第一條 為加強公共資源交易信息系統和交易數據安全保護,保障信息系統穩定正常運行,根據《中華人民共和國網絡安全法》《中華人民共和國計算機信息系統安全保護條例》《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等有關法律、法規、規章的規定,結合實際,制定本辦法。
第二條 本省行政區域內公共資源交易局(中心)的網絡信息系統安全保護管理工作適用本辦法。
第三條 本辦法所稱網絡信息系統,是指與公共資源交易相關的軟件系統(電子服務系統、電子交易系統、電子監管系統等),網絡系統(交換設備、傳輸設備、網絡安全設備等),硬件設施(計算機、監控系統、詢標系統、門禁系統等),支撐平臺(服務器、數據庫、存儲、云平臺資源等),數據資源(各類公共資源交易數據、設備配置信息、系統日志等)。
第四條 公共資源交易局(中心)負責本平臺網絡信息安全保護管理工作。
第五條 網絡信息系統的安全保護,應當涵蓋公共資源交易相關軟件系統、網絡系統、硬件設施和支撐平臺。應保障所有相關系統、設施的功能正常發揮,應保障所有數據資源的安全性、合法性和有效性。
第六條 公共資源交易局(中心)應當構建公共資源交易網絡信息安全防護體系,保障信息系統及其相關的設備、設施、網絡安全,保障公共資源交易平臺運行安全和數據安全。
第七條 公共資源交易局(中心)應當履行信息安全主體責任,按要求對本平臺信息系統進行安全等級保護測評,制定本平臺的網絡信息安全應急響應預案,定期開展網絡安全應急演練,提高網絡安全意識。
第八條 任何單位和個人不得利用公共資源交易網絡信息系統危害國家安全、泄露國家秘密,不得侵犯國家、社會、企業利益和公民的合法權益,不得泄露應該保密的信息,不得將重要敏感數據擅自公開及用于商業用途,不得從事違法犯罪活動。
第九條 公共資源交易局(中心)及其工作人員不得通過任何非法手段接入和使用互聯網。
第十條 嚴格管理連接到互聯網的設備設施;對涉及國家秘密及商業秘密的設備,必須做到專機專用,嚴禁接入互聯網。
第十一條 所有需要連接互聯網或允許通過互聯網訪問的設備設施,要統一規范設置IP地址和訪問端口,要通過白名單控制其訪問權限。
第十二條 通過互聯網下載的文件,必須經過計算機病毒和木馬掃描后方可使用。
第十三條 公共資源交易局(中心)須做好接入互聯網的網絡系統及支撐平臺系統日志的存儲和分析工作,并做好日志備份工作。
第十四條 公共資源交易局(中心)要定期對內部局域網進行安全掃描,對發現的漏洞及時修補、并統一提供修補程序及修補辦法。
第十五條 公共資源交易局(中心)負責對內部局域網上的設備設施的網絡配置信息進行登記管理,對所有設備的IP地址進行統籌分配和登記,局域網內部所有設備必須使用單位統籌分配的IP地址,不得私自修改。
涉及全省遠程異地評標系統的所有設備,應當使用由省公共資源交易局統籌分配的IP地址。
局域網內的所有計算機、服務器的工作組名、域名和計算機名等配置信息不得隨意修改,防止影響網絡通訊。
第十六條 任何單位和個人不得從事下列危害內部局域網網絡信息安全的活動:
(一)未經允許訪問、修改和刪除任何設備設施的配置信息;
(二)未經允許,對公共資源交易相關的軟件系統、數據資源進行查閱、刪除、修改;
(三)故意制作、傳播計算機病毒或木馬等破壞性程序;
(四)其他危害計算機信息網絡安全的行為。
第十七條 局域網中的計算機應專人專用,并設置獨立的系統賬號和密碼;對多人共用一臺計算機的,應分別設置每個人的系統賬號及密碼,保存在該計算機上的涉密資料應設置密碼進行保護;系統登錄密碼要定期更改;關鍵計算機應當設置定時屏保及密碼。
第十八條 任何部門或個人未經允許,不得擅自安裝、拆卸或改變軟件系統、網絡系統、硬件設施和支撐平臺,不得擅自訪問和修改數據資源。對獲準允許安裝、拆卸或改變的,進行記錄留痕。
第十九條 公共資源交易局(中心)要統一部署國產正版防病毒軟件,所有計算機、服務器都必須安裝防病毒軟件客戶端,并接受服務端的集中統一管理,未安裝防病毒軟件的計算機、服務器嚴禁接入內部局域網。
第二十條 公共資源交易局(中心)負責管理防病毒軟件服務器,承擔病毒防御策略制定和病毒特征庫的分發工作。
第二十一條 公共資源交易局(中心)要確定專人負責管理防病毒服務器,確保防病毒服務器的正常運行和病毒特征庫的及時更新。防病毒管理員應每天定時對所有計算機、服務器進行病毒掃描,發現病毒的應立即查殺。
第二十二條 任何單位和個人不得擅自停用或刪除計算機、服務器中的防病毒軟件;使用計算機、服務器時要關注防病毒軟件的狀態,確保防病毒軟件正常工作;發現問題及時與防病毒管理員聯系。
第二十三條 發現計算機、服務器感染病毒,應立即啟用防病毒軟件進行殺毒處理。如發現無法清除病毒,應立即采取如下措施:
(一)迅速斷開本機的網絡連接,做好病毒查殺工作;
(二)工作人員應作好相關記錄,并立即報告本單位負責人;
(三)情況嚴重的,應立即啟動應急預案,并做好取證工作。
第二十四條 公共資源交易局(中心)統一管理本平臺信息網絡系統的賬號和密碼;密碼要定期更換,長度不少于10位,要采用數字、字母和符號組合進行設置;軟件系統、網絡系統和支撐平臺管理賬號必須設置密碼,不得使用系統默認密碼;密碼必須采用分段管理方式,有條件的要使用數字證書進行用戶身份認證。
第二十五條 公共資源交易局(中心)對來自各種渠道的信息網絡服務請求、告警和故障,按照運行維護事件的范圍、影響和緊急程度進行處置并做好記錄工作。
第二十六條 軟件系統、支撐平臺及數據資源相關的運行維護服務工作包括以下內容:
(一)負責軟件系統支撐平臺的用戶賬號、密碼和權限的分配與管理;
(二)負責軟件系統支撐平臺的運行狀態檢查、資源配置和日志分析;
(三)負責軟件系統的安裝、測試、升級、培訓、技術支持等服務,并做好相應記錄,要做到處處留痕、可溯可查;
(四)負責軟件系統支撐平臺的安全防護;
(五)負責軟件系統用戶的增加、刪除和修改工作,對系統使用權限進行分配;
(六)負責軟件系統和數據資源備份,并制定相關的備份和恢復策略;
(七)負責完成與各類第三方軟件系統的對接和數據交換共享工作;
(八)負責對數據資源的完整性、有效性、合法性進行校驗,及時處理發現的數據問題。
第二十七條 軟件系統及支撐平臺要滿足以下安全要求:
(一)軟件系統代碼或數據資源的任何修改,必須經公共資源交易局(中心)負責人審批后進行修改并記錄;
(二)軟件系統中的數據傳輸要采用安全套接層(SSL)實現加密;
(三)軟件系統要具備防結構化查詢語言(SQL)注入功能;
(四)支撐平臺應具備入侵監測、病毒查殺、漏洞修復、網頁防篡改等功能;
(五)支撐平臺應具備維護服務審計功能,可以全程記錄運行維護服務人員對支撐平臺的使用過程,做到可溯可查;
(六)在公共資源交易活動中需要提供電子文檔的,應當使用數字證書進行簽名和加密。
第二十八條 網絡安全運行維護服務工作包括以下內容:
(一)對網絡安全情況進行分析,對系統運行過程中出現的網絡安全問題進行監控并及時解決;
(二)全面規劃和指導系統升級、網絡病毒的控制等工作,及時消除網絡安全隱患;
(三)負責網絡系統、硬件設施和支撐平臺的配置,關閉網絡系統、硬件設施和支撐平臺上非必要的服務和端口,減少安全隱患;對所有設備設施的配置信息和運行日志進行規范管理;
(四)發生網絡入侵或攻擊事件時,要具備必須的應對手段,能及時定位到相關入侵來源,同時啟動應急預案,并配合信息管理部門做好取證工作;
(五)對信息網絡系統的故障和性能進行監控,發現問題及時解決,并及時報告;
(六)負責對信息網絡系統運行過程中發生的其他各類問題進行及時處理。
第二十九條 公共資源交易局(中心)工作人員和運行維護單位違反本辦法有關規定的,依規處理;構成犯罪的,移送司法機關處理。
第三十條 法律、法規、規章對網絡信息安全另有規定的,從其規定。
第三十一條 公共資源交易局(中心)應與系統運行維護服務單位簽訂保密協議。
第三十二條 公共資源交易局(中心)應加強安全意識,定期開展網絡信息系統安全培訓和教育,強化工作人員對信息網絡安全的認識,引導工作人員遵守保密制度,同時不定期對運行維護服務單位及相關工作人員進行安全制度和技術知識考核。
第三十三條 本辦法自發布之日起施行,有效期5年。
【以上內容出自《甘肅省人民政府辦公廳關于印發 甘肅省公共資源交易工作有關意見和辦法的通知》(甘政辦發〔2019〕107號)(2019年12月2日發布)】