第一條 為加強(qiáng)公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護(hù),保障信息系統(tǒng)穩(wěn)定正常運(yùn)行,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法律、法規(guī)、規(guī)章的規(guī)定,結(jié)合實(shí)際,制定本辦法。
第二條 本省行政區(qū)域內(nèi)公共資源交易局(中心)的網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)管理工作適用本辦法。
第三條 本辦法所稱網(wǎng)絡(luò)信息系統(tǒng),是指與公共資源交易相關(guān)的軟件系統(tǒng)(電子服務(wù)系統(tǒng)、電子交易系統(tǒng)、電子監(jiān)管系統(tǒng)等),網(wǎng)絡(luò)系統(tǒng)(交換設(shè)備、傳輸設(shè)備、網(wǎng)絡(luò)安全設(shè)備等),硬件設(shè)施(計(jì)算機(jī)、監(jiān)控系統(tǒng)、詢標(biāo)系統(tǒng)、門禁系統(tǒng)等),支撐平臺(tái)(服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)、云平臺(tái)資源等),數(shù)據(jù)資源(各類公共資源交易數(shù)據(jù)、設(shè)備配置信息、系統(tǒng)日志等)。
第四條 公共資源交易局(中心)負(fù)責(zé)本平臺(tái)網(wǎng)絡(luò)信息安全保護(hù)管理工作。
第五條 網(wǎng)絡(luò)信息系統(tǒng)的安全保護(hù),應(yīng)當(dāng)涵蓋公共資源交易相關(guān)軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)。應(yīng)保障所有相關(guān)系統(tǒng)、設(shè)施的功能正常發(fā)揮,應(yīng)保障所有數(shù)據(jù)資源的安全性、合法性和有效性。
第六條 公共資源交易局(中心)應(yīng)當(dāng)構(gòu)建公共資源交易網(wǎng)絡(luò)信息安全防護(hù)體系,保障信息系統(tǒng)及其相關(guān)的設(shè)備、設(shè)施、網(wǎng)絡(luò)安全,保障公共資源交易平臺(tái)運(yùn)行安全和數(shù)據(jù)安全。
第七條 公共資源交易局(中心)應(yīng)當(dāng)履行信息安全主體責(zé)任,按要求對本平臺(tái)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測評(píng),制定本平臺(tái)的網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)預(yù)案,定期開展網(wǎng)絡(luò)安全應(yīng)急演練,提高網(wǎng)絡(luò)安全意識(shí)。
第八條 任何單位和個(gè)人不得利用公共資源交易網(wǎng)絡(luò)信息系統(tǒng)危害國家安全、泄露國家秘密,不得侵犯國家、社會(huì)、企業(yè)利益和公民的合法權(quán)益,不得泄露應(yīng)該保密的信息,不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途,不得從事違法犯罪活動(dòng)。
第九條 公共資源交易局(中心)及其工作人員不得通過任何非法手段接入和使用互聯(lián)網(wǎng)。
第十條 嚴(yán)格管理連接到互聯(lián)網(wǎng)的設(shè)備設(shè)施;對涉及國家秘密及商業(yè)秘密的設(shè)備,必須做到專機(jī)專用,嚴(yán)禁接入互聯(lián)網(wǎng)。
第十一條 所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設(shè)備設(shè)施,要統(tǒng)一規(guī)范設(shè)置IP地址和訪問端口,要通過白名單控制其訪問權(quán)限。
第十二條 通過互聯(lián)網(wǎng)下載的文件,必須經(jīng)過計(jì)算機(jī)病毒和木馬掃描后方可使用。
第十三條 公共資源交易局(中心)須做好接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)及支撐平臺(tái)系統(tǒng)日志的存儲(chǔ)和分析工作,并做好日志備份工作。
第十四條 公共資源交易局(中心)要定期對內(nèi)部局域網(wǎng)進(jìn)行安全掃描,對發(fā)現(xiàn)的漏洞及時(shí)修補(bǔ)、并統(tǒng)一提供修補(bǔ)程序及修補(bǔ)辦法。
第十五條 公共資源交易局(中心)負(fù)責(zé)對內(nèi)部局域網(wǎng)上的設(shè)備設(shè)施的網(wǎng)絡(luò)配置信息進(jìn)行登記管理,對所有設(shè)備的IP地址進(jìn)行統(tǒng)籌分配和登記,局域網(wǎng)內(nèi)部所有設(shè)備必須使用單位統(tǒng)籌分配的IP地址,不得私自修改。
涉及全省遠(yuǎn)程異地評(píng)標(biāo)系統(tǒng)的所有設(shè)備,應(yīng)當(dāng)使用由省公共資源交易局統(tǒng)籌分配的IP地址。
局域網(wǎng)內(nèi)的所有計(jì)算機(jī)、服務(wù)器的工作組名、域名和計(jì)算機(jī)名等配置信息不得隨意修改,防止影響網(wǎng)絡(luò)通訊。
第十六條 任何單位和個(gè)人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡(luò)信息安全的活動(dòng):
(一)未經(jīng)允許訪問、修改和刪除任何設(shè)備設(shè)施的配置信息;
(二)未經(jīng)允許,對公共資源交易相關(guān)的軟件系統(tǒng)、數(shù)據(jù)資源進(jìn)行查閱、刪除、修改;
?。ㄈ┕室庵谱鳌鞑ビ?jì)算機(jī)病毒或木馬等破壞性程序;
?。ㄋ模┢渌:τ?jì)算機(jī)信息網(wǎng)絡(luò)安全的行為。
第十七條 局域網(wǎng)中的計(jì)算機(jī)應(yīng)專人專用,并設(shè)置獨(dú)立的系統(tǒng)賬號(hào)和密碼;對多人共用一臺(tái)計(jì)算機(jī)的,應(yīng)分別設(shè)置每個(gè)人的系統(tǒng)賬號(hào)及密碼,保存在該計(jì)算機(jī)上的涉密資料應(yīng)設(shè)置密碼進(jìn)行保護(hù);系統(tǒng)登錄密碼要定期更改;關(guān)鍵計(jì)算機(jī)應(yīng)當(dāng)設(shè)置定時(shí)屏保及密碼。
第十八條 任何部門或個(gè)人未經(jīng)允許,不得擅自安裝、拆卸或改變軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái),不得擅自訪問和修改數(shù)據(jù)資源。對獲準(zhǔn)允許安裝、拆卸或改變的,進(jìn)行記錄留痕。
第十九條 公共資源交易局(中心)要統(tǒng)一部署國產(chǎn)正版防病毒軟件,所有計(jì)算機(jī)、服務(wù)器都必須安裝防病毒軟件客戶端,并接受服務(wù)端的集中統(tǒng)一管理,未安裝防病毒軟件的計(jì)算機(jī)、服務(wù)器嚴(yán)禁接入內(nèi)部局域網(wǎng)。
第二十條 公共資源交易局(中心)負(fù)責(zé)管理防病毒軟件服務(wù)器,承擔(dān)病毒防御策略制定和病毒特征庫的分發(fā)工作。
第二十一條 公共資源交易局(中心)要確定專人負(fù)責(zé)管理防病毒服務(wù)器,確保防病毒服務(wù)器的正常運(yùn)行和病毒特征庫的及時(shí)更新。防病毒管理員應(yīng)每天定時(shí)對所有計(jì)算機(jī)、服務(wù)器進(jìn)行病毒掃描,發(fā)現(xiàn)病毒的應(yīng)立即查殺。
第二十二條 任何單位和個(gè)人不得擅自停用或刪除計(jì)算機(jī)、服務(wù)器中的防病毒軟件;使用計(jì)算機(jī)、服務(wù)器時(shí)要關(guān)注防病毒軟件的狀態(tài),確保防病毒軟件正常工作;發(fā)現(xiàn)問題及時(shí)與防病毒管理員聯(lián)系。
第二十三條 發(fā)現(xiàn)計(jì)算機(jī)、服務(wù)器感染病毒,應(yīng)立即啟用防病毒軟件進(jìn)行殺毒處理。如發(fā)現(xiàn)無法清除病毒,應(yīng)立即采取如下措施:
?。ㄒ唬┭杆贁嚅_本機(jī)的網(wǎng)絡(luò)連接,做好病毒查殺工作;
?。ǘ┕ぷ魅藛T應(yīng)作好相關(guān)記錄,并立即報(bào)告本單位負(fù)責(zé)人;
?。ㄈ┣闆r嚴(yán)重的,應(yīng)立即啟動(dòng)應(yīng)急預(yù)案,并做好取證工作。
第二十四條 公共資源交易局(中心)統(tǒng)一管理本平臺(tái)信息網(wǎng)絡(luò)系統(tǒng)的賬號(hào)和密碼;密碼要定期更換,長度不少于10位,要采用數(shù)字、字母和符號(hào)組合進(jìn)行設(shè)置;軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和支撐平臺(tái)管理賬號(hào)必須設(shè)置密碼,不得使用系統(tǒng)默認(rèn)密碼;密碼必須采用分段管理方式,有條件的要使用數(shù)字證書進(jìn)行用戶身份認(rèn)證。
第二十五條 公共資源交易局(中心)對來自各種渠道的信息網(wǎng)絡(luò)服務(wù)請求、告警和故障,按照運(yùn)行維護(hù)事件的范圍、影響和緊急程度進(jìn)行處置并做好記錄工作。
第二十六條 軟件系統(tǒng)、支撐平臺(tái)及數(shù)據(jù)資源相關(guān)的運(yùn)行維護(hù)服務(wù)工作包括以下內(nèi)容:
?。ㄒ唬┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的用戶賬號(hào)、密碼和權(quán)限的分配與管理;
?。ǘ┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的運(yùn)行狀態(tài)檢查、資源配置和日志分析;
?。ㄈ┴?fù)責(zé)軟件系統(tǒng)的安裝、測試、升級(jí)、培訓(xùn)、技術(shù)支持等服務(wù),并做好相應(yīng)記錄,要做到處處留痕、可溯可查;
?。ㄋ模┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的安全防護(hù);
?。ㄎ澹┴?fù)責(zé)軟件系統(tǒng)用戶的增加、刪除和修改工作,對系統(tǒng)使用權(quán)限進(jìn)行分配;
(六)負(fù)責(zé)軟件系統(tǒng)和數(shù)據(jù)資源備份,并制定相關(guān)的備份和恢復(fù)策略;
?。ㄆ撸┴?fù)責(zé)完成與各類第三方軟件系統(tǒng)的對接和數(shù)據(jù)交換共享工作;
?。ò耍┴?fù)責(zé)對數(shù)據(jù)資源的完整性、有效性、合法性進(jìn)行校驗(yàn),及時(shí)處理發(fā)現(xiàn)的數(shù)據(jù)問題。
第二十七條 軟件系統(tǒng)及支撐平臺(tái)要滿足以下安全要求:
?。ㄒ唬┸浖到y(tǒng)代碼或數(shù)據(jù)資源的任何修改,必須經(jīng)公共資源交易局(中心)負(fù)責(zé)人審批后進(jìn)行修改并記錄;
?。ǘ┸浖到y(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層(SSL)實(shí)現(xiàn)加密;
(三)軟件系統(tǒng)要具備防結(jié)構(gòu)化查詢語言(SQL)注入功能;
?。ㄋ模┲纹脚_(tái)應(yīng)具備入侵監(jiān)測、病毒查殺、漏洞修復(fù)、網(wǎng)頁防篡改等功能;
?。ㄎ澹┲纹脚_(tái)應(yīng)具備維護(hù)服務(wù)審計(jì)功能,可以全程記錄運(yùn)行維護(hù)服務(wù)人員對支撐平臺(tái)的使用過程,做到可溯可查;
(六)在公共資源交易活動(dòng)中需要提供電子文檔的,應(yīng)當(dāng)使用數(shù)字證書進(jìn)行簽名和加密。
第二十八條 網(wǎng)絡(luò)安全運(yùn)行維護(hù)服務(wù)工作包括以下內(nèi)容:
?。ㄒ唬W(wǎng)絡(luò)安全情況進(jìn)行分析,對系統(tǒng)運(yùn)行過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行監(jiān)控并及時(shí)解決;
(二)全面規(guī)劃和指導(dǎo)系統(tǒng)升級(jí)、網(wǎng)絡(luò)病毒的控制等工作,及時(shí)消除網(wǎng)絡(luò)安全隱患;
(三)負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)的配置,關(guān)閉網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)上非必要的服務(wù)和端口,減少安全隱患;對所有設(shè)備設(shè)施的配置信息和運(yùn)行日志進(jìn)行規(guī)范管理;
?。ㄋ模┌l(fā)生網(wǎng)絡(luò)入侵或攻擊事件時(shí),要具備必須的應(yīng)對手段,能及時(shí)定位到相關(guān)入侵來源,同時(shí)啟動(dòng)應(yīng)急預(yù)案,并配合信息管理部門做好取證工作;
(五)對信息網(wǎng)絡(luò)系統(tǒng)的故障和性能進(jìn)行監(jiān)控,發(fā)現(xiàn)問題及時(shí)解決,并及時(shí)報(bào)告;
(六)負(fù)責(zé)對信息網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中發(fā)生的其他各類問題進(jìn)行及時(shí)處理。
第二十九條 公共資源交易局(中心)工作人員和運(yùn)行維護(hù)單位違反本辦法有關(guān)規(guī)定的,依規(guī)處理;構(gòu)成犯罪的,移送司法機(jī)關(guān)處理。
第三十條 法律、法規(guī)、規(guī)章對網(wǎng)絡(luò)信息安全另有規(guī)定的,從其規(guī)定。
第三十一條 公共資源交易局(中心)應(yīng)與系統(tǒng)運(yùn)行維護(hù)服務(wù)單位簽訂保密協(xié)議。
第三十二條 公共資源交易局(中心)應(yīng)加強(qiáng)安全意識(shí),定期開展網(wǎng)絡(luò)信息系統(tǒng)安全培訓(xùn)和教育,強(qiáng)化工作人員對信息網(wǎng)絡(luò)安全的認(rèn)識(shí),引導(dǎo)工作人員遵守保密制度,同時(shí)不定期對運(yùn)行維護(hù)服務(wù)單位及相關(guān)工作人員進(jìn)行安全制度和技術(shù)知識(shí)考核。
第三十三條 本辦法自發(fā)布之日起施行,有效期5年。
【以上內(nèi)容出自《甘肅省人民政府辦公廳關(guān)于印發(fā) 甘肅省公共資源交易工作有關(guān)意見和辦法的通知》(甘政辦發(fā)〔2019〕107號(hào))(2019年12月2日發(fā)布)】