北京市公共服务网络与信息系统安全管理办法

北京市公共服务网络与信息系统安北京市公共服务网络与信息系统安 全管理办法全管理办法 北京市公共服务网络与信息系统安全管理规定 已经 20 xx 年 11 月 9 日市人民政府第 45 次常务会议审议通过 自 20 xx 年 1 月 1 日起施行 下文是北京市公共服务网络与信息系统安 全管理规定 欢迎阅读 北京市公共服务网络与信息系统安全管理规定北京市公共服务网络与信息系统安全管理规定 第一条为加强本市公共服务网络与信息系统 以下简称网络 与信息系统 的安全管理 根据国家有关规定 结合本市实际情 况 制定本规定 第二条本市网络与信息系统的建设和运行维护单位 以下简 称运营单位 应当做好网络与信息系统安全工作 保障网络与信 息系统安全可靠运营 本规定所称公共服务网络与信息系统 是指由本市行政机 关和企事业单位为社会提供的政务 交通 医疗卫生 供水 供电 供气 供热 通信 广播电视以及其他公共服务的网络 与信息系统 第三条市和区 县信息化主管部门对本行政区域内的网络 与信息系统安全工作负责综合协调和监督管理 公安 国家安全和质量技术监督等政府有关部门 按照各 自职责分工 依法对网络与信息系统安全相关工作实施监督管 理 第四条运营单位应当加强对本单位网络与信息系统的安全 管理 做好下列工作 一 明确网络与信息系统安全工作的主管负责人和主管机构 并配备具有相应能力的工作人员 二 建立健全网络与信息系统安全管理责任制 制定管理制 度和操作规程 并定期检查落实情况 三 保障网络与信息系统安全的资金投入 四 定期进行网络与信息系统安全教育和培训 第五条市信息化主管部门应当会同政府有关部门统一规划 和组织建设本市网络与信息系统的安全测评 电子认证 灾难 备份和应急处理等安全基础设施 第六条本市对网络与信息系统实行安全等级保护 网络与信息系统安全等级分为五级 一 第一级为自主保护级 由运营单位进行自主保护 二 第二级为指导保护级 由运营单位在有关主管部门的指 导下进行保护 三 第三级为监督保护级 由运营单位在备案监督部门的监 督下进行保护 四 第四级为强制保护级 由运营单位在备案监督部门的强 制下进行保护 五 第五级为专控保护级 由运营单位在备案监督部门的专 控下进行保护 第七条运营单位应当按照安全等级保护制度的管理规范和 技术标准确定本单位网络与信息系统的安全等级 并根据安全 等级保护制度的要求进行建设 网络与信息系统安全等级确定为第三级 第四级 第五级 的 运营单位应当将安全等级确定情况报送备案 其中 涉及 电子政务的网络与信息系统运营单位 应当报市信息化主管部 门备案 其他的运营单位应当报市公安部门备案 市信息化主管部门 市公安部门应当在 30 日内对备案单位 的网络与信息系统安全等级确定情况进行评估 并提出审查意 见 第八条运营单位选用网络与信息系统相关安全产品或者选 择安全测评 电子认证等服务时 应当符合国家和本市有关网 络与信息系统安全管理的技术规范 使用财政资金投资建设的网络与信息系统选用安全产品和 服务时 应当依法实行政府采购 第九条运营单位应当依据网络与信息系统安全管理要求 对信息系统和信息数据进行备份 第十条运营单位应当制定网络与信息系统安全事件应急预 案 并定期进行演练 市和区 县人民政府有关行政主管部门应当组织制定相关 行业的网络与信息系统安全事件应急预案 组织 协调有关单 位做好应急预案的落实工作 第十一条发生网络与信息系统安全事件后 运营单位应当 迅速采取措施降低损害程度 防止事件扩大 保存相关记录 并按规定要求及时向同级信息化主管部门报告 第十二条本市组建信息安全应急救援服务体系 为发生信 息安全事件的单位提供救援服务 信息安全应急救援服务组织 应当公布救援电话 在接到救援请求时 及时提供救援服务 第十三条运营单位违反本规定 有下列情形之一的 由市 或者区 县信息化主管部门责令限期改正 给予警告 视情节 轻重处 3 万元以下罚款 一 违反本规定第四条规定 未按要求建立并落实安全管理 制度的 二 违反本规定第九条规定 未按要求对信息系统和信息数 据进行备份的 三 违反本规定第十条第一款规定 未按要求制定网络与信 息系统安全事件应急预案的 四 违反本规定第十一条规定 对网络与信息系统安全事件 情况隐瞒不报 谎报或者拖延不报的 行政机关违反前款规定的 市或者区 县信息化主管部门 可以对责任单位给予通报批评 造成重大损失的 由上级主管部 门或者监察机关依法追究责任单位主要负责人和有关责任人员 的行政责任 第十四条对于有危害公共安全 国家安全 泄露国家秘密 以及其他违反法律 法规和规章规定行为的 由公安 国家安 全 保密以及其他监督管理部门依法处理 构成犯罪的 依法追 究刑事责任 第十五条国家和本市对涉及国家秘密 国家安全的网络与 信息系统有特殊规定的 从其规定 第十六条本规定自 20 xx 年 1 月 1 日起施行 网络安全体系网络安全体系 与其它安全体系 如保安系统 类似 企业应用系统的安全体 系应包含 访问控制 通过对特定网段 服务建立的访问控制体系 将绝大多数攻击阻止在到达攻击目标之前 检查安全漏洞 通过对 安全漏洞的周期检查 即使攻击可 到达攻击目标 也可使绝大多数攻击无效 攻击监控 通过对特定网段 服务建立的攻击监控体系 可实时检测出绝大多数攻击 并采取相应的行动 如断开网络连 接 记录攻击过程 跟踪攻击源等 加密通讯 主动的加密通讯 可使攻击者不能了解 修改 敏感信息 认证 良好的认证体系可防止攻击者假冒合法用户 备份和恢复 良好的 备份和 恢