电子政务安全管理

电子政务安全管理一、总体要求（一）目标明确。电子政务安全管理必须以保障政务信息系统稳定运行、数据安全完整、网络环境清朗为核心目标，确保政务服务连续性和公信力。1.建立健全电子政务安全管理体系，覆盖技术防护、制度规范、人员管理全过程。2.实现重要政务信息系统安全防护能力达A级标准，数据备份恢复时间控制在2小时内。3.每季度开展一次全面安全风险评估，重大风险隐患整改完成率必须达100%。（二）责任落实。各级政务部门必须落实“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则，形成纵向到底、横向到边责任体系。1.省级政务办统筹协调全省电子政务安全工作，每半年向省政府提交专项报告。2.市县级政务部门设立专职安全管理人员，配备不少于3名持证安全工程师。3.重大安全事件实行责任倒查制度，相关责任人必须受到严肃处理。二、技术防护体系建设（一）网络边界防护。所有政务外网出口必须部署符合C级标准的防火墙集群，实施7×24小时监控。1.部署深度包检测系统，对HTTP/HTTPS流量进行实时检测，阻断恶意代码传输。2.建立虚拟专用网络集群，省级部门之间采用IPSecVPN传输政务数据。3.每月开展一次边界防护压力测试，确保设备处理能力不低于日均流量1.5倍。（二）数据安全防护。政务数据必须实现分类分级存储，敏感数据实行加密存储和传输。1.建立政务数据分类清单，明确核心、重要、一般三级数据范围。2.敏感数据传输必须采用TLS1.3加密协议，存储时采用AES-256算法加密。3.建立数据防泄漏系统，对数据库外联操作进行实时审计。（三）终端安全管理。所有政务终端必须部署符合GB/T36245标准的终端安全管理系统。1.实施终端准入控制，未安装标准安全软件的终端禁止接入政务网。2.每月开展一次终端漏洞扫描，高危漏洞必须在7日内完成修复。3.建立终端行为监测系统，对异常操作进行实时告警。三、安全运行保障机制（一）应急响应机制。建立分级分类的应急响应体系，重大安全事件必须在2小时内启动应急响应。1.制定详细应急预案，明确监测预警、应急处置、后期处置三个阶段操作流程。2.每季度开展一次应急演练，重点检验数据恢复、系统切换等关键环节。3.建立应急资源库，储备不少于3套备用服务器和关键设备。（二）安全监测机制。建立7×24小时安全监测平台，对各类安全事件进行实时监控。1.部署态势感知系统，整合日志、流量、终端等多源安全数据。2.设置智能告警规则，对异常行为进行自动关联分析。3.每日生成安全态势报告，向分管领导报送风险预警信息。（三）安全审计机制。建立覆盖全流程的安全审计体系，确保所有操作可追溯。1.对重要业务系统实施全量日志采集，存储周期不少于6个月。2.建立审计分析工具，对敏感操作进行自动核查。3.每月开展一次审计检查，对违规操作进行通报处理。四、安全管理制度建设（一）制度体系完善。建立符合国家标准的电子政务安全管理制度体系。1.制定《电子政务安全管理办法》，明确安全责任、管理流程、技术标准。2.制定《政务数据安全管理细则》，规范数据采集、存储、使用、销毁全流程。3.制定《网络安全等级保护管理办法》，落实等保测评和整改要求。（二）人员管理规范。建立政务人员安全教育培训和考核制度。1.新入职人员必须接受不少于8学时的安全培训，考核合格后方可上岗。2.每年开展一次全员安全知识测试，测试合格率必须达95%以上。3.对接触核心数据的涉密人员实行定期背景审查，每年审查一次。（三）第三方管理。建立第三方服务机构安全管理制度。1.制定《第三方服务安全管理办法》，明确服务资质审查、过程监督、结果评估要求。2.对提供系统运维、数据服务的外部人员实行统一身份认证。3.每季度开展一次第三方服务安全评估，评估结果与合同续签挂钩。五、安全投入保障机制（一）经费保障。各级财政必须将电子政务安全经费纳入年度预算。1.安全经费投入比例不低于年度信息化建设预算的30%。2.建立安全投入增长机制，每年增长幅度不低于10%。3.对重大安全项目实行专项经费保障，确保项目顺利实施。（二）人才保障。建立电子政务安全专业人才培养机制。1.与高校合作设立安全实训基地，每年培养不少于50名专业人才。2.建立安全人才引进专项计划，对高层次安全人才给予特殊待遇。3.对在安全工作中表现突出的个人给予表彰奖励。（三）技术保障。建立安全技术研发和应用机制。1.设立安全技术研究专项资金，每年支持不少于5个重点课题。2.建立安全技术成果转化平台，推动新技术在政务系统应用。3.对采用自主创新安全技术的项目给予优先支持。六、监督考核机制（一）日常监督。各级政务办对部门安全工作实施日常监督。1.每月开展一次安全检查，重点检查制度落实、技术防护、应急准备情况。2.对发现的问题建立整改台账，实行闭环管理。3.对整改不力的部门进行约谈，必要时实施通报批评。（二）专项检查。每半年开展一次全面安全检查。1.检查内容覆盖安全制度、技术防护、运行保障、人员管理四个方面。2.检查结果分为优秀、良好、合格、不合格四个等级。3.不合格等级的部门必须进行整改复检，复检仍不合格的实行领导问责。（三）绩效考核。将安全工作纳入年度绩效考核体系。1.制定电子政务安全绩效考核指标体系，占年度绩效考核权重不低于15%。2.对考核结果优秀的部门给予专项奖励，对不合格的实行黄