省直各单位:
《浙江省公共信用信息平台网络安全管理暂行办法》已经省发展改革委第24次主任办公会议审议通过,现印发给你们,请认真贯彻执行。
浙江省发展和改革委员会
2019年11月4日
浙江省公共信用信息平台网络安全管理暂行办法
第一章 总则
第一条 〔目的〕为加强和规范浙江省公共信用信息平台(以下简称“省信用平台”)网络安全管理工作,切实维护社会公共利益,保护自然人、法人和其他组织的合法权益,依据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《浙江省公共信用信息管理条例》《浙江省政务数据安全管理办法》等法律法规和文件,制定本办法。
第二条 〔平台定义〕本办法所称省信用平台是指省本级建设的,依托统一电子政务网络、电子政务云平台等基础设施,以公共信用信息库、公共信用产品主题库、信用应用工具和信用服务为主要构成,向省市县相关部门及社会公众提供服务的一体化综合性平台。
第三条 〔网络安全定义〕本办法所称网络安全是指省信用平台的管理者、建设者、运维者和使用者采取策略和措施,防范省信用平台被攻击、侵入、干扰、破坏以及公共信用数据被泄露、窃取和篡改等非法使用的能力、状态和行为。
第四条 〔适用范围〕本省行政区域内省信用平台的管理、建设、运维和使用活动,适用本办法。
第五条 〔工作原则〕省信用平台网络安全工作坚持统分结合,坚持管理和技术并重,按照“谁主管谁负责,谁建设谁负责,谁使用谁负责”的原则,在各自职责范围内做好网络安全保护工作,加强协同,合力保障平台安全。
第二章 职责与分工
第六条 〔责任分工〕省发展和改革部门、省公共数据工作机构、省公共信用工作机构以及省信用平台使用部门为省信用平台安全责任部门。
第七条 〔省发展和改革部门职责〕省发展和改革部门负责统筹协调、总体推进省信用平台建设、运维和规范运行,指导公共信用数据、产品或服务的使用和制定相关管理规范,督促各方落实安全保障责任。
第八条 〔省公共数据工作机构职责〕省公共数据工作机构负责提供电子政务网络、电子政务云平台、公共信用信息库等基础设施、数据资源和应用支撑,确保相关服务的安全稳定,配合做好平台安全保障工作。
第九条 〔省公共信用工作机构职责〕省公共信用工作机构负责建设、运维省信用平台,统筹推进安全检查和风险信息收集、分析、通报预警和重大事件应急处置等工作。
第十条 〔使用部门职责〕省信用平台使用部门应确保本部门获取的公共信用数据、产品或服务合法合规使用,配合做好平台安全保障工作。在此过程中涉及的设区市、县(市、区)公共数据工作机构、公共信用工作机构应同步做好安全防护措施。
第三章 技术防护
第十一条 〔总体技术防护〕省信用平台安全责任部门应严格制定和落实技术防护策略,提升基础设施安全、数据安全、应用安全技术防护能力。
第十二条 〔基础设施安全〕省公共数据工作机构应落实网络安全等级保护等相关要求,做好设施、硬件、资源抽象控制等基础设施平台侧的安全防护,为平台提供符合相应安全等级保护要求的服务,提供开放接口允许接入第三方安全服务或安全产品。其他安全责任部门应做好虚拟计算资源、软件平台和应用平台等租户侧的安全防护。
第十三条 〔数据安全〕省公共信用工作机构应会同省公共数据工作机构、省级公共信用信息提供单位对公共信用数据进行分级分类管理,并结合数据生命周期制定数据安全管控、数据备份和恢复策略,采取身份认证、授权访问、数据脱敏、泄漏防护、安全审计等技术措施,对数据进行有效管控,防止未经授权查询、复制、修改、存储或传输数据。
省信用平台安全责任部门应按照相关法律法规和标准规范要求,严格落实公共信用数据保护措施,不得泄露、篡改或者毁损数据。使用部门应当履行安全保密义务,不得违反法律、法规或相关规定向第三方提供公共信用数据。
第十四条 〔使用安全〕按照网络安全等级保护有关规定,省信用平台安全责任部门应做好应用技术保障,包括但不限于应用系统(含数据库、中间件、业务中台等)的账号管理、日志分析、漏洞修复、病毒查杀、网页防篡改、反爬虫、补丁更新以及相关安全事件处理和问题整改等。
省信用平台安全责任部门要合理制定应用安全管理(口令、权限、访问控制等)策略,严格用户权限设置,将用户权限控制在实际需要的最小范围。提升用户身份鉴别能力,提高登录密码设置的安全强度,切实做到人户统一、专人专用。
第四章 管理保障
第十五条 〔制度管理〕省信用平台安全责任部门应当按照网络安全等级保护制度的要求, 制定内部安全管理制度和操作规程,落实相关规范和安全运维策略等。
第十六条 〔人员管理〕省信用平台安全责任部门应设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。平台操作人员必须经过上岗前的专业知识培训,包括专门的信息安全培训等。定期对操作人员进行网络安全教育、技术培训和技能考核。
第十七条 〔项目管理〕建立省信用平台项目全流程管理体系。在立项环节,应根据国家网络安全等级保护制度的要求确定保护级别,并同步编制安全建设方案;在开发、集成环节,应选择具有相应资质和能力(安全)的单位承担相关工作,开发、集成工作应符合相关规范要求;在验收环节,平台应完成等保测评和风险评估;在运行环节,平台应定期开展等保测评、风险评估和安全检查。
第十八条 〔经费保障〕省信用平台安全责任部门应建立网络安全设施设备(服务)采购机制,落实经费保障,提高经费使用效率。
第五章 检测监测与应急处置
第十九条 〔安全检测监测〕省公共信用工作机构应建立健全网络安全监测预警机制,定期对平台进行安全检测评估并出具检测报告。
第二十条 〔应急预案〕省信用平台安全责任部门应制定完善本部门网络安全事件应急预案,建立健全网络安全应急工作机制,明确工作责任、事件分级和应急处置措施。
第二十一条 〔应急演练〕省信用平台安全责任部门应定期组织应急支撑力量,开展应急演练,及时消除各类网络安全风险隐患。
第二十二条 〔应急处置〕省信用平台发生数据泄露、损毁、丢失等安全事件时,省信用平台安全责任部门要按照应急预案启动应急响应,采取技术措施和其他必要措施防止危害扩大,及时向省公安部门报告并保存相关记录。安全事件处置完成后,应向省发展和改革部门及相关主管部门报告。
第六章 监督与责任追究
第二十三条 〔监督〕省发展和改革部门在履行安全管理职责中,发现其他安全责任部门责任落实不到位,存在较大安全风险或发生网络安全事件的,应及时提出整改意见并督促落实。省信用平台安全责任部门要根据有关整改意见按要求进行整改,并按照要求反馈整改情况。
第二十四条 〔责任追究〕省信用平台安全责任单位发生重大数据安全事件的,由具有管理权限的部门依据法律法规进行问责追责,构成犯罪的依法追究刑事责任。
第七章 附则
第二十五条 本办法由浙江省发展和改革委员会负责解释。
第二十六条 本办法自12月1日起施行。