湖北省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全管理辦法
2015-07-24
(試行)
第一章總則
第一條為了加強(qiáng)全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全管理,依據(jù)國家及部省網(wǎng)絡(luò)與信息安全相關(guān)法規(guī)�,結(jié)合我省交通運(yùn)輸行業(yè)實(shí)際,制定本辦法�。
第二條本辦法所指的網(wǎng)絡(luò)與信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞����、更改、泄露�����,系統(tǒng)連續(xù)可靠正常地運(yùn)行��,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)與信息安全包含網(wǎng)絡(luò)設(shè)備安全�����、網(wǎng)絡(luò)信息安全�����、網(wǎng)絡(luò)軟件安全����。
第二章組織領(lǐng)導(dǎo)
第三條廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組是全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu),全面領(lǐng)導(dǎo)全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全工作�����。
第四條廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室���,是廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組日常辦事機(jī)構(gòu)�����,負(fù)責(zé)組織全省交通運(yùn)輸行業(yè)貫徹落實(shí)國家��、交通運(yùn)輸部和省政府有關(guān)網(wǎng)絡(luò)與信息安全工作的方針政策�����;擬定全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全工作規(guī)定規(guī)章及發(fā)展戰(zhàn)略����、規(guī)劃��;負(fù)責(zé)全省交通運(yùn)輸行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作及信息安全信息通報(bào)工作�����。
第五條廳信息中心是全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全技術(shù)支持單位���,主要負(fù)責(zé)全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)與信息安全技術(shù)咨詢及技術(shù)服務(wù)等日常工作��。
第三章安全等級(jí)保護(hù)
第六條全省交通運(yùn)輸行業(yè)運(yùn)行的信息系統(tǒng)應(yīng)按照國家和部省要求�����,開展安全等級(jí)保護(hù)工作��。
信息系統(tǒng)安全等級(jí)保護(hù)��,是指對(duì)國家安全����、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸�、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理����,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作���。
第七條根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》��,信息安全等級(jí)應(yīng)遵循以下基本原則:
1����、自主保護(hù)原則
信息系統(tǒng)運(yùn)營��、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)����,自主確定信息系統(tǒng)的安全保護(hù)等級(jí),自行組織實(shí)施安全保護(hù)��。
2、重點(diǎn)保護(hù)原則
根據(jù)信息系統(tǒng)的重要程度��、業(yè)務(wù)特點(diǎn)��,通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)����,實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù),集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)���。
3、同步建設(shè)原則
信息系統(tǒng)在新建�、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案��,投入一定比例的資金建設(shè)信息安全設(shè)施���,保障信息安全與信息化建設(shè)相適應(yīng)���。
4、動(dòng)態(tài)調(diào)整原則
要跟蹤信息系統(tǒng)的變化情況�����,調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型���、范圍等條件的變化及其他原因�,安全保護(hù)等級(jí)需要變更的����,應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求,重新確定信息系統(tǒng)的安全保護(hù)等級(jí)����,根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況,重新實(shí)施安全保護(hù)�����。
第八條信息安全等級(jí)保護(hù)工作包括定級(jí)�����、備案����、安全建設(shè)和整改、信息安全等級(jí)測評(píng)��、信息安全檢查五個(gè)階段。
第九條信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全�����、經(jīng)濟(jì)建設(shè)�、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國家安全����、社會(huì)秩序、公共利益以及公民���、法人和其他組織的合法權(quán)益的危害程度等因素確定���。
第十條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí)��,信息系統(tǒng)受到破壞后����,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害��,但不損害國家安全����、社會(huì)秩序和公共利益��。
第二級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)公民�����、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害���,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國家安全�。
第三級(jí),信息系統(tǒng)受到破壞后����,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害���。
第四級(jí)�,信息系統(tǒng)受到破壞后���,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害����,或者對(duì)國家安全造成嚴(yán)重?fù)p害。
第五級(jí)�,信息系統(tǒng)受到破壞后,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害�����。
第十一條交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)管理的對(duì)象����,為各級(jí)交通運(yùn)輸主管部門建設(shè)、管理�����、使用的非涉密信息系統(tǒng)��,主要包括以下兩類系統(tǒng):
1�����、面向公眾和企業(yè)服務(wù)的系統(tǒng)�����;
2�����、面向行業(yè)管理部門業(yè)務(wù)管理和內(nèi)部辦公事務(wù)的系統(tǒng)�����。
安全保護(hù)等級(jí)在第三級(jí)以上(含第三級(jí))和以下類型的重要信息系統(tǒng)應(yīng)優(yōu)先加強(qiáng)管理���,即:
(1)市級(jí)及以上交通運(yùn)輸行政許可���、行政執(zhí)法、安全監(jiān)督��、應(yīng)急處置�����、收費(fèi)的重要業(yè)務(wù)系統(tǒng)�;
(2)面向公眾提供市域及以上范圍交通運(yùn)輸信息服務(wù)的信息系統(tǒng);
(3)市級(jí)以上交通運(yùn)輸部門的政府網(wǎng)站��;
(4)市級(jí)以上涉及到交通運(yùn)輸投資計(jì)劃、項(xiàng)目管理�����、資金安排和使用的信息系統(tǒng)����;
(5)交通運(yùn)輸跨省聯(lián)網(wǎng)信息系統(tǒng)。
第十二條為提高信息系統(tǒng)定級(jí)的準(zhǔn)確性����,信息系統(tǒng)運(yùn)營使用單位,可聘請專家對(duì)本單位信息系統(tǒng)初步定級(jí)結(jié)論進(jìn)行評(píng)審����。
第十三條廳機(jī)關(guān)處室運(yùn)營使用的業(yè)務(wù)系統(tǒng),由廳機(jī)關(guān)處室組織定級(jí)��,定級(jí)結(jié)論報(bào)廳主管部門匯總���,由廳信息中心到公安機(jī)關(guān)備案��。廳直單位信息系統(tǒng)定級(jí)結(jié)論需報(bào)廳主管部門審定批準(zhǔn)后,方可報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案�����。市州交通運(yùn)輸局(委)信息系統(tǒng)定級(jí)備案由本級(jí)主管部門負(fù)責(zé)。
第十四條辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)���,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(網(wǎng)上下載)��,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明����;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度��;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案��;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證����、銷售許可證明;
(五)測評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測評(píng)估報(bào)告�����;
(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見���;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見�。
第十五條信息系統(tǒng)安全保護(hù)等級(jí)確定后,運(yùn)營使用單位應(yīng)按照國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�����,使用符合國家有關(guān)規(guī)定�����,滿足信息系統(tǒng)安全需求的信息技術(shù)產(chǎn)品����,開展信息安全建設(shè)或整改工作。
第十六條新建���、擴(kuò)建和升級(jí)改造的信息系統(tǒng)�����,在規(guī)劃設(shè)計(jì)階段要同步完成系統(tǒng)定級(jí)工作�,并同步規(guī)劃等級(jí)保護(hù)總體設(shè)計(jì)方案�����,在項(xiàng)目建設(shè)過程中同步完成信息安全等級(jí)保護(hù)建設(shè)工作。
第十七條信息系統(tǒng)建設(shè)完成后��,運(yùn)營使用單位應(yīng)當(dāng)從全國信息安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)推薦目錄(見www.djbh.net)中選擇符合《信息安全等級(jí)保護(hù)管理辦法》規(guī)定條件��,取得《信息安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)推薦證書》的測評(píng)機(jī)構(gòu)���,依據(jù)國家相關(guān)技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全狀況開展等級(jí)測評(píng)�。
第十八條安全保護(hù)等級(jí)被定為第四級(jí)的信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測評(píng);被定為第三級(jí)的信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評(píng)�;被定第二級(jí)的信息系統(tǒng)可參照第三級(jí)信息系統(tǒng)的要求進(jìn)行等級(jí)測評(píng)。
第十九條信息系統(tǒng)運(yùn)營使用單位�,應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況�����、信息安全等級(jí)測評(píng)情況進(jìn)行自查�����。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查����;第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查。經(jīng)測評(píng)或自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的��,應(yīng)當(dāng)制定方案進(jìn)行整改�。
第四章日常信息安全管理
第二十條建立健全崗位信息安全責(zé)任制度,明確崗位及人員的信息安全責(zé)任�。系統(tǒng)管理員、網(wǎng)絡(luò)管理員和信息安全員等重點(diǎn)崗位人員應(yīng)簽訂信息安全保密承諾書�,明確信息安全與保密安全責(zé)任。
第二十一條制定并嚴(yán)格執(zhí)行人員離崗離職信息安全管理規(guī)定��,人員離崗離職時(shí)應(yīng)及時(shí)終止信息系統(tǒng)訪問權(quán)限���,收回各種軟硬件設(shè)備����。
第二十二條建立外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫?�,外部人員須經(jīng)審批后方可進(jìn)入��,并安排本單位工作人員現(xiàn)場陪同�,對(duì)訪問活動(dòng)進(jìn)行記錄并留存。
第二十三條建立介質(zhì)安全管理制度�,對(duì)介質(zhì)的存放環(huán)境、使用�����、維護(hù)和銷毀等嚴(yán)格管理。移動(dòng)存儲(chǔ)介質(zhì)應(yīng)實(shí)行登記管理��,領(lǐng)用���、交回、維修�����、報(bào)廢�����、銷毀管理應(yīng)有臺(tái)賬���。
第二十四條移動(dòng)存儲(chǔ)介質(zhì)在接入電腦前進(jìn)行查殺病毒���、木馬等惡意代碼操作,確保不將病毒等感染網(wǎng)絡(luò)和電腦�。
第二十五條應(yīng)采購安全可控的信息技術(shù)產(chǎn)品和服務(wù)并進(jìn)行安全性評(píng)估。接受捐贈(zèng)的信息技術(shù)產(chǎn)品�����,使用前應(yīng)進(jìn)行安全測評(píng),并與捐贈(zèng)方簽訂信息安全與保密協(xié)議��。
第二十六條采購的信息系統(tǒng)安全專用產(chǎn)品應(yīng)符合國家和部省相關(guān)規(guī)定��,并依法取得公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》���,且在湖北省信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室進(jìn)行了備案�。
第二十七條有外包服務(wù)的部門應(yīng)建立并嚴(yán)格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度��,與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和信息安全與保密協(xié)議���,明確信息安全與保密責(zé)任����,要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包�����,不得泄露��、擴(kuò)散��、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息,不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn)�����,不得以服務(wù)為由強(qiáng)制要求委托方購買��、使用指定產(chǎn)品�。
第二十八條外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進(jìn)行安全測評(píng)���,要求開發(fā)方及時(shí)提供系統(tǒng)、軟件的升級(jí)��、漏洞等信息和相應(yīng)服務(wù)?��,F(xiàn)場服務(wù)過程中應(yīng)安排專人陪同�,并詳細(xì)記錄服務(wù)過程����。信息技術(shù)外包服務(wù)安全管理納入年度信息安全檢查范圍。
第五章網(wǎng)絡(luò)信息安全信息通報(bào)管理
第二十九條各單位�����、各部門應(yīng)根據(jù)《湖北省網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制暫行辦法》、《湖北省網(wǎng)絡(luò)與信息安全通報(bào)工作實(shí)施細(xì)則》和本暫行辦法的要求�,建立行業(yè)網(wǎng)絡(luò)信息安全信息通報(bào)制度和報(bào)送機(jī)制,規(guī)范安全信息采集���、報(bào)送�、處理和發(fā)布流程��。
第三十條網(wǎng)絡(luò)信息安全信息通報(bào)內(nèi)容包括:
(一)電子公告服務(wù)��、群發(fā)電子郵件以及廣播式即時(shí)通信和短信息等網(wǎng)絡(luò)信息服務(wù)中反動(dòng)有害信息的傳播情況���;
(二)利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況��;
(三)已經(jīng)確定或可能發(fā)生的計(jì)算機(jī)病毒�、網(wǎng)絡(luò)攻擊情況�;
(四)網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息;
(五)網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常��、網(wǎng)絡(luò)和信息系統(tǒng)癱瘓�、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況����;
(六)網(wǎng)絡(luò)安全狀況��、安全形勢分析預(yù)測等信息����;
(七)其他影響網(wǎng)絡(luò)與信息安全的信息����。
第三十一條廳信息中心為全省交通運(yùn)輸行業(yè)網(wǎng)絡(luò)信息安全信息通報(bào)責(zé)任部門,具體負(fù)責(zé)網(wǎng)絡(luò)信息安全通報(bào)工作��。
第六章責(zé)任追究
第三十二條安全保護(hù)等級(jí)在第三級(jí)以上(含第三級(jí))和本辦法第十三條規(guī)定優(yōu)先加強(qiáng)管理的重要信息系統(tǒng)�����,運(yùn)營使用單位違反本辦法規(guī)定��,有下列行為之一的��,由廳網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員實(shí)行責(zé)任追究��。
(一)未按本辦法規(guī)定備案�、審批的����;
(二)未按本辦法規(guī)定落實(shí)安全管理制度��、措施的�����;
(三)未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的�;
(四)未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評(píng)的��;
(五)接到整改通知后����,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評(píng)機(jī)構(gòu)的����;
(七)未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的;
(八)違反本辦法其他規(guī)定造成嚴(yán)重?fù)p害的��。
第三十三條網(wǎng)絡(luò)與信息安全發(fā)生重大問題的����,依法給予相關(guān)責(zé)任人行政處分;構(gòu)成犯罪的��,依法追究刑事責(zé)任����。
第七章附則
第三十四條本辦法適用于全省交通運(yùn)輸行業(yè)����。
第三十五條本辦法由廳網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)解釋�����。
第三十六條本辦法自印發(fā)之日起施行�。
