第一條 為加強公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護(hù),保障信息系統(tǒng)穩(wěn)定正常運行���,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法律����、法規(guī)�、規(guī)章的規(guī)定,結(jié)合實際,制定本辦法���。
第二條 本省行政區(qū)域內(nèi)公共資源交易局(中心)的網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)管理工作適用本辦法��。
第三條 本辦法所稱網(wǎng)絡(luò)信息系統(tǒng)����,是指與公共資源交易相關(guān)的軟件系統(tǒng)(電子服務(wù)系統(tǒng)����、電子交易系統(tǒng)、電子監(jiān)管系統(tǒng)等)��,網(wǎng)絡(luò)系統(tǒng)(交換設(shè)備���、傳輸設(shè)備����、網(wǎng)絡(luò)安全設(shè)備等)��,硬件設(shè)施(計算機����、監(jiān)控系統(tǒng)��、詢標(biāo)系統(tǒng)�����、門禁系統(tǒng)等)�,支撐平臺(服務(wù)器�����、數(shù)據(jù)庫��、存儲�、云平臺資源等)��,數(shù)據(jù)資源(各類公共資源交易數(shù)據(jù)����、設(shè)備配置信息、系統(tǒng)日志等)���。
第四條 公共資源交易局(中心)負(fù)責(zé)本平臺網(wǎng)絡(luò)信息安全保護(hù)管理工作���。
第五條 網(wǎng)絡(luò)信息系統(tǒng)的安全保護(hù)�,應(yīng)當(dāng)涵蓋公共資源交易相關(guān)軟件系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)�����、硬件設(shè)施和支撐平臺����。應(yīng)保障所有相關(guān)系統(tǒng)、設(shè)施的功能正常發(fā)揮��,應(yīng)保障所有數(shù)據(jù)資源的安全性�����、合法性和有效性��。
第六條 公共資源交易局(中心)應(yīng)當(dāng)構(gòu)建公共資源交易網(wǎng)絡(luò)信息安全防護(hù)體系�,保障信息系統(tǒng)及其相關(guān)的設(shè)備、設(shè)施�����、網(wǎng)絡(luò)安全,保障公共資源交易平臺運行安全和數(shù)據(jù)安全�。
第七條 公共資源交易局(中心)應(yīng)當(dāng)履行信息安全主體責(zé)任,按要求對本平臺信息系統(tǒng)進(jìn)行安全等級保護(hù)測評���,制定本平臺的網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)預(yù)案�,定期開展網(wǎng)絡(luò)安全應(yīng)急演練�,提高網(wǎng)絡(luò)安全意識。
第八條 任何單位和個人不得利用公共資源交易網(wǎng)絡(luò)信息系統(tǒng)危害國家安全�����、泄露國家秘密�����,不得侵犯國家�、社會�、企業(yè)利益和公民的合法權(quán)益,不得泄露應(yīng)該保密的信息�,不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途,不得從事違法犯罪活動�����。
第九條 公共資源交易局(中心)及其工作人員不得通過任何非法手段接入和使用互聯(lián)網(wǎng)。
第十條 嚴(yán)格管理連接到互聯(lián)網(wǎng)的設(shè)備設(shè)施����;對涉及國家秘密及商業(yè)秘密的設(shè)備,必須做到專機專用���,嚴(yán)禁接入互聯(lián)網(wǎng)��。
第十一條 所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設(shè)備設(shè)施�����,要統(tǒng)一規(guī)范設(shè)置IP地址和訪問端口���,要通過白名單控制其訪問權(quán)限。
第十二條 通過互聯(lián)網(wǎng)下載的文件����,必須經(jīng)過計算機病毒和木馬掃描后方可使用。
第十三條 公共資源交易局(中心)須做好接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)及支撐平臺系統(tǒng)日志的存儲和分析工作����,并做好日志備份工作。
第十四條 公共資源交易局(中心)要定期對內(nèi)部局域網(wǎng)進(jìn)行安全掃描�����,對發(fā)現(xiàn)的漏洞及時修補、并統(tǒng)一提供修補程序及修補辦法�����。
第十五條 公共資源交易局(中心)負(fù)責(zé)對內(nèi)部局域網(wǎng)上的設(shè)備設(shè)施的網(wǎng)絡(luò)配置信息進(jìn)行登記管理�,對所有設(shè)備的IP地址進(jìn)行統(tǒng)籌分配和登記,局域網(wǎng)內(nèi)部所有設(shè)備必須使用單位統(tǒng)籌分配的IP地址����,不得私自修改。
涉及全省遠(yuǎn)程異地評標(biāo)系統(tǒng)的所有設(shè)備�����,應(yīng)當(dāng)使用由省公共資源交易局統(tǒng)籌分配的IP地址���。
局域網(wǎng)內(nèi)的所有計算機、服務(wù)器的工作組名����、域名和計算機名等配置信息不得隨意修改,防止影響網(wǎng)絡(luò)通訊����。
第十六條 任何單位和個人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡(luò)信息安全的活動:
?。ㄒ唬┪唇?jīng)允許訪問��、修改和刪除任何設(shè)備設(shè)施的配置信息�;
(二)未經(jīng)允許��,對公共資源交易相關(guān)的軟件系統(tǒng)����、數(shù)據(jù)資源進(jìn)行查閱、刪除�、修改;
?���。ㄈ┕室庵谱鳌鞑ビ嬎銠C病毒或木馬等破壞性程序���;
?����。ㄋ模┢渌:τ嬎銠C信息網(wǎng)絡(luò)安全的行為����。
第十七條 局域網(wǎng)中的計算機應(yīng)專人專用,并設(shè)置獨立的系統(tǒng)賬號和密碼�;對多人共用一臺計算機的,應(yīng)分別設(shè)置每個人的系統(tǒng)賬號及密碼�,保存在該計算機上的涉密資料應(yīng)設(shè)置密碼進(jìn)行保護(hù);系統(tǒng)登錄密碼要定期更改��;關(guān)鍵計算機應(yīng)當(dāng)設(shè)置定時屏保及密碼��。
第十八條 任何部門或個人未經(jīng)允許��,不得擅自安裝���、拆卸或改變軟件系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)�、硬件設(shè)施和支撐平臺���,不得擅自訪問和修改數(shù)據(jù)資源。對獲準(zhǔn)允許安裝、拆卸或改變的�,進(jìn)行記錄留痕。
第十九條 公共資源交易局(中心)要統(tǒng)一部署國產(chǎn)正版防病毒軟件���,所有計算機���、服務(wù)器都必須安裝防病毒軟件客戶端,并接受服務(wù)端的集中統(tǒng)一管理�����,未安裝防病毒軟件的計算機��、服務(wù)器嚴(yán)禁接入內(nèi)部局域網(wǎng)��。
第二十條 公共資源交易局(中心)負(fù)責(zé)管理防病毒軟件服務(wù)器��,承擔(dān)病毒防御策略制定和病毒特征庫的分發(fā)工作�����。
第二十一條 公共資源交易局(中心)要確定專人負(fù)責(zé)管理防病毒服務(wù)器���,確保防病毒服務(wù)器的正常運行和病毒特征庫的及時更新���。防病毒管理員應(yīng)每天定時對所有計算機�����、服務(wù)器進(jìn)行病毒掃描���,發(fā)現(xiàn)病毒的應(yīng)立即查殺。
第二十二條 任何單位和個人不得擅自停用或刪除計算機���、服務(wù)器中的防病毒軟件�����;使用計算機���、服務(wù)器時要關(guān)注防病毒軟件的狀態(tài),確保防病毒軟件正常工作�����;發(fā)現(xiàn)問題及時與防病毒管理員聯(lián)系�。
第二十三條 發(fā)現(xiàn)計算機、服務(wù)器感染病毒�,應(yīng)立即啟用防病毒軟件進(jìn)行殺毒處理。如發(fā)現(xiàn)無法清除病毒����,應(yīng)立即采取如下措施:
(一)迅速斷開本機的網(wǎng)絡(luò)連接�����,做好病毒查殺工作�����;
?����。ǘ┕ぷ魅藛T應(yīng)作好相關(guān)記錄�����,并立即報告本單位負(fù)責(zé)人���;
?���。ㄈ┣闆r嚴(yán)重的,應(yīng)立即啟動應(yīng)急預(yù)案�,并做好取證工作。
第二十四條 公共資源交易局(中心)統(tǒng)一管理本平臺信息網(wǎng)絡(luò)系統(tǒng)的賬號和密碼���;密碼要定期更換���,長度不少于10位,要采用數(shù)字����、字母和符號組合進(jìn)行設(shè)置;軟件系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)和支撐平臺管理賬號必須設(shè)置密碼���,不得使用系統(tǒng)默認(rèn)密碼��;密碼必須采用分段管理方式���,有條件的要使用數(shù)字證書進(jìn)行用戶身份認(rèn)證。
第二十五條 公共資源交易局(中心)對來自各種渠道的信息網(wǎng)絡(luò)服務(wù)請求���、告警和故障�,按照運行維護(hù)事件的范圍、影響和緊急程度進(jìn)行處置并做好記錄工作��。
第二十六條 軟件系統(tǒng)���、支撐平臺及數(shù)據(jù)資源相關(guān)的運行維護(hù)服務(wù)工作包括以下內(nèi)容:
(一)負(fù)責(zé)軟件系統(tǒng)支撐平臺的用戶賬號�、密碼和權(quán)限的分配與管理;
?���。ǘ┴?fù)責(zé)軟件系統(tǒng)支撐平臺的運行狀態(tài)檢查、資源配置和日志分析�����;
?����。ㄈ┴?fù)責(zé)軟件系統(tǒng)的安裝��、測試�����、升級、培訓(xùn)��、技術(shù)支持等服務(wù)�����,并做好相應(yīng)記錄�����,要做到處處留痕��、可溯可查�;
(四)負(fù)責(zé)軟件系統(tǒng)支撐平臺的安全防護(hù)�����;
?�。ㄎ澹┴?fù)責(zé)軟件系統(tǒng)用戶的增加��、刪除和修改工作�,對系統(tǒng)使用權(quán)限進(jìn)行分配��;
?。┴?fù)責(zé)軟件系統(tǒng)和數(shù)據(jù)資源備份���,并制定相關(guān)的備份和恢復(fù)策略��;
?���。ㄆ撸┴?fù)責(zé)完成與各類第三方軟件系統(tǒng)的對接和數(shù)據(jù)交換共享工作�;
?。ò耍┴?fù)責(zé)對數(shù)據(jù)資源的完整性、有效性�、合法性進(jìn)行校驗,及時處理發(fā)現(xiàn)的數(shù)據(jù)問題���。
第二十七條 軟件系統(tǒng)及支撐平臺要滿足以下安全要求:
?����。ㄒ唬┸浖到y(tǒng)代碼或數(shù)據(jù)資源的任何修改���,必須經(jīng)公共資源交易局(中心)負(fù)責(zé)人審批后進(jìn)行修改并記錄����;
?�。ǘ┸浖到y(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層(SSL)實現(xiàn)加密���;
?。ㄈ┸浖到y(tǒng)要具備防結(jié)構(gòu)化查詢語言(SQL)注入功能�����;
?����。ㄋ模┲纹脚_應(yīng)具備入侵監(jiān)測���、病毒查殺�、漏洞修復(fù)�、網(wǎng)頁防篡改等功能;
?。ㄎ澹┲纹脚_應(yīng)具備維護(hù)服務(wù)審計功能,可以全程記錄運行維護(hù)服務(wù)人員對支撐平臺的使用過程,做到可溯可查��;
?。┰诠操Y源交易活動中需要提供電子文檔的,應(yīng)當(dāng)使用數(shù)字證書進(jìn)行簽名和加密����。
第二十八條 網(wǎng)絡(luò)安全運行維護(hù)服務(wù)工作包括以下內(nèi)容:
(一)對網(wǎng)絡(luò)安全情況進(jìn)行分析�����,對系統(tǒng)運行過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行監(jiān)控并及時解決�����;
?����。ǘ┤嬉?guī)劃和指導(dǎo)系統(tǒng)升級��、網(wǎng)絡(luò)病毒的控制等工作����,及時消除網(wǎng)絡(luò)安全隱患;
?���。ㄈ┴?fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺的配置����,關(guān)閉網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺上非必要的服務(wù)和端口���,減少安全隱患���;對所有設(shè)備設(shè)施的配置信息和運行日志進(jìn)行規(guī)范管理;
?。ㄋ模┌l(fā)生網(wǎng)絡(luò)入侵或攻擊事件時,要具備必須的應(yīng)對手段��,能及時定位到相關(guān)入侵來源����,同時啟動應(yīng)急預(yù)案,并配合信息管理部門做好取證工作�����;
(五)對信息網(wǎng)絡(luò)系統(tǒng)的故障和性能進(jìn)行監(jiān)控���,發(fā)現(xiàn)問題及時解決�����,并及時報告���;
(六)負(fù)責(zé)對信息網(wǎng)絡(luò)系統(tǒng)運行過程中發(fā)生的其他各類問題進(jìn)行及時處理����。
第二十九條 公共資源交易局(中心)工作人員和運行維護(hù)單位違反本辦法有關(guān)規(guī)定的,依規(guī)處理����;構(gòu)成犯罪的,移送司法機關(guān)處理����。
第三十條 法律�、法規(guī)、規(guī)章對網(wǎng)絡(luò)信息安全另有規(guī)定的��,從其規(guī)定。
第三十一條 公共資源交易局(中心)應(yīng)與系統(tǒng)運行維護(hù)服務(wù)單位簽訂保密協(xié)議�。
第三十二條 公共資源交易局(中心)應(yīng)加強安全意識,定期開展網(wǎng)絡(luò)信息系統(tǒng)安全培訓(xùn)和教育����,強化工作人員對信息網(wǎng)絡(luò)安全的認(rèn)識,引導(dǎo)工作人員遵守保密制度���,同時不定期對運行維護(hù)服務(wù)單位及相關(guān)工作人員進(jìn)行安全制度和技術(shù)知識考核�。
第三十三條 本辦法自發(fā)布之日起施行��,有效期5年��。
【以上內(nèi)容出自《甘肅省人民政府辦公廳關(guān)于印發(fā) 甘肅省公共資源交易工作有關(guān)意見和辦法的通知》(甘政辦發(fā)〔2019〕107號)(2019年12月2日發(fā)布)】