《XX县电子政务应用系统全生命周期安全管理细则.docx》由会员分享,可在线阅读,更多相关《XX县电子政务应用系统全生命周期安全管理细则.docx(8页珍藏版)》请在优知文库上搜索。
1、XX县电子政务应用系统全生命周期安全管理细则第一章总则第一条为规范电子政务应用系统全生命周期安全管理,维护政务网络和公共数据安全,根据中华人民共和国网络安全法XX省公共数据条例XX省政务数据安全管理办法XX县人民政府办公室关于印发XX县政务数据中心管理办法(试行)的通知等法律法规和文件,结合我县实际,制定本细则。第二条本细则适用于XX县所有党政机关及其下属事业单位、人民团体、国资平台开发建设或购买服务的电子政务应用系统,包括新建和已建在用的应用系统。第三条电子政务应用系统(以下简称应用系统),是指政务部门为满足依据职能开展政务活动的需要,运用信息技术,构建的支持政务业务工作的信息服务系统。第四
2、条应用系统安全主要包括操作系统安全、代码安全、数据库安全、网络安全、病毒防护、访问控制和加密等方面。第五条应用系统安全实施基本流程主要涵盖开发建设、上线试运行、正式运行、停运下线等阶段。第二章职责与分工第六条县网信办负责统筹协调全县应用系统安全保护和管理工作,督促指导安全责任单位落实网络安全工作责任制,统筹推进安全检查、通报预警和重大事件应急处置等工作。第七条县公安局负责监督、检查、指导安全责任单位落实网络安全等级保护制度,开展网络安全执法检查和打击违法犯罪等工作。第八条县大数据局负责制定应用系统安全管理规范,利用技术手段监测、检测政务网络和应用系统安全状况,督促指导安全责任单位做好安全保护工
3、作和风险隐患整改。第九条应用系统建设使用单位是系统安全责任单位,负责管理和落实应用系统各阶段的安全保护工作,建立健全技术防护措施和安全管理制度,加强服务外包单位和人员管理。第十条应用系统开发和服务外包单位负责应用系统技术安全保护,协助安全责任单位完成系统安全加固、数据备份和风险隐患排查整改。第十一条云服务商负责云平台的安全防护,协助安全责任单位完成系统安全加固、数据备份和风险隐患排查整改。第三章开发建设阶段第十二条新建和升级改造应用系统,需按照XX县人民政府办公室关于印发XX县政府投资信息化项目管理办法的通知(X政办发(2021)5号)进行项目申报,申报内容须包含应用系统安全建设计划,全县新建
4、信息化项目网络安全总预算占项目总预算比例不低于5机第十三条应用系统所配套的产品和服务需符合国家相关安全规定及XX省信息技术服务外包网络安全管理办法要求。需在招标文件或合同中明确外包服务机构的网络和数据安全责任及相关违约条款。签订服务安全保护及保密协议,并加强服务外包人员的安全背景审查。第十四条应用系统开发过程中,应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果安全可控。第十五条应采用安全通信协议对重要数据进行安全传输(尤其是账号、口令信息),如SSL/TLS、HTTPS、SFTP和IPSeC等。禁用SSH、RDP.SMB,IMAP等协议。第十六条按照GB/T39
5、786-2021信息安全技术信息系统密码应用基本要求完善系统在规划、建设和运行阶段的密码应用安全建设。第四章上线试运行阶段第十七条应用系统建成后应进行1至3个月的试运行,使用县云数据中心资源。由建设单位将应用系统录入IRS(XX省一体化数字资源系统),并提交云资源申请,审核通过后由云服务商进行资源分配。第十八条云上系统需部署云安全防护组件,必须配备防火墙、日志审计、数据库审计、病毒防护等组件,其余组件按照信息安全等级保护要求进行部署。第十九条未入云的系统需要在本地环境中配备安全硬件,要求系统环境具有访问控制、入侵防护、恶意代码防护、日志审计、数据库审计的能力。第二十条建设单位进行系统部署时,应
6、制定相关技术方案,明确安全责任边界及基于风险分析的安全计划和控制策略,关闭不需要的服务和端口。第二十一条建设单位需委托县网络安全运营中心或相关资质单位对应用系统进行代码审计、漏洞扫描等安全检查,并完成安全问题整改。第二十二条新建应用系统必须按照GB/T22240-2020信息安全技术网络安全等级保护定级指南进行网络安全等级保护备案,确定等保等级,并在3个月的试运行期间完成等级保护测评。应用系统等级保护定为三级及以上的,需完成商用密码应用性评估。第五章正式运行阶段第二十三条系统试运行结束后,需通过IRS系统提交正式运行申请,县大数据局对应用安全情况进行审核,试运行到期未提交申请或审核不通过的将被
7、限期运行并释放云资源。第二十四条应用系统必须通过堡垒机进行远程运维,建设单位可向县大数据局申请堡垒机权限,禁止使用VPN、向日葵、Teamviewer等远程控制软件。暂停系统服务的操作原则上在22时至次日6时之间进行。第二十五条建设单位应指定专人对系统进行管理,划分系统管理员、审计管理员和安全管理员等角色,明确各个角色的权限、责任和风险,权限设定遵循最小授权原则,角色授权操作过程应保留不可更改的审计日志。第二十六条建立应用系统安全日常检测工作制度,制定并实施应用补丁管理计划,定期开展应用安全评估,利用防病毒软件等进行全盘杀毒和漏洞检查,及时消除安全隐患,确保信息安全和系统正常运行。第二十七条建
8、立应用系统口令(密码)使用管理制度,口令必须加密存储,严禁在网上明文传输。口令更换周期通常不超过90天,更换时需由系统管理员记录。必须使用强口令,由数字、字符和特殊字符组成,不少于8个字符,避开有规律、易破译的数字或字符组合。第二十八条结合系统数据具体应用场景,按照分类分级保护要求,建立健全数据安全防护技术标准和规范,采取身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等技术措施,提高数据安全保障能力。第二十九条应用系统处理数据过程中,因数据汇聚、关联分析等原因,可能产生涉密敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。第三十条根据数据的重要性和对系统运行
9、的影响,制定数据备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法,并建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存,备份需每月进行一次,必须异地存放,并保存6月以上。第三十一条建立健全应用系统安全应急预案,包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。各单位每年应至少组织1次应急演练,记录和核查应急演练结果,并根据需要修正应急响应计划。第三十二条县网信办、县公安局、县大数据局要联合开展常态化网络安全监测、专项检查和护网演练,对相关问题进行通报整改,情节严重的作行政处罚。建立应用系统
10、网络安全数据库,作为信息化项目绩效评价的重要依据。第六章停运下线阶段第三十三条应用系统需要停运的,需通过IRS系统提交系统停运申请。若应用系统属于关键信息基础设施的,需在申请中提供需要停运的关键信息基础设施相关情况报告。第三十四条系统停运应遵循相关政策、法律法规、标准规范,制定应用系统终止实施方案,明确信息资产的相关安全处置内容,并严格按照方案实施。第三十五条应用系统在停运或迁移完成后,应彻底删除系统数据信息和备份数据,确保无法被恢复重用。对含有敏感信息的重要设备或存储介质,应选择有资质的机构进行安全销毁,并保留详细处理记录。第三十六条注册有网站域名的政务应用系统,需将网站域名进行注销。第三十七条县大数据局和云服务商应及时回收应用系统的云资源、IP地址、公网映射、堡垒机账号等资源。第七章附则第三十八条应用系统的保密管理,按照国家有关规定执行。第三十九条本细则自发布之日起实施。附件:应用系统安全管理流程示意图附件应用系统安全管理流程示意图上班试连有除陂