来源:中国电子政务网 更新时间:2020-08-31
第一章总则
第一条为加强国家电子政务外网(以下简称“国家政务外
网”)网络与信息安全工作,根据国家信息安全的相关法律
和法规,结合国家政务外网建设和运行的实际情况,制定本
办法。
第二条国家政务外网分为中央政务外网和地方政务外网,
本办法适用于各级政务外网建设、运维和管理单位(以下简
称“各级政务外网单位”)。在国家政务外网上运行的各业务
应用系统的运维和管理部门参照本办法的相关条款执行。
第三条国家政务外网网络与信息安全工作要统筹规划、统
一策略、分级建设,在国家信息安全主管部门的指导下,按
照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,
分级管理、责任到人。国家信息中心负责中央政务外网网络
与信息安全的保障工作,各级政务外网单位负责本级政务外
网网络与信息安全的保障工作,接入政务外网的各级政务部
门负责本部门网络与信息安全的保障工作。
第四条各级政务外网单位在进行政务外网规划、设计和建
设时应同步做好安全保障系统的规划、设计和建设,并落实
好运行维护管理中的安全检查、等级测评和风险评估等经
费。
第五条任何单位和个人,不得利用国家政务外网从事危害
国家利益、集体利益和公民合法权益的活动,不得危害国家
政务外网的安全。
第二章管理机构与职责
第六条国家政务外网网络与信息安全管理工作实行领导
负责制,各级政务外网单位应落实一名分管领导负责网络与
信息安全工作。
第七条国家信息中心政务外网工程建设办公室(以下简称
“政务外网工程办”)负责协调、指导国家政务外网网络与
信息安全工作,负责中央政务外网网络与信息安全管理工
作,主要职责包括:
(一)贯彻执行国家信息安全的相关法律和法规,指导、协
调和规范国家政务外网网络与信息安全工作;
(二)组织制定国家政务外网网络与信息安全总体规划、安
全策略、标准规范和各项管理制度;
(三)负责联系国家信息安全主管部门,并接受其指导,向
有关部门报告国家政务外网网络与信息安全重大事件;
(四)组织国家政务外网网络与信息安全等级保护工作,组
织开展信息安全自查、检查和风险评估,对全网安全运行状
况进行分析、研判和通报;
(五)负责中央级政务外网的网络与信息安全管理工作;
(六)建立和管理全国统一的电子认证服务体系;
(七)制定中央级政务外网网络与信息安全应急预案,组织
开展应急演练;
(八)组织信息安全宣传、教育和培训。
第八条各级政务外网单位的信息安全主管部门和负责单
位应参照本办法第七条,确定本级政务外网信息安全管理机
构及其职责。
第三章网络安全管理
第九条国家政务外网与互联网实行逻辑隔离。
第十条按照业务安全需求,中央政务外网划分为互联网接
入区、公用网络区和专用网络区等功能区域。地方政务外网
均应按照业务应用需求,规划不同的功能区域,在各区域之
间实现逻辑隔离和安全有效控制。
第十一条中央和省级政务外网应达到信息安全等级保护
第三级的要求。
第十二条互联网接入区与互联网之间,按照统一的安全策
略实现安全连接。
第十三条各级政务外网单位都要开展网络安全监控工作,
及时发现、定位、分析、控制安全事件,定期向上一级管理
部门汇报网络安全状况。
第十四条各级政务部门的业务应用系统在接入政务外网
前,应按照信息安全等级保护的要求,通过安全检查和风险
评估。
第十五条各级政务外网单位都应组织制定本级政务外网
网络与信息安全应急预案并定期开展应急演练。
第十六条各级政务外网单位都要加强安全审计工作,审计
记录的保存时间不少于半年。
第十七条各级政务外网单位都要加强政务外网终端安全
管理,必须安装计算机防病毒系统并及时更新补丁。对承担
政务外网建设、运维和管理的所有终端应安装终端管理软
件,实行统一管理。
第四章业务应用系统安全管理
第十八条国家政务外网承载各级政务部门非涉及国家秘
密的业务应用系统和信息,不得存储、处理和传输涉及国家
秘密的信息和数据。
第十九条国家政务外网承载的业务应用系统应按照信息
安全等级保护的要求,采取必要的安全保障措施,其信息安
全由该系统所属部门负责。
第二十条业务应用系统需要与国家政务外网的互联网接
入区、公用区或专用区进行跨区数据交换时,应按照国家政
务外网的安全要求采取相应的安全保障措施。
第五章网络信任体系管理
第二十一条建立国家政务外网全网统一、分级管理的信任
体系,实现身份认证、授权管理和责任认定,保障国家政务
外网信息系统的应用安全。
第二十二条在国家信息中心政务外网工程办设立国家政
务外网数字证书中心。在省(部)级政务外网单位设立省(部)
级政务外网数字证书分中心。
第二十三条接入国家政务外网的业务应用系统需采用数
字证书的,应使用国家政务外网数字证书;通过互联网接入
国家政务外网的用户必须使用国家政务外网数字证书。
第二十四条国家政务外网数字证书中心依据国家相关规
定编制《国家政务外网电子认证服务体系管理办法》和相关
管理规范,省(部)级政务外网数字证书分中心应遵照规范
对本级信任体系设施进行建设、运行和管理。
第二十五条国家政务外网使用经国家密码管理局审定的
商用密码。
第六章信息安全检查与通报
第二十六条各级政务外网单位应当按照国家政务外网安
全检查和风险评估统一要求,负责组织在本级政务外网开展
定期或不定期的网络与信息安全自查与风险评估,配合上级
主管部门和上一级政务外网单位做好本级政务外网的信息
安全检查和风险评估工作。
第二十七条各级政务外网单位应将信息安全检查结果及
时报上一级政务外网单位。同时,按要求通报本地信息安全
主管部门,并责成存在问题的单位进行整改。
第二十八条建立信息安全定期通报制度,及时向上一级政务外网单位通报重大信息安全事件。
第七章人员管理
第二十九条加强各级政务外网单位人员的信息安全教育,
增强其信息安全意识。定期对从事信息安全工作人员开展专
业技术培训,提高信息安全技能。
第三十条对从事国家政务外网信息安全管理的人员按照
“分工负责、职责明确、最小授权和任期有限”的原则进行
管理。
第三十一条各级政务外网单位应设置系统管理、安全管理
和安全审计岗位,负责网络运行、安全和审计工作。系统管
理员、安全管理员和安全审计员的权限设置应相互独立、相
互制约。
第三十二条建立信息安全工作重要岗位上岗资格认定和
年度审查制度。
第三十三条建立奖惩制度。对在信息安全工作中做出突出
成绩的单位和个人予以表彰。对违反信息安全规定的责任
人,责令其限期改正。对造成严重后果的责任人,由相关部
门依照法律法规予以处理。
第八章附则
第三十四条各级政务外网单位应根据本办法,制定本地区
政务外网网络与信息安全管理实施细则,并在实际运行中不
断完善。
第三十五条本办法由政务外网工程办负责解释。
第三十六条本办法自发布之日起开始执行。