XX区电子政务外网安全管理实施细则

第一章

总则

第一条

为确保XX市XX区电子政务外网(以下简称区政务外网)的运行安全，落实政务外网相关部门的安全责任，根据《中华人民共和国网络安全法》、《XX省电子政务外网安全管理暂行办法》、《XX市电子政务外网网络与信息安全管理实施细则》等法律法规及文件要求，结合我区实际，制订本细则。

第二条

区政务外网是市电子政务外网的组成部分，由区、镇（街道）、行政村（社区）三级政务外网组成，上联市政务外网，纵向覆盖区、镇（街道）、行政村（社区），横向连接党委、人大、政府、政协、法院、检察院及其直属各部门（单位）。区政务外网是我区电子政务的公共基础设施，承载全区政务部门非涉密信息化系统，实现基础信息资源开放共享。

第三条

本办法适用于本区政务外网建设运维安全管理单位（以下简称区政务外网管理单位），依托政务外网开展信息化系统建设的各级政务部门，以及接入政务外网的各单位。

第二章

总体要求

第四条

区政务外网管理单位在进行政务外网规划、设计和建设时，应同步做好安全保障系统的规划、设计和建设工作，落实运维管理中的安全检查、等级测评和风险评估等工作责任。区财政部门应保障区政务外网的建设、运行和安全管理经费。

第五条

区政务外网应达到等级保护2.0二级标准。

第六条

任何单位和个人，不得利用区政务外网从事危害国家利益、集体利益和公民合法权益的活动，不得危害政务外网安全。

第三章

职责分工

第七条

区政务外网按照“谁管理谁负责、谁建设谁负责、谁使用谁负责、谁发布谁负责”的原则，统一建设、分级管理、各负其责。

区行政审批服务局是全区政务外网的管理单位，负责全区政务外网建设的整体规划，制定本区政务外网的标准规范，负责区、镇（街道）、行政村（社区）政务外网统一建设、运维及安全管理工作，制定政务外网统一接入标准，定期组织开展相关业务培训，并向市政务外网管理部门报告。

XX公安分局负责政务外网网络安全的监督、检查、指导和违法犯罪案件的查处。

区委网信办负责统筹协调政务外网网络安全工作和相关监督管理工作。

接入政务外网的单位负责本单位局域网和接入政务外网的信息系统安全，负责本单位发布内容安全。

政务外网使用单位应当确定至少两名本单位工作人员作为政务外网安全联系人，并且将联系人名单提交给区行政审批服务局。

第八条

区行政审批服务局是区级政务外网的安全责任主体，接入政务外网的单位是本单位政务外网的安全责任主体。

政务外网安全工作实行领导责任制。区行政审批服务局主要领导是区政务外网安全第一责任人，分管政务外网的领导是直接责任人；接入政务外网的单位主要领导是本单位政务外网安全的第一责任人。

各运营商、承建商、运维公司、外包服务公司等按合同规定承担相应的安全责任。

第九条

各政务外网接入单位应制定本单位的信息安全管理制度，报区行政审批服务局备案。

第四章

运维管理

第十条

区行政审批服务局应根据业务应用需求，对区政务外网规划不同的功能区域，在各区域间实现逻辑隔离和安全有效控制。

第十一条

区行政审批服务局应开展网络安全监控工作，及时发现、定位、分析、处置安全事件，每6个月向市政务外网管理部门汇报网络安全状况。发生重大网络安全事件的，应立即报告公安、网信等信息安全主管职能部门。

第十二条

区行政审批服务局应组织制定区政务外网网络与信息安全应急预案，并定期开展应急演练。

第十三条

区行政审批服务局要加强安全审计工作，审计记录的保存时间不少于6个月。

第十四条

区行政审批服务局应当按照国家、省、市政务外网安全检查和风险评估统一要求，定期组织开展网络与信息安全自查和风险评估，并按照信息安全主管职能部门和上级政务外网管理部门的要求，做好全区政务外网信息安全检查和风险评估工作。

区行政审批服务局应将全区政务外网自查结果及时报市政务外网管理部门。在自查中发现接入单位存在问题的，应责成存在问题的单位进行整改。对问题较严重的单位，原则上应立即断开其政务外网连接，待整改完成后再重新接入。

第十五条

区行政审批服务局要建立信息安全定期报告制度，每3个月向市政务外网管理部门报告本级政务外网出现的信息安全事件。

第十六条

区行政审批服务局要加强信息安全教育，每年至少对本级从事信息安全工作的人员开展一次专业技术培训。

第十七条

区行政审批服务局及各接入单位应对从事政务外网信息安全工作的人员按照“分工负责、职责明确、最小授权和任期有限”的原则进行管理。

第十八条

区行政审批服务局应设置系统管理、安全管理和安全审计岗位，分别负责网络运行、安全和审计工作。系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。

第十九条

管理、使用政务外网的各级单位，应当同运维机构签订保密协议，并且约定运维机构同运维人员个人签订保密协议。运维机构签署的所有的保密协议都应当提交到区行政审批服务局和使用单位备案。

第二十条

区行政审批服务局应当对运维机构、人员进行安全审查，对人员准入进行规范。

第五章

接入管理

第二十一条

接入区政务外网的单位，应统一使用区政务外网的互联网出口。如果单位确实需要独立的互联网出口，应报区行政审批服务局备案。

第二十二条

区行政审批服务局部署在各接入单位的设备，由区行政审批服务局管理运维，各接入单位无权登录，不得擅自关闭设备、修改配置。

未经区行政审批服务局许可，各接入单位不得改变政务外网接口的网络设备、结构或配置，不得在政务外网上搭接无线网络设备。

第二十三条

通过专线方式接入政务外网的单位局域网或业务系统，接入单位要保障本单位网络、系统的安全，应参照所接入政务外网的等级保护级别标准（二级或三级），按照国家等级保护工作要求，开展测评整改，明确接入网络安全责任人。达到所接入政务外网的安全标准后，方能接入政务外网。

专线接入政务外网的单位应防止本单位局域网内的设备对政务外网进行攻击。如果出现这类情况，应根据攻击情况和系统影响范围报区行政审批服务局断开政务外网连接，进行溯源、查杀等安全处置。

第二十四条

单机接入政务外网的，应明确安全责任人，保证接入政务外网的单机安全，避免中病毒或木马，避免成为攻击政务外网的跳板。当发现接入政务外网的单机有异常情况时，应先断开与政务外网的连接，立即对事故进行处置，并将异常情况及处置结果及时报区行政审批服务局。

第二十五条

通过拨号或VPN方式接入政务外网的单位，应明确安全责任人，要保障接入账号及接入终端的安全，避免非授权用户获取账号密码信息接入政务外网，避免含有恶意软件的终端接入政务外网。接入政务外网后不得有危害政务外网安全的行为。当发现接入政务外网的终端有异常情况时，应先断开与政务外网的连接，立即对事故进行处置，并将异常情况及处置结果及时报区行政审批服务局。

第二十六条

所有依托于政务外网运行的应用系统，所开放的端口应由使用单位提出要求并对每个端口的用途做出说明，经区行政审批服务局核准后开放。

第二十七条

各单位如果有独立的业务专网，并且业务专网需要与政务外网进行数据交换，使用单位应当自行在业务专网和政务外网之间部署隔离设备，并由各单位自行负责数据摆渡。

将现有业务专网迁入政务外网内运行的单位，迁移方案须经过区行政审批服务局同意。

第二十八条

各单位依托于政务外网新建业务专网，应首先与区行政审批服务局沟通，建设方案须经过区行政审批服务局同意，并报上级政务外网管理单位备案。

第二十九条

依托于政务外网运行的业务专网，应当与政务外网内的其他专网互相隔离。

第六章 安全管理边界

第三十条

区行政审批服务局应防止区政务外网内的设备攻击本级以外政务外网。如果出现这种情况，由故障设备所属单位负责开展溯源、查杀等安全处置。

第三十一条

所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全，避免引入病毒或木马；需保障本单位所辖账户的安全，避免账户信息泄漏，对所辖账户的所有操作负责。接入政务外网的单位应防止本单位局域网设备攻击政务外网。如果出现这种情况，由接入单位负责开展溯源、查杀等安全处置。

第三十二条

设备托管在政务外网机房的单位，要保障托管设备及其系统层、应用层的安全和数据安全。

第三十三条

利用政务外网的机房、设备搭建业务专网的单位，要保障该专网的安全。

第七章 附则

第三十四条

本细则由区行政审批服务局负责解释。

第三十五条

本细则自发布之日起施行。