各鄉(xiāng)、鎮(zhèn)人民政府，街道辦事處，市直各單位：

　　現(xiàn)將《瀏陽市政務網絡安全管理暫行規(guī)范》印發(fā)給你們，請認真遵照執(zhí)行。

　　瀏陽市新型智慧城市和數字政府建設工作領導小組

　　2023年7月14日

　　瀏陽市政務網絡安全管理暫行規(guī)范

　　第一章總則

　　第一條為加強和規(guī)范全市電子政務網絡安全的統(tǒng)籌管理工作，提高政務網絡安全防護水平，實現(xiàn)政務網絡安全可控、能控，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》《湖南省電子政務外網安全管理暫行辦法》（湘政辦發(fā)〔2020〕33號）和《長沙市政務網絡安全管理辦法》（長智慧辦發(fā)〔2023〕3號）等法律、法規(guī)及文件規(guī)定，結合我市實際，制定本規(guī)范。

　　第二條本規(guī)范所稱政務網絡，為瀏陽市電子政務外網，是我市電子政務的公共基礎設施，是國家電子政務外網的組成部分，與互聯(lián)網邏輯隔離，為非涉密網絡，由市、鄉(xiāng)鎮(zhèn)（街道）、村（社區(qū)）三級組成，上聯(lián)長沙市電子政務外網，橫向連接市內各委辦局及其所屬各部門（單位），縱向覆蓋鄉(xiāng)鎮(zhèn)（街道）、村（社區(qū)），承載全市政務部門（單位）非涉密信息系統(tǒng)，實現(xiàn)基礎信息資源開放共享。

　　第三條本規(guī)范適用于依托瀏陽市電子政務外網建設運行的各類信息系統(tǒng)以及接入電子政務外網的終端設備，政務內網、專網的網絡安全管理另行參照相應規(guī)章制度執(zhí)行。

　　第四條瀏陽市政務網絡安全管理遵循“誰管理誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責”的原則，分級建設，分級管理，各負其責。

　　第二章職責分工

　　第五條市委網絡安全和信息化委員會辦公室（以下簡稱市委網信辦）負責全市網絡安全工作的統(tǒng)籌協(xié)調和監(jiān)督管理。

　　第六條市新型智慧城市和數字政府建設工作領導小組辦公室（以下簡稱領導小組辦公室）負責制定全市政務網絡安全管理總體規(guī)劃、安全策略、標準規(guī)范和管理制度，負責指導、組織調度和監(jiān)督管理全市政務網絡安全工作。

　　第七條市公安局負責政務網絡安全的監(jiān)督、檢查、指導以及違法犯罪案件的查處。

　　第八條市數據資源中心是市本級政務主干網絡（指市中心機房至各單位接入交換機之間的網絡）的安全責任主體，負責統(tǒng)籌、規(guī)劃、指導和監(jiān)督政務網絡基礎設施安全運行，負責市本級政務主干網絡的建設、運維及安全管理工作，組織開展全市政務網絡安全運行自查和風險評估。

　　第九條國安、保密、密碼、應急等主管部門按照各自職責，做好政務網絡安全管理的相關工作，協(xié)調處理政務網絡安全突發(fā)事件。

　　第十條接入電子政務外網和依托電子政務外網建設運行信息系統(tǒng)的各級黨政機關、事業(yè)單位、群團組織、國有企業(yè)等為業(yè)務單位，是本單位內部局域網（指接入交換機至終端設備〔含〕之間的網絡）和接入電子政務外網信息系統(tǒng)安全的責任主體，負責落實本單位政務網絡安全管理責任，保證網絡安全建設與信息化建設項目同步規(guī)劃、同步建設、同步運行。

　　第三章網絡及信息系統(tǒng)接入

　　第十一條可接入電子政務外網的單位包括：瀏陽市各級黨政機關和國有企事業(yè)單位、群團組織、村（社區(qū)）、法律法規(guī)規(guī)定要求接入電子政務外網的轄區(qū)內單位。

　　第十二條電子政務外網及信息系統(tǒng)的接入、變更實行申請審核制度，由業(yè)務單位向市數據資源中心提出申請，經審批通過后方可實施。業(yè)務單位的信息系統(tǒng)需開放政務外網或互聯(lián)網端口訪問,應當對每個端口的用途作出說明,向市數據資源中心備案，通過安全測評后方可核準開放。

　　第十三條業(yè)務單位內部終端應按照電子政務外網統(tǒng)一規(guī)劃配置網絡地址，登記使用情況并向市數據資源中心備案；不得擅自改變電子政務外網接口的網絡設備、結構或配置，不得私自在電子政務外網上搭接無線網絡設備。

　　第十四條業(yè)務單位內部終端因工作需要接入互聯(lián)網或其他外部網絡的，或外部人員接入電子政務外網的，應向市數據資源中心提出申請，審批通過后方可執(zhí)行。

　　第四章網絡安全運行

　　第十五條業(yè)務單位應當建立健全網絡安全組織機構和管理制度，設置管理崗位并明確職責，加強網絡安全教育培訓，對管理職責范圍內的網絡資產進行統(tǒng)一登記管理，定期開展資產盤點及安全風險評估，進行日常安全監(jiān)測并配合監(jiān)督檢查，對安全隱患及時整改和反饋，發(fā)生安全事件時及時上報和處理。

　　第十六條業(yè)務單位應對接入電子政務外網的終端設備進行安全加固，包括但不限于身份鑒別、訪問控制、惡意代碼防范、入侵防范、安全審計、數據保護等；應安裝殺毒、防火墻等安全防護軟件，并定期開展終端設備殺毒工作；應對U盤等移動介質設備全面殺毒后，方可插入電子政務外網終端設備使用，防止木馬、蠕蟲等病毒影響終端設備、電子政務外網和信息系統(tǒng)的安全運行。

　　第十七條業(yè)務單位應落實網絡安全區(qū)域隔離、邊界防護、終端接入控制、訪問控制、基線核查、安全審計等措施，加強接入政務外網的局域網及終端的網絡安全防護，嚴禁將電子政務外網與互聯(lián)網、專網等其它網絡進行串聯(lián)與互通。

　　第十八條業(yè)務單位應在自建機房和專網內外網絡邊界部署邊界安全防護、入侵檢測與防御、安全審計等安全措施，重要信息系統(tǒng)采取增強級的安全防護，如需進行數據交換時采取加密、脫敏等安全措施。

　　第十九條業(yè)務單位禁止通過電子政務外網瀏覽、發(fā)布非法信息，嚴禁利用電子政務外網從事非法活動；禁止利用電子政務外網資源從事挖礦等占據網絡鏈路帶寬資源等活動；不得將涉密計算機、設備（含存儲介質）和網絡接入電子政務外網，不得利用電子政務外網存儲、處理、傳輸涉密信息。

　　第五章信息系統(tǒng)安全運行

　　第二十條業(yè)務單位的信息系統(tǒng)應當具備統(tǒng)一用戶管理、權限管理、日志審計等安全功能，并保障操作系統(tǒng)的漏洞補丁及時更新，不得留存后門程序或者繞過安全機制；發(fā)布的政務網站應當使用網頁防篡改技術或專用安全技術進行保護，并確保網站在受到破壞時能自動恢復。

　　第二十一條業(yè)務單位應當保障接入電子政務外網的服務器、虛擬機等信息化主機的安全，定期進行信息系統(tǒng)部署環(huán)境安全檢查，對系統(tǒng)日志進行備份和分析，及時升級系統(tǒng)版本或修復常用軟件漏洞，進行病毒木馬查殺，保留安全檢查日志。

　　第二十二條業(yè)務單位對職責范圍內的數據進行分級安全管理，保障數據機密性、完整性和可用性，落實數據收集、存儲、使用、加工、傳輸、提供、公開等處理環(huán)節(jié)的安全措施，加強個人信息保護，并進行數據備份。

　　第二十三條業(yè)務單位應對網絡服務提供商、系統(tǒng)提供商、網絡安全服務提供商等外部企業(yè)進行安全管理，約定安全責任，在產品或服務提供過程中進行對應的訪問控制、風險管理、安全檢查、安全審計、數據備份等。

　　第六章應急管理

　　第二十四條市數據資源中心制定瀏陽市政務網絡安全應急預案并定期組織相關單位開展應急演練，業(yè)務單位應根據系統(tǒng)重要性及運行需要制定本單位應急預案，并組織實施。

　　第二十五條建立健全聯(lián)動處置機制，由市委網信辦、市公安局、市數據資源中心等政務網絡安全監(jiān)管部門和業(yè)務單位共享網絡安全信息，協(xié)同處置網絡安全事件。當發(fā)生危害政務網絡安全的事件時，業(yè)務單位和相關服務提供商應負責開展溯源、查殺等安全處置，及時按要求整改到位，出具事件分析報告，并按有關程序上報。

　　第二十六條政務網絡安全突發(fā)事件發(fā)生后或政務網絡安全風險持續(xù)增加時，業(yè)務單位應當及時通知受影響單位，按照相關規(guī)定及時向市委網信辦、市公安局、市數據資源中心等政務網絡安全監(jiān)管部門報告，并向領導小組辦公室報備。如出現(xiàn)的網絡安全問題，影響或可能影響電子政務外網正常運行，市數據資源中心有權采取臨時措施進行處置，直至隱患消失或者網絡攻擊停止。

　　第七章監(jiān)督檢查

　　第二十七條領導小組辦公室組織政務網絡安全監(jiān)管部門開展常態(tài)化網絡安全監(jiān)測，完善整改流程，提供處置建議，對發(fā)現(xiàn)的政務網絡安全隱患和問題進行通報。

　　第二十八條領導小組辦公室組織政務網絡安全監(jiān)管部門監(jiān)督推動業(yè)務單位接入政務外網的信息系統(tǒng)的網絡安全等級保護測評、商用密碼應用安全性評估工作。業(yè)務單位應按照國家網絡安全等級保護及密碼管理有關要求，根據相應級別定期評估和檢查本單位網絡安全保護措施落實情況及密碼應用保障體系情況。

　　第二十九條領導小組辦公室會同網信、公安、保密、密碼等監(jiān)管部門組成聯(lián)合檢查組，定期對政務網絡安全進行檢查，可根據政策要求和上級要求進行專項檢查，對發(fā)現(xiàn)的違法違規(guī)行為及時提出整改意見并予以督促落實。

　　第三十條業(yè)務單位存在違反本規(guī)范規(guī)定的，由領導小組辦公室督促整改，逾期未整改或整改不到位的，可根據情節(jié)嚴重程度暫停其網絡資源使用和新建信息化項目審批等，所產生的一切后果由其自行負責；造成嚴重后果的，由有權機關依照《中華人民共和國網絡安全法》等法律法規(guī)要求，對違反相關法律、法規(guī)和規(guī)章的責任單位和人員給予相應處罰；構成犯罪的，依法追究刑事責任。

　　第八章附 則

　　第三十一條本規(guī)范由市數據資源中心負責解釋。

　　第三十二條本規(guī)范自發(fā)布之日起施行。