第一條 為加強公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護(hù),保障信息系統(tǒng)穩(wěn)定正常運行��,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法律��、法規(guī)、規(guī)章的規(guī)定����,結(jié)合實際���,制定本辦法。
第二條 本省行政區(qū)域內(nèi)公共資源交易局(中心)的網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)管理工作適用本辦法���。
第三條 本辦法所稱網(wǎng)絡(luò)信息系統(tǒng)��,是指與公共資源交易相關(guān)的軟件系統(tǒng)(電子服務(wù)系統(tǒng)���、電子交易系統(tǒng)、電子監(jiān)管系統(tǒng)等)����,網(wǎng)絡(luò)系統(tǒng)(交換設(shè)備、傳輸設(shè)備�����、網(wǎng)絡(luò)安全設(shè)備等)���,硬件設(shè)施(計算機���、監(jiān)控系統(tǒng)�����、詢標(biāo)系統(tǒng)��、門禁系統(tǒng)等)����,支撐平臺(服務(wù)器���、數(shù)據(jù)庫��、存儲��、云平臺資源等)���,數(shù)據(jù)資源(各類公共資源交易數(shù)據(jù)、設(shè)備配置信息��、系統(tǒng)日志等)��。
第四條 公共資源交易局(中心)負(fù)責(zé)本平臺網(wǎng)絡(luò)信息安全保護(hù)管理工作���。
第五條 網(wǎng)絡(luò)信息系統(tǒng)的安全保護(hù)���,應(yīng)當(dāng)涵蓋公共資源交易相關(guān)軟件系統(tǒng)����、網(wǎng)絡(luò)系統(tǒng)�����、硬件設(shè)施和支撐平臺�����。應(yīng)保障所有相關(guān)系統(tǒng)����、設(shè)施的功能正常發(fā)揮���,應(yīng)保障所有數(shù)據(jù)資源的安全性���、合法性和有效性。
第六條 公共資源交易局(中心)應(yīng)當(dāng)構(gòu)建公共資源交易網(wǎng)絡(luò)信息安全防護(hù)體系����,保障信息系統(tǒng)及其相關(guān)的設(shè)備�����、設(shè)施��、網(wǎng)絡(luò)安全��,保障公共資源交易平臺運行安全和數(shù)據(jù)安全�。
第七條 公共資源交易局(中心)應(yīng)當(dāng)履行信息安全主體責(zé)任�,按要求對本平臺信息系統(tǒng)進(jìn)行安全等級保護(hù)測評,制定本平臺的網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)預(yù)案����,定期開展網(wǎng)絡(luò)安全應(yīng)急演練,提高網(wǎng)絡(luò)安全意識��。
第八條 任何單位和個人不得利用公共資源交易網(wǎng)絡(luò)信息系統(tǒng)危害國家安全��、泄露國家秘密��,不得侵犯國家����、社會����、企業(yè)利益和公民的合法權(quán)益���,不得泄露應(yīng)該保密的信息�,不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途���,不得從事違法犯罪活動����。
第九條 公共資源交易局(中心)及其工作人員不得通過任何非法手段接入和使用互聯(lián)網(wǎng)����。
第十條 嚴(yán)格管理連接到互聯(lián)網(wǎng)的設(shè)備設(shè)施���;對涉及國家秘密及商業(yè)秘密的設(shè)備�,必須做到專機專用�,嚴(yán)禁接入互聯(lián)網(wǎng)。
第十一條 所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設(shè)備設(shè)施�����,要統(tǒng)一規(guī)范設(shè)置IP地址和訪問端口,要通過白名單控制其訪問權(quán)限�。
第十二條 通過互聯(lián)網(wǎng)下載的文件,必須經(jīng)過計算機病毒和木馬掃描后方可使用�。
第十三條 公共資源交易局(中心)須做好接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)及支撐平臺系統(tǒng)日志的存儲和分析工作,并做好日志備份工作��。
第十四條 公共資源交易局(中心)要定期對內(nèi)部局域網(wǎng)進(jìn)行安全掃描���,對發(fā)現(xiàn)的漏洞及時修補����、并統(tǒng)一提供修補程序及修補辦法����。
第十五條 公共資源交易局(中心)負(fù)責(zé)對內(nèi)部局域網(wǎng)上的設(shè)備設(shè)施的網(wǎng)絡(luò)配置信息進(jìn)行登記管理,對所有設(shè)備的IP地址進(jìn)行統(tǒng)籌分配和登記��,局域網(wǎng)內(nèi)部所有設(shè)備必須使用單位統(tǒng)籌分配的IP地址��,不得私自修改�����。
涉及全省遠(yuǎn)程異地評標(biāo)系統(tǒng)的所有設(shè)備,應(yīng)當(dāng)使用由省公共資源交易局統(tǒng)籌分配的IP地址�����。
局域網(wǎng)內(nèi)的所有計算機����、服務(wù)器的工作組名、域名和計算機名等配置信息不得隨意修改�,防止影響網(wǎng)絡(luò)通訊。
第十六條 任何單位和個人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡(luò)信息安全的活動:
?��。ㄒ唬┪唇?jīng)允許訪問����、修改和刪除任何設(shè)備設(shè)施的配置信息����;
?��。ǘ┪唇?jīng)允許����,對公共資源交易相關(guān)的軟件系統(tǒng)、數(shù)據(jù)資源進(jìn)行查閱�、刪除、修改�����;
?���。ㄈ┕室庵谱鳌鞑ビ嬎銠C病毒或木馬等破壞性程序��;
?����。ㄋ模┢渌:τ嬎銠C信息網(wǎng)絡(luò)安全的行為�����。
第十七條 局域網(wǎng)中的計算機應(yīng)專人專用�����,并設(shè)置獨立的系統(tǒng)賬號和密碼���;對多人共用一臺計算機的�����,應(yīng)分別設(shè)置每個人的系統(tǒng)賬號及密碼�,保存在該計算機上的涉密資料應(yīng)設(shè)置密碼進(jìn)行保護(hù);系統(tǒng)登錄密碼要定期更改��;關(guān)鍵計算機應(yīng)當(dāng)設(shè)置定時屏保及密碼��。
第十八條 任何部門或個人未經(jīng)允許���,不得擅自安裝�����、拆卸或改變軟件系統(tǒng)���、網(wǎng)絡(luò)系統(tǒng)��、硬件設(shè)施和支撐平臺����,不得擅自訪問和修改數(shù)據(jù)資源���。對獲準(zhǔn)允許安裝、拆卸或改變的����,進(jìn)行記錄留痕。
第十九條 公共資源交易局(中心)要統(tǒng)一部署國產(chǎn)正版防病毒軟件���,所有計算機����、服務(wù)器都必須安裝防病毒軟件客戶端���,并接受服務(wù)端的集中統(tǒng)一管理�����,未安裝防病毒軟件的計算機�、服務(wù)器嚴(yán)禁接入內(nèi)部局域網(wǎng)�。
第二十條 公共資源交易局(中心)負(fù)責(zé)管理防病毒軟件服務(wù)器,承擔(dān)病毒防御策略制定和病毒特征庫的分發(fā)工作���。
第二十一條 公共資源交易局(中心)要確定專人負(fù)責(zé)管理防病毒服務(wù)器�,確保防病毒服務(wù)器的正常運行和病毒特征庫的及時更新。防病毒管理員應(yīng)每天定時對所有計算機�����、服務(wù)器進(jìn)行病毒掃描�����,發(fā)現(xiàn)病毒的應(yīng)立即查殺���。
第二十二條 任何單位和個人不得擅自停用或刪除計算機����、服務(wù)器中的防病毒軟件��;使用計算機��、服務(wù)器時要關(guān)注防病毒軟件的狀態(tài)����,確保防病毒軟件正常工作;發(fā)現(xiàn)問題及時與防病毒管理員聯(lián)系�����。
第二十三條 發(fā)現(xiàn)計算機��、服務(wù)器感染病毒�,應(yīng)立即啟用防病毒軟件進(jìn)行殺毒處理。如發(fā)現(xiàn)無法清除病毒��,應(yīng)立即采取如下措施:
?���。ㄒ唬┭杆贁嚅_本機的網(wǎng)絡(luò)連接,做好病毒查殺工作�;
(二)工作人員應(yīng)作好相關(guān)記錄�����,并立即報告本單位負(fù)責(zé)人�����;
?���。ㄈ┣闆r嚴(yán)重的,應(yīng)立即啟動應(yīng)急預(yù)案����,并做好取證工作��。
第二十四條 公共資源交易局(中心)統(tǒng)一管理本平臺信息網(wǎng)絡(luò)系統(tǒng)的賬號和密碼�;密碼要定期更換��,長度不少于10位�����,要采用數(shù)字��、字母和符號組合進(jìn)行設(shè)置���;軟件系統(tǒng)�、網(wǎng)絡(luò)系統(tǒng)和支撐平臺管理賬號必須設(shè)置密碼�,不得使用系統(tǒng)默認(rèn)密碼;密碼必須采用分段管理方式����,有條件的要使用數(shù)字證書進(jìn)行用戶身份認(rèn)證。
第二十五條 公共資源交易局(中心)對來自各種渠道的信息網(wǎng)絡(luò)服務(wù)請求���、告警和故障�,按照運行維護(hù)事件的范圍、影響和緊急程度進(jìn)行處置并做好記錄工作���。
第二十六條 軟件系統(tǒng)、支撐平臺及數(shù)據(jù)資源相關(guān)的運行維護(hù)服務(wù)工作包括以下內(nèi)容:
?���。ㄒ唬┴?fù)責(zé)軟件系統(tǒng)支撐平臺的用戶賬號、密碼和權(quán)限的分配與管理�����;
?����。ǘ┴?fù)責(zé)軟件系統(tǒng)支撐平臺的運行狀態(tài)檢查����、資源配置和日志分析;
?��。ㄈ┴?fù)責(zé)軟件系統(tǒng)的安裝��、測試�����、升級���、培訓(xùn)���、技術(shù)支持等服務(wù),并做好相應(yīng)記錄���,要做到處處留痕����、可溯可查��;
?�。ㄋ模┴?fù)責(zé)軟件系統(tǒng)支撐平臺的安全防護(hù)�����;
?���。ㄎ澹┴?fù)責(zé)軟件系統(tǒng)用戶的增加�、刪除和修改工作��,對系統(tǒng)使用權(quán)限進(jìn)行分配��;
?���。┴?fù)責(zé)軟件系統(tǒng)和數(shù)據(jù)資源備份�,并制定相關(guān)的備份和恢復(fù)策略;
?���。ㄆ撸┴?fù)責(zé)完成與各類第三方軟件系統(tǒng)的對接和數(shù)據(jù)交換共享工作;
?�。ò耍┴?fù)責(zé)對數(shù)據(jù)資源的完整性�����、有效性�����、合法性進(jìn)行校驗,及時處理發(fā)現(xiàn)的數(shù)據(jù)問題���。
第二十七條 軟件系統(tǒng)及支撐平臺要滿足以下安全要求:
?。ㄒ唬┸浖到y(tǒng)代碼或數(shù)據(jù)資源的任何修改����,必須經(jīng)公共資源交易局(中心)負(fù)責(zé)人審批后進(jìn)行修改并記錄;
?。ǘ┸浖到y(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層(SSL)實現(xiàn)加密;
?����。ㄈ┸浖到y(tǒng)要具備防結(jié)構(gòu)化查詢語言(SQL)注入功能�����;
?���。ㄋ模┲纹脚_應(yīng)具備入侵監(jiān)測、病毒查殺���、漏洞修復(fù)����、網(wǎng)頁防篡改等功能;
?����。ㄎ澹┲纹脚_應(yīng)具備維護(hù)服務(wù)審計功能����,可以全程記錄運行維護(hù)服務(wù)人員對支撐平臺的使用過程,做到可溯可查����;
?����。┰诠操Y源交易活動中需要提供電子文檔的���,應(yīng)當(dāng)使用數(shù)字證書進(jìn)行簽名和加密����。
第二十八條 網(wǎng)絡(luò)安全運行維護(hù)服務(wù)工作包括以下內(nèi)容:
?����。ㄒ唬W(wǎng)絡(luò)安全情況進(jìn)行分析,對系統(tǒng)運行過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行監(jiān)控并及時解決�;
(二)全面規(guī)劃和指導(dǎo)系統(tǒng)升級���、網(wǎng)絡(luò)病毒的控制等工作����,及時消除網(wǎng)絡(luò)安全隱患�;
(三)負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)���、硬件設(shè)施和支撐平臺的配置�,關(guān)閉網(wǎng)絡(luò)系統(tǒng)�����、硬件設(shè)施和支撐平臺上非必要的服務(wù)和端口���,減少安全隱患�;對所有設(shè)備設(shè)施的配置信息和運行日志進(jìn)行規(guī)范管理�����;
(四)發(fā)生網(wǎng)絡(luò)入侵或攻擊事件時���,要具備必須的應(yīng)對手段���,能及時定位到相關(guān)入侵來源,同時啟動應(yīng)急預(yù)案���,并配合信息管理部門做好取證工作���;
(五)對信息網(wǎng)絡(luò)系統(tǒng)的故障和性能進(jìn)行監(jiān)控����,發(fā)現(xiàn)問題及時解決����,并及時報告;
?�。┴?fù)責(zé)對信息網(wǎng)絡(luò)系統(tǒng)運行過程中發(fā)生的其他各類問題進(jìn)行及時處理�����。
第二十九條 公共資源交易局(中心)工作人員和運行維護(hù)單位違反本辦法有關(guān)規(guī)定的,依規(guī)處理��;構(gòu)成犯罪的����,移送司法機關(guān)處理。
第三十條 法律���、法規(guī)���、規(guī)章對網(wǎng)絡(luò)信息安全另有規(guī)定的,從其規(guī)定�。
第三十一條 公共資源交易局(中心)應(yīng)與系統(tǒng)運行維護(hù)服務(wù)單位簽訂保密協(xié)議。
第三十二條 公共資源交易局(中心)應(yīng)加強安全意識���,定期開展網(wǎng)絡(luò)信息系統(tǒng)安全培訓(xùn)和教育�,強化工作人員對信息網(wǎng)絡(luò)安全的認(rèn)識�����,引導(dǎo)工作人員遵守保密制度�,同時不定期對運行維護(hù)服務(wù)單位及相關(guān)工作人員進(jìn)行安全制度和技術(shù)知識考核�。
第三十三條 本辦法自發(fā)布之日起施行����,有效期5年。
【以上內(nèi)容出自《甘肅省人民政府辦公廳關(guān)于印發(fā) 甘肅省公共資源交易工作有關(guān)意見和辦法的通知》(甘政辦發(fā)〔2019〕107號)(2019年12月2日發(fā)布)】