湖北省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全管理辦法
2015-07-24
(試行)
第一章總則
第一條為了加強(qiáng)全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全管理,依據(jù)國家及部省網(wǎng)絡(luò)與信息安全相關(guān)法規(guī),結(jié)合我省交通運輸行業(yè)實際,制定本辦法。
第二條本辦法所指的網(wǎng)絡(luò)與信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)與信息安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。
第二章組織領(lǐng)導(dǎo)
第三條廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組是全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu),全面領(lǐng)導(dǎo)全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全工作。
第四條廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室,是廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組日常辦事機(jī)構(gòu),負(fù)責(zé)組織全省交通運輸行業(yè)貫徹落實國家、交通運輸部和省政府有關(guān)網(wǎng)絡(luò)與信息安全工作的方針政策;擬定全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全工作規(guī)定規(guī)章及發(fā)展戰(zhàn)略、規(guī)劃;負(fù)責(zé)全省交通運輸行業(yè)信息系統(tǒng)安全等級保護(hù)工作及信息安全信息通報工作。
第五條廳信息中心是全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全技術(shù)支持單位,主要負(fù)責(zé)全省交通運輸行業(yè)網(wǎng)絡(luò)與信息安全技術(shù)咨詢及技術(shù)服務(wù)等日常工作。
第三章安全等級保護(hù)
第六條全省交通運輸行業(yè)運行的信息系統(tǒng)應(yīng)按照國家和部省要求,開展安全等級保護(hù)工作。
信息系統(tǒng)安全等級保護(hù),是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作。
第七條根據(jù)《信息系統(tǒng)安全等級保護(hù)實施指南》,信息安全等級應(yīng)遵循以下基本原則:
1、自主保護(hù)原則
信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn),自主確定信息系統(tǒng)的安全保護(hù)等級,自行組織實施安全保護(hù)。
2、重點保護(hù)原則
根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點,通過劃分不同安全保護(hù)等級的信息系統(tǒng),實現(xiàn)不同強(qiáng)度的安全保護(hù),集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。
3、同步建設(shè)原則
信息系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案,投入一定比例的資金建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng)。
4、動態(tài)調(diào)整原則
要跟蹤信息系統(tǒng)的變化情況,調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,安全保護(hù)等級需要變更的,應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求,重新確定信息系統(tǒng)的安全保護(hù)等級,根據(jù)信息系統(tǒng)安全保護(hù)等級的調(diào)整情況,重新實施安全保護(hù)。
第八條信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。
第九條信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第十條信息系統(tǒng)的安全保護(hù)等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
第十一條交通運輸行業(yè)信息安全等級保護(hù)管理的對象,為各級交通運輸主管部門建設(shè)、管理、使用的非涉密信息系統(tǒng),主要包括以下兩類系統(tǒng):
1、面向公眾和企業(yè)服務(wù)的系統(tǒng);
2、面向行業(yè)管理部門業(yè)務(wù)管理和內(nèi)部辦公事務(wù)的系統(tǒng)。
安全保護(hù)等級在第三級以上(含第三級)和以下類型的重要信息系統(tǒng)應(yīng)優(yōu)先加強(qiáng)管理,即:
(1)市級及以上交通運輸行政許可、行政執(zhí)法、安全監(jiān)督、應(yīng)急處置、收費的重要業(yè)務(wù)系統(tǒng);
(2)面向公眾提供市域及以上范圍交通運輸信息服務(wù)的信息系統(tǒng);
(3)市級以上交通運輸部門的政府網(wǎng)站;
(4)市級以上涉及到交通運輸投資計劃、項目管理、資金安排和使用的信息系統(tǒng);
(5)交通運輸跨省聯(lián)網(wǎng)信息系統(tǒng)。
第十二條為提高信息系統(tǒng)定級的準(zhǔn)確性,信息系統(tǒng)運營使用單位,可聘請專家對本單位信息系統(tǒng)初步定級結(jié)論進(jìn)行評審。
第十三條廳機(jī)關(guān)處室運營使用的業(yè)務(wù)系統(tǒng),由廳機(jī)關(guān)處室組織定級,定級結(jié)論報廳主管部門匯總,由廳信息中心到公安機(jī)關(guān)備案。廳直單位信息系統(tǒng)定級結(jié)論需報廳主管部門審定批準(zhǔn)后,方可報當(dāng)?shù)毓矙C(jī)關(guān)備案。市州交通運輸局(委)信息系統(tǒng)定級備案由本級主管部門負(fù)責(zé)。
第十四條辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》(網(wǎng)上下載),第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護(hù)等級專家評審意見;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
第十五條信息系統(tǒng)安全保護(hù)等級確定后,運營使用單位應(yīng)按照國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全需求的信息技術(shù)產(chǎn)品,開展信息安全建設(shè)或整改工作。
第十六條新建、擴(kuò)建和升級改造的信息系統(tǒng),在規(guī)劃設(shè)計階段要同步完成系統(tǒng)定級工作,并同步規(guī)劃等級保護(hù)總體設(shè)計方案,在項目建設(shè)過程中同步完成信息安全等級保護(hù)建設(shè)工作。
第十七條信息系統(tǒng)建設(shè)完成后,運營使用單位應(yīng)當(dāng)從全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄(見www.djbh.net)中選擇符合《信息安全等級保護(hù)管理辦法》規(guī)定條件,取得《信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書》的測評機(jī)構(gòu),依據(jù)國家相關(guān)技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全狀況開展等級測評。
第十八條安全保護(hù)等級被定為第四級的信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評;被定為第三級的信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評;被定第二級的信息系統(tǒng)可參照第三級信息系統(tǒng)的要求進(jìn)行等級測評。
第十九條信息系統(tǒng)運營使用單位,應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況、信息安全等級測評情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查;第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查。經(jīng)測評或自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,應(yīng)當(dāng)制定方案進(jìn)行整改。
第四章日常信息安全管理
第二十條建立健全崗位信息安全責(zé)任制度,明確崗位及人員的信息安全責(zé)任。系統(tǒng)管理員、網(wǎng)絡(luò)管理員和信息安全員等重點崗位人員應(yīng)簽訂信息安全保密承諾書,明確信息安全與保密安全責(zé)任。
第二十一條制定并嚴(yán)格執(zhí)行人員離崗離職信息安全管理規(guī)定,人員離崗離職時應(yīng)及時終止信息系統(tǒng)訪問權(quán)限,收回各種軟硬件設(shè)備。
第二十二條建立外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫龋獠咳藛T須經(jīng)審批后方可進(jìn)入,并安排本單位工作人員現(xiàn)場陪同,對訪問活動進(jìn)行記錄并留存。
第二十三條建立介質(zhì)安全管理制度,對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等嚴(yán)格管理。移動存儲介質(zhì)應(yīng)實行登記管理,領(lǐng)用、交回、維修、報廢、銷毀管理應(yīng)有臺賬。
第二十四條移動存儲介質(zhì)在接入電腦前進(jìn)行查殺病毒、木馬等惡意代碼操作,確保不將病毒等感染網(wǎng)絡(luò)和電腦。
第二十五條應(yīng)采購安全可控的信息技術(shù)產(chǎn)品和服務(wù)并進(jìn)行安全性評估。接受捐贈的信息技術(shù)產(chǎn)品,使用前應(yīng)進(jìn)行安全測評,并與捐贈方簽訂信息安全與保密協(xié)議。
第二十六條采購的信息系統(tǒng)安全專用產(chǎn)品應(yīng)符合國家和部省相關(guān)規(guī)定,并依法取得公安部頒發(fā)的《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》,且在湖北省信息安全等級保護(hù)協(xié)調(diào)小組辦公室進(jìn)行了備案。
第二十七條有外包服務(wù)的部門應(yīng)建立并嚴(yán)格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度,與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和信息安全與保密協(xié)議,明確信息安全與保密責(zé)任,要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包,不得泄露、擴(kuò)散、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息,不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn),不得以服務(wù)為由強(qiáng)制要求委托方購買、使用指定產(chǎn)品。
第二十八條外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進(jìn)行安全測評,要求開發(fā)方及時提供系統(tǒng)、軟件的升級、漏洞等信息和相應(yīng)服務(wù)?,F(xiàn)場服務(wù)過程中應(yīng)安排專人陪同,并詳細(xì)記錄服務(wù)過程。信息技術(shù)外包服務(wù)安全管理納入年度信息安全檢查范圍。
第五章網(wǎng)絡(luò)信息安全信息通報管理
第二十九條各單位、各部門應(yīng)根據(jù)《湖北省網(wǎng)絡(luò)與信息安全信息通報機(jī)制暫行辦法》、《湖北省網(wǎng)絡(luò)與信息安全通報工作實施細(xì)則》和本暫行辦法的要求,建立行業(yè)網(wǎng)絡(luò)信息安全信息通報制度和報送機(jī)制,規(guī)范安全信息采集、報送、處理和發(fā)布流程。
第三十條網(wǎng)絡(luò)信息安全信息通報內(nèi)容包括:
(一)電子公告服務(wù)、群發(fā)電子郵件以及廣播式即時通信和短信息等網(wǎng)絡(luò)信息服務(wù)中反動有害信息的傳播情況;
(二)利用網(wǎng)絡(luò)從事違法犯罪活動的情況;
(三)已經(jīng)確定或可能發(fā)生的計算機(jī)病毒、網(wǎng)絡(luò)攻擊情況;
(四)網(wǎng)絡(luò)恐怖活動的嫌疑情況和預(yù)警信息;
(五)網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常、網(wǎng)絡(luò)和信息系統(tǒng)癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況;
(六)網(wǎng)絡(luò)安全狀況、安全形勢分析預(yù)測等信息;
(七)其他影響網(wǎng)絡(luò)與信息安全的信息。
第三十一條廳信息中心為全省交通運輸行業(yè)網(wǎng)絡(luò)信息安全信息通報責(zé)任部門,具體負(fù)責(zé)網(wǎng)絡(luò)信息安全通報工作。
第六章責(zé)任追究
第三十二條安全保護(hù)等級在第三級以上(含第三級)和本辦法第十三條規(guī)定優(yōu)先加強(qiáng)管理的重要信息系統(tǒng),運營使用單位違反本辦法規(guī)定,有下列行為之一的,由廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員實行責(zé)任追究。
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實安全管理制度、措施的;
(三)未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的;
(七)未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八)違反本辦法其他規(guī)定造成嚴(yán)重?fù)p害的。
第三十三條網(wǎng)絡(luò)與信息安全發(fā)生重大問題的,依法給予相關(guān)責(zé)任人行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章附則
第三十四條本辦法適用于全省交通運輸行業(yè)。
第三十五條本辦法由廳網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)解釋。
第三十六條本辦法自印發(fā)之日起施行。