深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知

各区人民政府，市政府直属各单位：

　　《深圳市电子政务信息安全管理试行办法》已经市政府同意，现予印发，请认真组织实施。

深圳市人民政府办公厅

2013年10月12日

深圳市电子政务信息安全管理试行办法

第一章  总    则

　　第一条  为规范深圳市电子政务信息安全建设，建立信息安全工作体系，明确信息安全工作职责，提高信息安全保障能力，促进信息安全工作开展，根据国家有关法律法规，结合本市实际，制定本试行办法。

　　第二条  本试行办法适用于本市各区、市政府直属各单位及其管理单位（以下简称各单位）电子政务信息安全规划、建设、运维和管理。

　　第三条  信息安全工作按照“谁主管、谁负责”原则进行管理。电子政务系统的信息安全按照“谁运行、谁负责，谁使用、谁负责”的原则进行管理。

　　第四条  本市电子政务主管部门负责统筹管理和协调全市电子政务信息安全工作，主要负责编制全市信息安全规划和工作计划，建立信息安全体系，督促落实信息安全管理制度，组织信息安全应急力量，协调处理重大信息安全事件，监督检查信息安全工作落实情况，指导各区、各部门信息安全工作等。

　　各区电子政务主管部门在市电子政务主管部门的协调指导下，组织开展本区信息安全工作。

　　第五条  市电子政务主管部门、公安、国家安全、保密、密码等部门应加强工作协同与信息共享。

　　第六条  各单位应确定信息安全工作机构，明确主管领导和工作人员，落实信息安全工作责任制。

　　各单位的信息安全工作机构、人员情况应按相关规定向同级电子政务主管部门备案。　　

第二章  规划与建设

　　第七条  市电子政务主管部门统一制定全市电子政务信息安全总体规划，报市信息化领导小组审批通过后发布实施。

　　各单位应按照总体规划及国家相关标准制定本单位的电子政务信息安全规划，并在电子政务系统建设方案设计时同步进行信息安全的规划设计。

　　第八条  各单位进行电子政务信息安全规划和建设时，聘请的第三方机构和人员应具备相应的信息安全资质。

　　各单位应将承担电子政务信息安全规划和建设的第三方机构和人员向同级电子政务主管部门备案。

　　第九条  各单位电子政务系统的规划和设计应当按照国家信息安全等级保护的要求，对系统进行等级保护定级。

　　新建和续建的电子政务系统安全保护等级由建设单位自主定级，经同级电子政务主管部门审核后，报公安机关备案。

　　第十条  本市电子政务网络互联网出口实行统一出口、统一管理，各单位应通过统一出口接入互联网。确需另行开通互联网出口的单位，应经同级电子政务主管部门同意后方可开通。

　　第十一条  面向公众的电子政务系统使用数字证书应遵循“一证通用”原则，且符合《深圳市电子公共服务数字证书使用管理暂行办法》有关规定。

　　第十二条  全市党政机关的计算机房实行市、区两级统一管理。未经同级电子政务主管部门批准，各单位不得再另建机房。

　　第十三条  各单位选用的安全产品应具有国家相关部门颁发的证书。

　　各单位电子政务系统核心设备和信息安全设备应当使用国产产品。确需使用进口产品的，应经同级电子政务主管部门审核同意后，方可立项。

　　第十四条  电子政务系统验收前应按照电子政务项目检测验收规范进行安全测评。

　　第十五条  电子政务系统设计、施工单位应在项目验收前，向建设单位移交全部资料。

　　各单位应将项目建设过程中提供给承建商的资料全部收回。　　

第三章  运行与维护

　　第十六条  各单位应加强信息安全服务外包管理。应选择具有信息安全相关资质的企业承接外包服务，并签订保密协议。

　　第十七条  各单位应加强电子政务系统的授权管理，针对不同岗位，按照“最小权限”原则设置权限。

　　授权管理工作应由本单位在编人员承担。

　　第十八条  各单位应加强重要电子政务系统的备份管理，除本地备份外，还应利用市电子政务容灾备份中心进行同城异地备份。

　　重要电子政务系统的异地备份由市电子政务主管部门统筹解决。

　　第十九条  各单位对重要电子政务系统应每年至少进行一次信息安全风险评估和渗透测试。对风险评估和渗透测试中发现的问题，要制定整改计划，并在规定期限内完成整改。

　　第二十条  各单位应加强安全审计工作，选用和配套必要的安全审计设备。安全审计设备应能对日志记录进行统计分析，其中上网行为日志记录应保存60天以上。

　　第二十一条  各单位电子政务系统如需托管，应选择市、区政府统一建设的数据中心托管，并明确各相关方的安全责任。

　　第二十二条  市、区计算机房管理部门应制定完善的机房管理制度，对机房管理人员、管理日志、日常巡检、进出机房的人员登记、安全管理和安全责任等提出具体的规定和要求。

　　机房内不得放置影响电子政务系统安全的物品。

　　第二十三条  各单位应对办公用计算机及外设等实行统一维修和报废。设备进行维修和报废前应对工作数据进行清理，并采取措施防止维修人员获取设备中存储的工作数据。

　　第二十四条  各单位应选择具有国内销售许可证的计算机防病毒软件，并对其策略库、特征库等关键数据及时进行更新。

　　第二十五条  各单位应加强对本单位政府网站公开内容的保密审查，遵循“谁公开、谁审查、谁负责”的原则，确保不泄露国家秘密、商业秘密和个人隐私。政府网站内容发布保密审查工作不得以任何形式外包。

　　各单位应加强政府网站内容的人工巡查，并配备网页防篡改工具。

　　第二十六条  各单位应加强对移动存储介质的管理。在物理隔离的电子政务系统之间进行数据交换时，应使用经国家保密行政管理部门认可的数据交换手段，禁止混用移动存储介质。

　　第二十七条  各单位自建和管理的国际互联网邮件系统应具备安全管理功能，包括防垃圾邮件、黑白名单、关键字过滤、关闭匿名邮件等功能。

　　各单位工作人员不得使用商业邮件系统处理工作业务。

　　第二十八条  各单位电子政务短信系统（平台）应符合相关安全规定，并采取相关安全措施后才能接入电子政务系统使用，对发布的信息按照“谁发布，谁负责”的原则，加强信息安全管理。

　　第二十九条  各单位负责本单位办公用计算机的安全管理，包括上网行为管理、安全认证、移动存储介质管理、系统漏洞检查、系统补丁自动分发等工作。有条件的单位应部署终端安全管理系统。

　　电子政务主管部门应制定计算机终端桌面管理规范。

　　第三十条  各单位应加强对网络终端设备的接入管理。对接入网络的计算机及打印机、传真机、复印机等网络终端设备，应登记其IP地址、MAC地址、接入交换机端口、物理位置、使用人信息等文档资料，并采取必要的管理和技术措施防止非授权接入。

　　第三十一条  各单位应加强对网络接入无线设备的安全管理。

　　第三十二条  各单位应对工作过程中采集或获取的机构和个人信息加以有效保护、规范使用，防止泄漏。　　　

第四章  管理与监督

　　第三十三条  各单位应制定和完善信息安全管理制度，主要包括重要岗位的人员管理，网络安全、用户安全、计算机房及服务器安全、设备和资产管理，信息发布保密审核，安全审计、安全运维、安全应急预案等制度。

　　第三十四条  各单位应制定重要信息安全岗位的管理制度，明确安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员等重要信息安全岗位的工作职责，并签定相应的责任书。

　　第三十五条  各单位应依法依规履行互联网基础资料备案手续。各单位应及时向市电子政务主管部门备案在用互联网IP地址，及时申请注销长期不用的互联网IP地址；互联网IP地址发生变动的，应在5个工作日内更新备案信息。

　　第三十六条  各单位注册“.gov.cn”域名应通过市政府网站主管部门审核后，向通信主管部门进行ICP备案。

　　各单位应使用省内的域名解析服务器。

　　第三十七条  各单位的信息安全管理员应定期参加由市、区电子政务主管部门、公安机关或人事部门组织的信息安全培训。

　　各单位应加强对本单位工作人员的信息安全教育，定期开展信息安全培训，提升本单位工作人员信息安全工作意识和责任意识。

　　第三十八条  各单位应加强电子政务系统的信息安全应急管理，制定信息安全应急预案，每年组织演练，并根据演练结果进一步修订完善预案。

　　第三十九条  各单位信息安全建设费用向同级政府有关部门申请。市、区两级财政部门应加强信息安全工作的经费保障。

　　第四十条  市电子政务主管部门负责对各单位的电子政务系统进行安全监测和检测，并将电子政务互联网出口及本市所有使用“.gov.cn”域名的网站纳入监测范围。

　　对监测、检测中发现的信息安全问题，由市电子政务主管部门出具整改通知，相关责任单位应及时整改，并将整改结果报市电子政务主管部门。市电子政务主管部门可根据情况需要，到现场对问题进一步核实，相关单位应予以配合。

　　市信息安全测评机构承担全市电子政务信息安全监测和检测工作。

　　第四十一条  市电子政务主管部门会同市委办、市府办、公安、国家安全、保密、密码等相关部门组成党政机关信息安全联合检查组，每年组织开展信息安全检查工作，对发现的问题和隐患，各单位应及时整改。

　　各单位应每半年组织一次信息安全自查，确保电子政务系统持续安全稳定运行。

　　第四十二条  市电子政务主管部门定期对发现的安全风险、安全漏洞、安全事件进行通报，限期整改。

　　各单位发生的信息安全事件（案件）应按制度要求及时报告市电子政务主管部门。信息安全事件（案件）报告制度由市电子政务主管部门另行制定。

第五章  考核与责任追究

　　第四十三条  各单位应当建立健全信息安全工作检查、考核和责任追究制度。

　　市电子政务主管部门负责对各单位的信息安全工作进行监督检查，监察机关及其他有管理权限的机关负责对违反信息安全规定、造成信息安全责任过错的人员依法进行责任追究。

　　第四十四条  市电子政务主管部门每年根据信息安全工作计划，对各单位的信息安全工作进行考核。考核结果纳入政府绩效评估体系。

　　第四十五条  各单位有下列行为之一的，经市、区电子政务主管部门认定，由监察部门或其他有关部门对相关责任人员进行处理。涉嫌犯罪的，依法移交司法机关处理。

　　（一）在非涉密电子政务系统上存储、处理或传输涉及国家秘密的信息；

　　（二）将政府网站内容发布保密审查工作外包；

　　（三）未有效地履行对电子政务建设项目、服务外包项目的管理责任，造成项目相关资料被非法带出境外；

　　（四）未在规定时间内报告电子政务系统发生的信息安全事件（案件）；

　　（五）对发现的重大信息安全问题，不及时整改并造成危害或不良影响；

　　（六）危害电子政务系统安全的其他行为。

第六章  附    则

　　第四十六条  本市文化、教育、卫生、供水、供气、供电、石油石化、城市轨道交通、金融等重点领域的主管部门应参照本办法，制定各自所辖行业的实施方案，并负责指导、监督和检查。

　　市电子政务主管部门应督促本市各电信运营商参照本试行办法制定实施方案，保障本市电子政务信息安全。

　　第四十七条  涉及国家秘密的信息系统分级保护及管理工作，按照国家保密管理规定和标准执行。涉及密码工作的，按照国家密码管理规定和标准执行。

　　第四十八条  本试行办法由市电子政务主管部门负责解释。

　　第四十九条  本试行办法自发布之日起施行。