( 试 行 )
第一章 总则
第一条 为了加强全省交通运输行业网络与信息安全管理,依据国家及部省网络与信息安全相关法规,结合我省交通运输行业实际,制定本办法。
第二条 本办法所指的网络与信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络与信息安全包含网络设备安全、网络信息安全、网络软件安全。
第二章 组织领导
第三条 厅网络安全与信息化工作领导小组是全省交通运输行业网络与信息安全领导机构,全面领导全省交通运输行业网络与信息安全工作。
第四条 厅网络安全与信息化工作领导小组办公室,是厅网络安全与信息化工作领导小组日常办事机构,负责组织全省交通运输行业贯彻落实国家、交通运输部和省政府有关网络与信息安全工作的方针政策;拟定全省交通运输行业网络与信息安全工作规定规章及发展战略、规划;负责全省交通运输行业信息系统安全等级保护工作及信息安全信息通报工作。
第五条 厅信息中心是全省交通运输行业网络与信息安全技术支持单位,主要负责全省交通运输行业网络与信息安全技术咨询及技术服务等日常工作。
第三章 安全等级保护
第六条 全省交通运输行业运行的信息系统应按照国家和部省要求,开展安全等级保护工作。
信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
第七条 根据《信息系统安全等级保护实施指南》,信息安全等级应遵循以下基本原则:
1、自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
2、重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
3、同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
4、动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
第八条 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
第九条 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第十条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第十一条 交通运输行业信息安全等级保护管理的对象,为各级交通运输主管部门建设、管理、使用的非涉密信息系统,主要包括以下两类系统:
1、面向公众和企业服务的系统;
2、面向行业管理部门业务管理和内部办公事务的系统。
安全保护等级在第三级以上(含第三级)和以下类型的重要信息系统应优先加强管理,即:
(1)市级及以上交通运输行政许可、行政执法、安全监督、应急处置、收费的重要业务系统;
(2)面向公众提供市域及以上范围交通运输信息服务的信息系统;
(3)市级以上交通运输部门的政府网站;
(4)市级以上涉及到交通运输投资计划、项目管理、资金安排和使用的信息系统;
(5)交通运输跨省联网信息系统。
第十二条 为提高信息系统定级的准确性,信息系统运营使用单位,可聘请专家对本单位信息系统初步定级结论进行评审。
第十三条 厅机关处室运营使用的业务系统,由厅机关处室组织定级,定级结论报厅主管部门汇总,由厅信息中心到公安机关备案。厅直单位信息系统定级结论需报厅主管部门审定批准后,方可报当地公安机关备案。市州交通运输局(委)信息系统定级备案由本级主管部门负责。
第十四条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》(网上下载),第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十五条 信息系统安全保护等级确定后,运营使用单位应按照国家有关管理规范和技术标准,使用符合国家有关规定,满足信息系统安全需求的信息技术产品,开展信息安全建设或整改工作。
第十六条 新建、扩建和升级改造的信息系统,在规划设计阶段要同步完成系统定级工作,并同步规划等级保护总体设计方案,在项目建设过程中同步完成信息安全等级保护建设工作。
第十七条 信息系统建设完成后,运营使用单位应当从全国信息安全等级保护测评机构推荐目录(见www.djbh.net)中选择符合《信息安全等级保护管理办法》规定条件,取得《信息安全等级保护测评机构推荐证书》的测评机构,依据国家相关技术标准,定期对信息系统安全状况开展等级测评。
第十八条 安全保护等级被定为第四级的信息系统应当每半年至少进行一次等级测评;被定为第三级的信息系统应当每年至少进行一次等级测评;被定第二级的信息系统可参照第三级信息系统的要求进行等级测评。
第十九条 信息系统运营使用单位,应当定期对信息系统安全状况、安全保护制度及措施的落实情况、信息安全等级测评情况进行自查。第三级信息系统应当每年至少进行一次自查;第四级信息系统应当每半年至少进行一次自查。经测评或自查,信息系统安全状况未达到安全保护等级要求的,应当制定方案进行整改。
第四章 日常信息安全管理
第二十条 建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。系统管理员、网络管理员和信息安全员等重点岗位人员应签订信息安全保密承诺书,明确信息安全与保密安全责任。
第二十一条 制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应及时终止信息系统访问权限,收回各种软硬件设备。
第二十二条 建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存。
第二十三条 建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等严格管理。移动存储介质应实行登记管理,领用、交回、维修、报废、销毁管理应有台账。
第二十四条移动存储介质在接入电脑前进行查杀病毒、木马等恶意代码操作,确保不将病毒等感染网络和电脑。
第二十五条 应采购安全可控的信息技术产品和服务并进行安全性评估。接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议。
第二十六条采购的信息系统安全专用产品应符合国家和部省相关规定,并依法取得公安部颁发的《计算机信息系统安全专用产品销售许可证》,且在湖北省信息安全等级保护协调小组办公室进行了备案。
第二十七条 有外包服务的部门应建立并严格执行信息技术外包服务安全管理制度,与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品。
第二十八条 外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务。现场服务过程中应安排专人陪同,并详细记录服务过程。信息技术外包服务安全管理纳入年度信息安全检查范围。
第五章 网络信息安全信息通报管理
第二十九条 各单位、各部门应根据《湖北省网络与信息安全信息通报机制暂行办法》、《湖北省网络与信息安全通报工作实施细则》和本暂行办法的要求,建立行业网络信息安全信息通报制度和报送机制,规范安全信息采集、报送、处理和发布流程。
第三十条 网络信息安全信息通报内容包括:
(一)电子公告服务、群发电子邮件以及广播式即时通信和短信息等网络信息服务中反动有害信息的传播情况;
(二)利用网络从事违法犯罪活动的情况;
(三)已经确定或可能发生的计算机病毒、网络攻击情况;
(四)网络恐怖活动的嫌疑情况和预警信息;
(五)网络或信息系统通信和资源使用异常、网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况;
(六)网络安全状况、安全形势分析预测等信息;
(七)其他影响网络与信息安全的信息。
第三十一条 厅信息中心为全省交通运输行业网络信息安全信息通报责任部门,具体负责网络信息安全通报工作。
第六章 责任追究
第三十二条 安全保护等级在第三级以上(含第三级)和本办法第十三条规定优先加强管理的重要信息系统,运营使用单位违反本办法规定,有下列行为之一的,由厅网络安全与信息化工作领导小组对直接负责的主管人员和其他直接责任人员实行责任追究。
(一) 未按本办法规定备案、审批的;
(二) 未按本办法规定落实安全管理制度、措施的;
(三) 未按本办法规定开展系统安全状况检查的;
(四) 未按本办法规定开展系统安全技术测评的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本办法规定选择使用信息安全产品和测评机构的;
(七) 未按本办法规定如实提供有关文件和证明材料的;
(八) 违反本办法其他规定造成严重损害的。
第三十三条 网络与信息安全发生重大问题的,依法给予相关责任人行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第三十四条 本办法适用于全省交通运输行业。
第三十五条 本办法由厅网络安全和信息化工作领导小组办公室负责解释。
第三十六条 本办法自印发之日起施行。