电子政务安全管理

电子政务安全管理一、总体要求（一）目标明确。电子政务安全管理必须坚持“安全第一、预防为主、综合治理”的方针，确保政务信息系统安全稳定运行，保障国家秘密和数据安全，维护公共利益。各单位必须将安全管理纳入年度工作计划，明确责任分工，落实保障措施。（二）标准统一。各级政务部门必须严格执行国家网络安全等级保护制度，按照《信息安全技术网络安全等级保护基本要求》GB/T22239-2019标准，开展定级、备案、建设整改和等级测评工作。信息系统定级结果必须向当地网信部门备案，并接受监督指导。二、组织架构（一）责任划分。各级政务部门的主要负责人对本单位电子政务安全负总责，分管领导具体负责，信息技术部门是安全管理执行主体，必须设立专职安全管理人员，负责日常安全监控和应急处置。各业务部门必须落实数据安全主体责任，明确数据管理人员，建立数据全生命周期安全管理制度。（二）协同机制。建立跨部门安全协同机制，定期召开联席会议，通报安全形势，协调解决重大安全问题。设立电子政务安全领导小组，由网信部门牵头，组织协调重大安全事件的处置工作。制定《电子政务安全事件应急预案》，明确响应流程、处置措施和责任分工。三、技术防护体系建设（一）边界防护。所有政务外网出口必须部署防火墙、入侵检测/防御系统，采用国密算法加密传输，禁止使用非加密信道传输涉密信息。建立安全域划分机制，按照业务类型、安全等级划分不同安全域，实施差异化防护策略。部署网络准入控制系统，对访问政务网络的终端进行安全检查，禁止携带病毒、木马的设备接入。（二）终端防护。所有接入政务网络的终端设备必须安装统信终端安全管理系统，实现在线注册、安全策略下发、病毒查杀、补丁管理等功能。禁止使用移动存储介质，必须采用加密U盘等安全设备。部署终端准入控制，对操作系统、应用软件、补丁更新等进行统一管理，禁止私自安装非授权软件。（三）数据安全。建立政务数据分类分级制度，明确数据敏感级别，制定差异化保护措施。核心数据必须存储在政务云平台，采用分布式存储、数据加密、访问控制等技术手段，防止数据泄露。建立数据备份机制，重要数据每日备份，核心数据每周异地备份，确保数据可恢复。四、安全运维管理（一）日常巡检。建立电子政务安全日常巡检制度，每日对网络设备、服务器、数据库、安全设备进行巡检，发现异常立即处置。每月开展全面安全检查，重点检查安全策略执行情况、日志审计情况、漏洞修复情况等。建立巡检台账，记录检查内容、发现问题、整改措施和复查结果。（二）漏洞管理。建立漏洞管理流程，采用国家漏洞库、商业漏洞扫描系统等工具，定期对政务系统进行漏洞扫描。发现漏洞必须及时修复，无法立即修复的必须采取临时性控制措施，并制定修复计划，限期完成整改。建立漏洞通报机制，及时获取最新漏洞信息，提前部署防护措施。（三）日志审计。所有政务系统必须部署日志审计系统，对用户登录、操作行为、系统事件等进行全量记录，日志保存期限不少于6个月。建立日志分析机制，定期对日志进行关联分析，发现异常行为立即调查处置。禁止私自删除、篡改日志，确保日志完整性、可用性。五、安全应急响应（一）事件分类。电子政务安全事件分为五个等级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）、较小（Ⅴ级）。事件分类依据事件影响范围、造成损失程度、社会危害性等因素综合确定。（二）处置流程。建立分级响应机制，Ⅰ级事件由省级网信部门牵头处置，Ⅱ级事件由市级网信部门牵头处置，Ⅲ级及以下事件由县级网信部门牵头处置。事件发生单位必须第一时间上报，同时采取控制措施，防止事件扩大。应急响应必须遵循“先控制、后处置、再恢复”的原则，确保业务连续性。（三）恢复重建。事件处置完毕后，必须开展系统恢复重建工作，对受损系统进行安全加固，恢复数据备份，开展渗透测试，确保系统安全可靠。恢复过程中必须进行安全评估，防止同类事件再次发生。建立事件总结机制，分析事件原因，完善管理制度，提升安全防护能力。六、安全意识培训（一）培训对象。所有政务人员必须接受电子政务安全培训，包括网络安全法、数据安全法、个人信息保护法等法律法规，以及本单位的安全生产制度、操作规程等。新入职人员必须接受岗前安全培训，考核合格后方可上岗。（二）培训内容。培训内容包括网络安全基础知识、密码应用规范、安全操作技能、应急响应流程等。采用线上线下相结合的方式开展培训，线上培训必须考核合格，线下培训必须签到留痕。每年至少开展两次安全培训，每次培训时间不少于4小时。（三）考核评估。建立安全培训考核机制，培训结束后必须进行考核，考核不合格的必须重新培训。将安全培训纳入绩效考核，考核结果与绩效工资挂钩。建立培训档案，记录培训时间、内容、人员、考核结果等信息，作为年度考核依据。七、监督检查与考核（一）检查方式。建立电子政务安全监督检查制度，采取定期检查、不定期抽查、专项检查等方式，对各单位安全管理情况进行检查。检查内容包括制度建设、责任落实、技术防护、运维管理、应急响应等。检查结果必须向被检查单位反馈，并限期整改。（二）考核机制。将电子政务安全纳入年度绩效考核，考核内容包括制度建设、责任落实、安全投入、检查整改等。考核结果分为优秀、良好、合格、不合格四个等级，考核结果与评优评先挂钩。对考核不合格的单位，必须进行约谈，并制定整改方案，限期整改。（三）责任追究。对发生安全事件的单位，必须依法依规追究责任。对未履行安全管理职责、导致事件发生的，必须严肃处理相关责任人。建立责任追究制度，明确责任追究标准，对责任人进行通报批评、降级降职等处理。涉嫌犯罪的，必须移交司法机关处理。八、附则（一）本制度适用于本地区所有政务部门，各单位必须根据本制度制定具体