯(lián)動處置機制，由市委網(wǎng)信辦、市公安局、市數(shù)據(jù)資源中心等政務網(wǎng)絡安全監(jiān)管部門和業(yè)務單位共享網(wǎng)絡安全信息，協(xié)同處置網(wǎng)絡安全事件。當發(fā)生危害政務網(wǎng)絡安全的事件時，業(yè)務單位和相關服務提供商應負責開展溯源、查殺等安全處置，及時按要求整改到位，出具事件分析報告，并按有關程序上報。

　　第二十六條政務網(wǎng)絡安全突發(fā)事件發(fā)生后或政務網(wǎng)絡安全風險持續(xù)增加時，業(yè)務單位應當及時通知受影響單位，按照相關規(guī)定及時向市委網(wǎng)信辦、市公安局、市數(shù)據(jù)資源中心等政務網(wǎng)絡安全監(jiān)管部門報告，并向領導小組辦公室報備。如出現(xiàn)的網(wǎng)絡安全問題，影響或可能影響電子政務外網(wǎng)正常運行，市數(shù)據(jù)資源中心有權采取臨時措施進行處置，直至隱患消失或者網(wǎng)絡攻擊停止。

　　第七章監(jiān)督檢查

　　第二十七條領導小組辦公室組織政務網(wǎng)絡安全監(jiān)管部門開展常態(tài)化網(wǎng)絡安全監(jiān)測，完善整改流程，提供處置建議，對發(fā)現(xiàn)的政務網(wǎng)絡安全隱患和問題進行通報。

　　第二十八條領導小組辦公室組織政務網(wǎng)絡安全監(jiān)管部門監(jiān)督推動業(yè)務單位接入政務外網(wǎng)的信息系統(tǒng)的網(wǎng)絡安全等級保護測評、商用密碼應用安全性評估工作。業(yè)務單位應按照國家網(wǎng)絡安全等級保護及密碼管理有關要求，根據(jù)相應級別定期評估和檢查本單位網(wǎng)絡安全保護措施落實情況及密碼應用保障體系情況。

　　第二十九條領導小組辦公室會同網(wǎng)信、公安、保密、密碼等監(jiān)管部門組成聯(lián)合檢查組，定期對政務網(wǎng)絡安全進行檢查，可根據(jù)政策要求和上級要求進行專項檢查，對發(fā)現(xiàn)的違法違規(guī)行為及時提出整改意見并予以督促落實。

　　第三十條業(yè)務單位存在違反本規(guī)范規(guī)定的，由領導小組辦公室督促整改，逾期未整改或整改不到位的，可根據(jù)情節(jié)嚴重程度暫停其網(wǎng)絡資源使用和新建信息化項目審批等，所產(chǎn)生的一切后果由其自行負責；造成嚴重后果的，由有權機關依照《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)要求，對違反相關法律、法規(guī)和規(guī)章的責任單位和人員給予相應處罰；構成犯罪的，依法追究刑事責任。

　　第八章附 則

　　第三十一條本規(guī)范由市數(shù)據(jù)資源中心負責解釋。

　　第三十二條本規(guī)范自發(fā)布之日起施行。