首页
关于湘君
联系我们
 
电话: 0731-58515137
传真: 0731-58515159
投拆:0731-58515137
邮箱: xiangjunlawfirm@163.com
 >>>友情链接
·中华人民共和国司法部
·中国法院网
 
  首页 > 新闻中心  

 
【湘君法意·湘君递法】保障电子政务外网安全!湖南省办公厅印发《湖南省电子政务外网安全管理暂行办法》!
 详细内容:
发布时间[2020-09-10]
 
【湘君按】8月18日,湖南省人民政府办公厅印发《湖南省电子政务外网安全管理暂行办法》(湘政办发〔2020〕33号,以下简称《办法》),自发布之日起施行。《办法》分为总则、总体要求、职责分工、运维管理、接入管理、安全管理边界、附则共计七大方面37个条款,为努力确保我省电子政务外网安全稳定运行提供了有力保障。
为使读者了解《办法》的内容,现我们将《办法》解读及其全文刊载如下。


湖南省政府发展研究中心解读《湖南省电子政务外网安全管理暂行办法》

一、出台背景
当前,电子政务外网安全现状不容乐观,随时面临着黑客入侵、非法访问、病毒植入、恶意破坏等各种安全威胁,一旦发生问题,后果将不堪设想。为进一步明确各单位各部门的职责分工、运维管理、安全管理边界等内容,努力确保电子政务外网安全稳定运行,编制了《湖南省电子政务外网安全管理暂行办法》(以下简称《办法》),主要基于以下三点考虑:一是国家层面有要求。习近平总书记多次强调,要高度重视网络安全,防范网络风险,增强网络安全防护能力。国家电子政务外网管理中心也发布了《国家电子政务外网网络与信息安全管理暂行办法》,要求各级政务外网管理部门加强安全管理;二是省级层面有部署。湖南省委副书记、省长许达哲在多个场合指出,“网络安全事关国家安全和高质量发展”,要紧紧围绕新常态下信息化建设的要求,提升网络安全保障能力”,这为我们抓好外网安全管理指明了方向;三是落实层面有需要。近年来,湖南省政务外网建设发展迅速,到今年6月底,已经覆盖全省所有行政村以上区域。使用广度和频次达到历史新高,对政务外网的安全管理提出了更高要求。同时,湖南省的政务外网时刻面临着安全威胁,据统计,2019年全年电子政务外网统一云平台遭受到2880万余次的安全攻击,十分危险,迫切需要制定安全管理办法,加强管理应对突发情况,保证政务外网安全稳定运行。

  二、主要内容
  (一)总则
  第一条提出编制《办法》的依据。根据《中华人民共和国网络安全法》等有关法律、法规,以及国家电子政务外网的各项标准规范,制定本办法。
  第二条明确了省政务外网的组成。省政务外网是国家电子政务外网的组成部分,由省、市(州)、县(市、区)、乡(镇、街道)、行政村(社区)五级政务外网组成,上联国家,横向连接各级党委、人大、政府、政协、法院、检察院及其所直属各部门(单位),纵向覆盖省、市(州)、县(市、区)、乡(镇、街道)、行政村(社区)。
  第三条明确了《办法》的适用范围。本办法适用本省政务外网建设运维安全管理单位,依托政务外网开展信息化系统建设的各级政务部门,以及接入各级政务外网的各单位。
  (二)总体要求
  第四条明确了各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)的责任和义务。各级政务外网管理单位要严格落实网络安全工作责任制,履行关键信息基础设施的相关安全保护义务,做好采购产品和服务的安全评估工作,采取措施严格保护政务外网安全。
  第五、第六条明确了省、市政务外网的接入标准和要求。省级和市(州)级政务外网应达到等级保护2.0三级标准,县级政务外网应达到等级保护2.0二级标准;接入政务外网的信息化系统正式对外提供服务之前,应当按照国家网络安全等级保护制度要求,落实网络安全主体责任和安全技术措施,完成等级保护测评备案、整改加固,通过验收后方可正式上线提供服务。接入政务外网的信息化系统,应当使用由具备资格的机构检测认证合格的商用密码产品,进行加密保护和安全认证。
  (三)职责分工
  第七条明确省政务外网的建设和管理职能。省政务外网按照“谁管理谁负责、谁建设谁负责、谁使用谁负责、谁发布谁负责”的原则,分级建设、分级管理、各负其责。
  第八条明确了安全责任。各级政务外网管理单位是本级政务外网的安全责任主体,各政务外网接入单位是本单位的安全责任主体。
  第九条明确了制定安全管理制度的要求。各级政务外网管理单位应参照本办法制定本级政务外网安全管理制度,并将制度报上一级政务外网管理单位进行备案。各政务外网接入单位应制定本单位的信息安全管理制度,并报本级政务外网管理单位备案。
  (四)运维管理
  第十条明确了政务外网的建设、运维和管理经费。各级政务外网管理单位应做好安全保障系统的规划、设计和建设工作,落实好运行维护管理中的安全检查、等级保护测评和风险评估等工作责任。各级财政应切实保障本级政务外网的建设、运维和安全管理经费。
  第十一条明确了网络安全监控工作。各级政务外网管理单位要开展网络安全监控工作,及时发现、定位、分析、处置安全事件,每6个月向上一级政务外网管理单位汇报网络安全状况。发生重大网络安全事件的,应立即报告公安、网信、国安等信息安全主管职能部门。
  第十二、第十三条明确了应急和审计工作。
  第十四条明确了安全检查和风险评估。
  第十五条明确了信息安全通报制度。各级政务外网管理单位要建立信息安全定期通报制度,每3个月向上一级政务外网管理单位通报本级政务外网出现的信息安全事件。
  第十六、第十七、第十八条明确了管理人员的教育和管理原则。
  第十九条明确了管理、使用政务外网的各级单位的保密工作要求。
  第二十条明确提出了政务外网管理单位应当对运维机构、人员进行安全审查,对人员准入进行规范。
  (五)接入管理
  第二十一、第二十二条明确了对接入政务外网的单位的要求。接入政务外网的单位,应统一使用政务外网的互联网出口。
  第二十三条明确了对接入政务外网的单位局域网或业务系统的要求。
  第二十四条、第二十五条明确了对单机接入政务外网和通过拨号或VPN方式接入政务外网的单位的要求。
  第二十六条明确了所有依托于政务外网运行的应用系统开放端口的要求。所有依托于政务外网运行的应用系统,所开放的端口应由使用单位提出要求并对每个端口的用途做出说明,经本级政务外网管理单位核准后开放。
  第二十七条明确了各单位独立的业务专网如需与政务外网进行数据交换或迁入政务外网的要求。各单位如果有独立的业务专网,并且业务专网需要与政务外网进行数据交换,使用单位应当自行在业务专网和政务外网之间部署隔离设备,并由各单位自行负责数据摆渡。
  将现有业务专网迁入政务外网内运行的单位,迁移方案须经过省政府发展研究中心同意。
  第二十八条明确了对各单位依托于政务外网新建业务专网的要求。各单位依托于省政务外网新建业务专网,应首先与本级政务外网管理单位进行沟通,建设方案须经过本级政务外网管理单位同意,并报省政府发展研究中心备案。
  第二十九条明确了对依托省政务外网运行的业务专网的要求。依托于省政务外网运行的业务专网,应当与政务外网内的其他专网互相隔离。
  (六)安全管理边界
  第三十条明确了各级政务外网管理单位的责任。各级政务外网管理单位应防止本级政务外网内的设备攻击本级以外政务外网。
  第三十一条明确了接入政务外网的单位的责任。所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全,避免引入病毒或木马,需保障本单位所辖的账户的安全,避免账户信息泄漏,对所辖账户的所有操作负责。接入政务外网的单位应防止本单位局域网设备攻击本级政务外网或本级以外政务外网,如果出现这种情况,该接入单位应负责进行溯源、查杀等安全处置。
  第三十二条明确了使用和应用规定。使用省级政务外网网络、云平台、大数据平台及其他基础设施的单位,应严格控制所申请资源的使用范围,不得利用省级政务外网的网络、算力、存储、数据、基础设施等资源开展批准范围之外的应用。
  第三十三条明确了省直单位的责任。使用省级政务外网统一云平台部署应用系统的省直单位,负责虚拟主机的操作系统、中间件及应用系统的安全和数据安全,并应对该系统的访问控制进行优化,提出最小化开放策略。
第三十四、第三十五、三十六条明确了利用政务外网的单位的责任。设备托管在政务外网机房的单位,要保障托管设备及其系统层、应用层的安全和数据安全。利用政务外网的机房、设备搭建业务专网的单位,要保障该专网的安全。利用省级政务外网短信网关、网站集约化平台、邮件系统等基础设施平台发布信息的单位,对本单位发布的信息内容负责。

  三、主要特点
  一是起草依据充足。根据《中华人民共和国网络安全法》等有关法律、法规、政策、标准,以及国家电子政务外网的各项标准规范,来编制本《办法》。
  二是职责分工明确。确立了政务外网的建设和管理原则,明确了省政府发展研究中心、省公安厅、省互联网信息办公室、各市(州)人民政府、县(市、区)人民政府、接入省政务外网的单位的职责,强化了安全责任主体。
  三是安全管理边界划分到位。对各级政务外网管理单位、接入政务外网的单位、利用政务外网资源的单位的安全管理边界提出了明确的要求,边界划分细致、周全到位。
  四是安全措施有力。《办法》中总体要求具体,明确了各级外网管理单位的责任和义务以及省、市政务外网的接入标准和要求,细化了运维管理、接入管理的安全保护措施,明确了安全责任人,有力地保障了安全责任扎扎实实的落实。


湖南省人民政府办公厅关于印发《湖南省电子政务外网安全管理暂行办法》的通知

湘政办发〔2020〕33号

各市州、县市区人民政府,省政府各厅委、各直属机构:
《湖南省电子政务外网安全管理暂行办法》已经省人民政府同意,现印发给你们,请认真组织实施。

湖南省人民政府办公厅
2020年8月18日

(此件主动公开)


湖南省电子政务外网安全管理暂行办法

第一章 总则
  第一条 为保障湖南省电子政务外网(以下简称省政务外网)的运行安全,落实政务外网相关部门的安全责任,根据《中华人民共和国网络安全法》等有关法律、法规,以及国家电子政务外网的各项标准规范,结合我省实际,制定本办法。
  第二条 省政务外网是国家电子政务外网的组成部分,由省、市州、县市区、乡镇(街道)、行政村(社区)五级政务外网组成,上联国家,横向连接各级党委、人大、政府、政协、法院、检察院及其所直属各部门(单位),纵向覆盖省、市州、县市区、乡镇(街道)、行政村(社区)。政务外网是我省电子政务的公共基础设施,承载全省政务部门非涉密信息化系统,实现基础信息资源开放共享。
  第三条 本办法适用于本省政务外网各级建设运维安全管理单位,依托政务外网开展信息化系统建设的各级政务部门,以及接入政务外网的各单位。
第二章 总体要求
  第四条 各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)要严格落实网络安全工作责任制,履行关键信息基础设施的相关安全保护义务,做好采购产品和服务的安全评估工作,采取措施保护政务外网安全。
  第五条 省级和市级政务外网应达到等级保护2.0三级标准,县级政务外网应达到等级保护2.0二级标准。
  接入政务外网的信息化系统正式对外提供服务前,应当按照国家网络安全等级保护制度要求,落实网络安全主体责任和安全技术措施,完成等级保护测评备案、整改加固,通过验收后方可正式上线提供服务。
  第六条 接入政务外网的信息化系统,应当使用由具备资格的机构检测认证合格的商用密码产品,进行加密保护和安全认证。
第三章 职责分工
  第七条 政务外网按照“谁管理谁负责、谁建设谁负责、谁使用谁负责、谁发布谁负责”的原则,分级建设、分级管理、各负其责。
  省政府发展研究中心(省政府政务服务中心)负责全省政务外网建设的整体规划,制定本省政务外网的标准规范,负责省级政务外网的建设、运维及安全管理工作,指导全省政务外网的建设、运维及安全管理工作,制定电子政务外网统一接入标准,定期组织市州及县市区开展相关业务培训,并向国家政务外网管理部门报告。
  省公安厅负责政务外网网络安全的监督、检查、指导和违法犯罪案件的查处。
  省互联网信息办公室负责统筹协调政务外网网络安全工作和相关监督管理工作。
  各市州人民政府应明确一个本级政务外网管理单位,负责本级政务外网的统一建设、运维及安全管理工作。各县市区人民政府应明确一个本级政务外网管理单位,负责本级以及下辖乡镇(街道)、行政村(社区)的政务外网统一建设、运维及安全管理工作。
  接入政务外网的单位负责本单位局域网和接入政务外网的信息系统安全,负责本单位发布内容安全。
  各级政务外网使用单位应当确定至少两名本单位工作人员作为政务外网安全联系人,并且将联系人名单提交给本级政务外网管理单位。
  第八条 各级政务外网管理单位是本级政务外网的安全责任主体,各政务外网接入单位是本单位政务外网的安全责任主体。
  政务外网安全工作实行领导责任制。各级政务外网管理单位主要领导是本级政务外网安全第一责任人,分管政务外网的领导是直接责任人;各接入单位的主要领导是本单位政务外网安全的第一责任人。
  各运营商、承建商、运维公司、外包服务公司等按合同规定承担相应的安全责任。
  第九条 各级政务外网管理单位参照本办法制定本级政务外网安全管理制度,报上一级政务外网管理单位备案。各政务外网接入单位应制定本单位的信息安全管理制度,报本级政务外网管理单位备案。
第四章 运维管理
  第十条 各级政务外网管理单位应做好安全保障系统的规划、设计和建设工作,落实运行维护管理中的安全检查、等级保护测评和风险评估等工作责任。各级财政应保障本级政务外网的建设、运维和安全管理经费。
  第十一条 各级政务外网管理单位要开展网络安全监控工作,及时发现、定位、分析、处置安全事件,每6个月向上一级政务外网管理单位汇报网络安全状况。发生重大网络安全事件的,应立即报告公安、网信、国安等信息安全主管职能部门。
  第十二条 各级政务外网管理单位都应组织制定本级政务外网网络与信息安全应急预案,并定期开展应急演练。
  第十三条 各级政务外网管理单位都要加强安全审计工作,审计记录的保存时间不少于6个月。
  第十四条 各级政务外网管理单位应当按照国家政务外网安全检查和风险评估统一要求,定期组织开展网络与信息安全自查和风险评估,并按照信息安全主管职能部门和上级政务外网管理单位的要求做好本级政务外网信息安全检查和风险评估工作。
  各级政务外网管理单位应将本级政务外网自查结果及时报上一级政务外网管理单位。在自查中发现接入单位存在问题的,应责成存在问题的单位进行整改。对问题较严重的单位,原则上应立即断开其政务外网连接,待整改完成后再重新接入。
  第十五条 各级政务外网管理单位要建立信息安全定期报告制度,每3个月向上一级政务外网管理单位报告本级政务外网出现的信息安全事件。
  第十六条 各级政务外网管理单位要加强信息安全教育,每年至少对本级从事信息安全工作的人员开展一次专业技术培训。
  第十七条 各级政务外网管理单位及接入部门应对从事政务外网信息安全工作的人员按照“分工负责、职责明确、最小授权和任期有限”的原则进行管理。
  第十八条 各级政务外网管理单位应设置系统管理、安全管理和安全审计岗位,分别负责网络运行、安全和审计工作。系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。
  第十九条 管理、使用政务外网的各级单位,应当同运维机构签订保密协议,并且约定运维机构同运维人员个人签订保密协议。运维机构签署的所有的保密协议都应当提交到政务外网的管理、使用单位备案。
  第二十条 政务外网管理单位应当对运维机构、人员进行安全审查,对人员准入进行规范。
第五章 接入管理
  第二十一条 接入政务外网的单位,应统一使用政务外网的互联网出口。如果单位确实需要独立的互联网出口,应报本级政务外网管理单位备案。
  第二十二条 各级政务外网管理单位部署在各接入单位的设备,由政务外网管理单位管理运维,各接入单位无权登录,不得擅自关闭设备、修改配置。
  未经政务外网管理单位许可,各接入单位不得改变政务外网接口的网络设备、结构或配置,不得在政务外网上搭接无线网络设备。
  第二十三条 通过专线方式接入政务外网的单位局域网或业务系统,接入单位要保障本单位网络、系统的安全,应参照所接入政务外网的等级保护级别标准(二级或三级),按照国家等级保护工作要求,开展测评整改,明确接入网络安全责任人。达到所接入政务外网的安全标准后,方能接入政务外网。
  专线接入政务外网的单位应防止本单位局域网内的设备对政务外网进行攻击。如果出现这类情况,应根据攻击情况和系统影响范围报本级政务外网管理单位后断开政务外网连接,进行溯源、查杀等安全处置。
  第二十四条 单机接入政务外网的,应明确安全责任人,保证接入政务外网的单机安全,避免中病毒或木马,避免成为攻击政务外网的跳板。当发现接入政务外网的单机有异常情况时,应先断开与政务外网的连接,立即对事故进行处置,并将异常情况及处置结果及时报本级政务外网管理单位。
  第二十五条 通过拨号或VPN方式接入政务外网的单位,应明确安全责任人,要保障接入账号及接入终端的安全,避免非授权用户获取账号密码信息接入政务外网,避免含有恶意软件的终端接入政务外网。接入政务外网后不得有危害政务外网安全的行为。当发现接入政务外网的终端有异常情况时,应先断开与政务外网的连接,立即对事故进行处置,并将异常情况及处置结果及时报本级政务外网管理单位。
  第二十六条 所有依托于政务外网运行的应用系统,所开放的端口应由使用单位提出要求并对每个端口的用途做出说明,经本级政务外网管理单位核准后开放。
  第二十七条 各单位如果有独立的业务专网,并且业务专网需要与政务外网进行数据交换,使用单位应当自行在业务专网和政务外网之间部署隔离设备,并由各单位自行负责数据摆渡。
  将现有业务专网迁入政务外网内运行的单位,迁移方案须经过省政府发展研究中心同意。
  第二十八条 各单位依托于省政务外网新建业务专网,应首先与本级政务外网管理单位进行沟通,建设方案须经过本级政务外网管理单位同意,并报省政府发展研究中心备案。
  第二十九条 依托于省政务外网运行的业务专网,应当与政务外网内的其他专网互相隔离。
第六章 安全管理边界
  第三十条 各级政务外网管理单位应防止本级政务外网内的设备攻击本级以外政务外网。如果出现这种情况,由故障设备所属政务外网管理单位负责开展溯源、查杀等安全处置。
  第三十一条 所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全,避免引入病毒或木马,需保障本单位所辖账户的安全,避免账户信息泄漏,对所辖账户的所有操作负责。接入政务外网的单位应防止本单位局域网设备攻击政务外网。如果出现这种情况,由接入单位负责开展溯源、查杀等安全处置。
  第三十二条 使用省级政务外网网络、云平台、大数据平台及其他基础设施的单位,应严格控制所申请资源的使用范围,不得利用省级政务外网的网络、算力、存储、数据、基础设施等资源开展批准范围之外的应用。
  第三十三条 使用省级政务外网统一云平台部署应用系统的省直单位,负责虚拟主机的操作系统、中间件及应用系统的安全和数据安全,并对该系统的访问控制进行优化,提出最小化开放策略。
  第三十四条 设备托管在政务外网机房的单位,要保障托管设备及其系统层、应用层的安全和数据安全。
  第三十五条 利用政务外网的机房、设备搭建业务专网的单位,要保障该专网的安全。
  第三十六条 利用省级政务外网短信网关、网站集约化平台、邮件系统等基础设施平台发布信息的单位,对本单位发布的信息内容负责。
第七章 附则
  第三十七条 本办法自发布之日起施行。
 
 
 

湖南湘君律师事务所 技术支持:湘企互联
地址:湖南湘潭市吉安路77号中瀚财富广场A座20层 电话:0731-58515137 传真:0731-58515159
版权所有:湖南湘君律师事务 1998-2010 湘ICP备52018183