您现在位置: 首页> 金塔县> 政策法规> 地方法规
酒泉市公共资源交易中心网络信息管理工作制度

酒泉市公共资源交易中心网络信息管理工作制度(试行)

酒市公资发〔2019〕58号

    第一条 加强公共资源交易信息系统和交易数据安全保护,确保网络信息系统稳定正常运行,根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机网络信息国际联网管理暂行规定》《甘肃省公共资源交易网络信息安全管理办法》等有关法律、法规、规章的规定,结合中心实际,制定本制度。

第二条 本制度所称网络信息系统,是指与公共资源交易相关的软件系统(电子服务系统、电子交易系统、电子监管系统等),网络系统(交换设备、传输设备、网络安全设备等),硬件设施(计算机、监控系统、询标系统、门禁系统等),支撑平台(服务器、数据库、存储、云平台资源等),数据资源(各类公共资源交易数据、设备配置信息、系统日志等)。

第三条 信息科负责本平台网络信息安全维护管理工作。

第四条 网络信息系统的安全保护,应当涵盖公共资源交易相关软件系统、网络系统、硬件设施和支撑平台。应保障所有相关系统、设施的功能正常发挥,应保障所有数据资源的安全性、合法性和有效性。

第五条 中心应当构建公共资源交易网络信息安全防护体系,保障信息系统及其相关的设备、设施、网络安全,保障公共资源交易平台运行安全和数据安全。

第六条 中心应当履行信息安全主体责任,按要求对本平台信息系统进行安全等级保护测评,按照《突发事件应急预案》,定期开展网络安全应急演练,提高网络安全意识。

第七条 任何单位和个人不得利用公共资源交易网络信息系统危害国家安全、泄露国家秘密,不得侵犯国家、社会、企业利益和公民的合法权益,不得泄露应该保密的信息,不得将重要敏感数据擅自公开及用于商业用途,不得从事违法犯罪活动。

第八条 中心及其工作人员不得通过任何非法手段接入和使用互联网。

第九条 严格管理连接到互联网的设备设施;对中心政务专网、财政专网和涉及国家秘密及商业秘密的设备,必须做到专机专用,严禁接入互联网。

第十条 所有需要连接互联网或允许通过互联网访问的设备设施,要统一规范设置IP地址和访问端口,通过安全网关,控制其访问权限。

第十一条 通过互联网下载的文件,必须经过计算机病毒和木马扫描后方可使用。

第十二条 信息科做好接入互联网的网络系统及支撑平台系统日志的存储和分析工作,并做好日志备份工作。

第十三条 信息科定期对内部局域网进行安全扫描,对发现的漏洞及时修补、并统一提供修补程序及修补办法。

第十四条 信息科对内部局域网上的设备设施的网络配置信息进行登记管理,对所有设备的IP地址进行统筹分配和登记,局域网内部所有设备必须使用单位统筹分配的IP地址,不得私自修改。

局域网内的所有计算机、服务器的工作组名、域名和计算机名等配置信息不得随意修改,防止影响网络通讯。

第十五条 任何单位和个人不得从事下列危害内部局域网网络信息安全的活动:

(一)未经允许访问、修改和删除任何设备设施的配置信息;

(二)未经允许,对公共资源交易相关的软件系统、数据资源进行查阅、删除、修改;

(三)故意制作、传播计算机病毒或木马等破坏性程序;

(四)其他危害计算机网络信息安全的行为。

第十六条 中心局域网中的计算机应专人专用,按照“谁使用、谁负责”的原则,应设置独立的系统账号和密码;对多人共用一台计算机的,应分别设置每个人的系统账号及密码,保存在该计算机上的涉密资料应设置密码进行保护;系统登录密码要定期更改;关键计算机应当设置定时屏保及密码。

第十七条 任何部门或个人未经允许,不得擅自安装、拆卸或改变软件系统、网络系统、硬件设施和支撑平台,不得擅自访问和修改数据资源。对获准允许安装、拆卸或改变的,进行记录留痕。

第十八条 中心所有计算机都必须安装国产正版防病毒软件,病毒特征库应及时更新,发现病毒的应立即查杀。未安装防病毒软件的计算机严禁接入内部局域网。

第十九条 任何单位和个人不得擅自停用或删除计算机中的防病毒软件;使用计算机时要关注防病毒软件的状态,确保防病毒软件正常工作;发现问题及时与信息科工作人员联系。如发现无法清除病毒,应立即采取如下措施:

(一)迅速断开本机的网络连接,做好病毒查杀工作;

(二)工作人员应作好相关记录,并立即报告信息科处理;

(三)情况严重的,应立即启动应急预案,并做好取证工作。

第二十条 信息科对来自各种渠道的网络信息服务请求、报警和故障,按照运行维护事件的范围、影响和紧急程度进行处置并做好记录工作。

第二十一条 中心委托系统运维服务单位统一管理本平台网络信息系统的开发运维、服务器账号和密码,并签订系统运维及保密协议,中心工作人员不接触服务器及数据库,做到开发、维护和使用相分离。

第二十二条 网络信息系统运维服务单位在软件系统、支撑平台及数据资源相关的运行维护服务工作包括以下内容:

(一)负责软件系统支撑平台的用户账号、密码和权限的分配与管理;

(二)负责软件系统支撑平台的运行状态检查、资源配置和日志分析;

(三)负责软件系统的安装、测试、升级、培训、技术支持等服务,并做好相应记录,要做到处处留痕、可溯可查;

(四)负责软件系统支撑平台的安全防护;

(五)负责软件系统用户的增加、删除和修改工作,对系统使用权限进行分配;

(六)负责软件系统和数据资源备份,并制定相关的备份和恢复策略;

(七)负责完成与各类第三方软件系统的对接和数据交换共享工作;

(八)负责对数据资源的完整性、有效性、合法性进行校验,及时处理发现的数据问题。

第二十三条 信息科负责管理系统运维服务单位做好以下工作:

(一)严格遵守中心网络信息管理工作制度。

(二)做好新增信息系统的设计论证,按标准规范实现各软件系统间的信息共享,做好各系统间的信息资源管理。

(三)加强公共资源交易平台电子信息化系统的维护管理。用户对软件的需求或者软件的修改,须定期汇总论证,经中心党组会研究通过,提出修改需求。修改后的软件系统,使用前应认真测试,确认无误后方能投入使用,并做好文字记录。

(四)系统用户增加和权限设置由科室工作人员提出申请,科室负责人审核,报分管领导审批后,增设相关功能权限。特殊权限设置按中心的相关规定,经主要领导审批后确定。

第二十四条 软件系统及支撑平台要满足以下安全要求:

(一)软件系统代码或数据资源的任何修改,必须经中心党组会决定,分管领导签字后进行修改并记录;

(二)软件系统中的数据传输要采用安全套接层(SSL)实现加密;

(三)软件系统要具备防结构化查询语言(SQL)注入功能;

(四)支撑平台应具备入侵监测、病毒查杀、漏洞修复、网页防篡改等功能;

(五)支撑平台应具备维护服务审计功能,可以全程记录运行维护服务人员对支撑平台的使用过程,做到可溯可查;

(六)在公共资源交易活动中需要提供电子文档的,应当使用数字证书进行签名和加密。

第二十五条 信息科负责网络安全运行维护服务工作,包括以下内容:

(一)对网络安全情况进行分析,对系统运行过程中出现的网络安全问题进行监控并及时解决;

(二)全面规划和指导系统升级、网络病毒的控制等工作,及时消除网络安全隐患;

(三)负责网络系统、硬件设施和支撑平台的配置,关闭网络系统、硬件设施和支撑平台上非必要的服务和端口,减少安全隐患;对所有设备设施的配置信息和运行日志进行规范管理;

(四)发生网络入侵或攻击事件时,要具备必须的应对手段,能及时定位到相关入侵来源,同时启动应急预案,并配合信息管理部门做好取证工作;

(五)对网络信息系统的故障和性能进行监控,发现问题及时解决,并及时报告;

(六)负责对网络信息系统运行过程中发生的其他各类问题进行及时处理。

第二十六条 中心工作人员和运行维护单位违反本制度有关规定的,依规处理;构成犯罪的,移送司法机关处理。

第二十七条 法律、法规、规章对网络信息安全另有规定的,从其规定。

第二十八条 中心应加强安全意识,定期开展网络信息系统安全培训和教育,强化工作人员对网络信息安全的认识,引导工作人员遵守保密制度。

第二十九条 本制度自发布之日起施行。