| 索 引 号 | 01426719-5046/2022-00002 | 分 类 | / 通知 |
| 发布机构 | 海州 | 发文日期 | 2021-12-27 |
| 标 题 | 江苏省交通运输厅网络安全管理办法 | ||
| 文 号 | 无号 | 主 题 词 | |
| 内容概述 | |||
| 时 效 | |||
江苏省交通运输厅网络安全管理办法
第一章 总则
第一条 为加强省交通运输厅网络安全管理,进一步落实网络安全工作责任,健全网络安全保障体系,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《交通运输部网络安全管理办法》《江苏省政务信息化项目建设网络安全管理规定》等有关规定,制定本办法。
第二条 在省交通运输厅及厅属单位规划、建设、运行、使用及监管网络等过程中,为保障网络稳定可靠运行和数据的完整性、保密性、可用性所执行的各项工作,适用于本办法。本办法所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第三条 省交通运输网络安全工作遵循“积极利用、依法管理、科学发展、确保安全”方针,根据“同步规划、同步建设、同步使用”要求,坚持“谁主管谁负责,谁建设谁负责,谁运行谁负责”的原则,实行分级管理和分工负责。
第二章 职责和分工
第四条 省交通运输厅按规定履行全省交通运输行业网络安全综合协调和指导监管职责。省交通运输厅网络安全和信息化领导小组办公室(以下简称厅网信办,由科技处、办公室、政研室、信息中心组成)承担有关工作,具体责任与分工参照《省交通运输厅关于调整厅网络安全和信息化领导小组有关事项的通知》(苏交技〔2019〕25号)。
第五条 设区市、县(市、区)交通运输主管部门在同级党委和政府的领导下,贯彻落实国家、行业、地方网络安全相关法律法规及政策制度,负责本地区交通运输有关单位网络安全工作。
第六条 网络应当明确网络主管单位(部门)、建设单位、运行单位、应用单位(部门)等的责任,多类责任单位可以是同一单位,各责任单位的网络安全职责为:
(一)网络主管单位(部门)是指网络的管理单位(部门),具体由网络所涉及业务的管理责任单位(部门)负责。厅本级网络主管部门是网络所涉及业务的厅有关处室;厅属单位是其自建网络的主管单位。网络主管单位(部门)具体承担网络的安全指导、协调责任,负责提出网络安全需求,指导网络等保定级备案测评等工作,组织网络的上线、变更、废止。遵守网络安全有关规定,确保网络在使用过程中的安全。
(二)建设单位是指承担网络建设任务的厅属单位,由厅信息中心代建的厅本级网络,建设单位是厅信息中心。建设单位具体承担网络安全建设责任,应建立完善建设安全相关制度,负责建设阶段同步贯彻落实国家网络安全政策、部省网络安全管理和技术要求。
(三)运行单位是指承担网络运行维护管理的厅属单位,厅本级网络运行管理单位是厅信息中心。运行单位具体承担网络安全运行管理责任,负责运行阶段网络安全等级保护测评,建立完善运行安全的相关制度,组织开展网络安全监测、预警和事件处置,负责网络运行阶段同步贯彻落实国家网络安全政策、部省网络安全管理和技术要求。
(四)应用单位(部门)是指使用网络的厅有关处室、厅属单位以及网络所涉及业务的其他使用单位。应用单位(部门)承担网络使用的安全责任,遵守网络主管单位(部门)有关安全管理要求,并对由本单位自建的相关软硬件承担管理责任。
第七条 各单位应明确承担本单位网络安全监督管理职责的部门,具体负责本单位网络安全保护相关工作,指导监管其下属单位网络安全工作。各单位领导班子主要负责人是网络安全工作的第一责任人,主管网络安全的领导班子成员是直接责任人。
第三章 网络安全建设管理
第八条 网络主管单位(部门)应督促建设单位按照等保制度和标准规范要求,开展规划设计、建设开发、部署上线等环节的网络安全工作,督促其建立覆盖建设各方、各环节的网络安全责任制。
第九条 建设单位应建立网络安全建设管理制度,细化明确咨询设计单位、集成实施单位、开发单位、产品及服务提供商、监理单位等的网络安全建设责任,签署责任承诺书,留档备查。
第十条 在可行性研究报告(或具有同等作用的项目建议书等,下同)报批前,建设单位应组织开展等保定级工作。有上级主管部门的,拟报公安机关备案的等保定级结果应按照有关规定,经上级主管部门同意。全省统一联网运行的网络,应由省级建设单位牵头统一确定等保定级方案。新建网络的等保定级方案应与前期设计文件同步评审。改扩建网络应重新组织开展定级工作,定级结果有调整的,应按要求报公安机关履行备案变更手续。
第十一条 建设单位应组织设计单位严格按照所定级别开展整体安全规划和安全方案设计,安全方案设计应落实国家相关标准规范,合理设计重要网络的出口路由、核心交换机、应用和数据库服务器等重要设备和通信链路冗余备份方案,明确身份鉴别、访问控制、安全审计等要求。等保第三级及以上网络的初步设计(可研报告与初步设计合并编报的则为可行性研究报告)报批时,省交通运输厅预审意见及报批文件中应当包括对网络安全内容的意见。
第十二条 拟采用社会化云计算服务的,建设单位应按照有关规定,在项目可行性研究阶段,开展云计算服务需求分析,评估云计算服务安全风险,确保网络安全需求得到满足。对于包含重要数据和大量个人敏感信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。
第十三条 网络建设应采购安全可信的信息技术产品和服务,网络关键设备、网络安全专用产品应符合法律、行政法规的规定和相关国家标准的强制性要求。提供服务的云计算服务平台、数据中心等要设在境内,并通过云计算安全服务审查。
第十四条 建设单位应加强应用软件开发安全管理,软件应按照安全需求、软件工程规范进行设计开发,应采取措施审查软件中可能存在的隐蔽通道和恶意代码。
(一)建设单位应严控第三方组件安全风险,规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理,明确开发单位的第三方组件安全责任,建立第三方组件清单,对使用的开源代码库和共享代码组件应做好台账记录。在系统等保测评和代码审计中,重点关注对相关代码的检查检测,防止因使用共享代码组件将安全隐患和黑客“后门”带入系统。
(二)系统代码需要进行托管的,软件开发运维单位应向网络主管单位(部门)说明使用的托管平台情况及托管的代码内容或范围,网络主管单位(部门)要与软件开发运维单位签署代码托管授权书。如不进行托管,建议网络主管单位(部门)要求软件开发运维单位在合同或保密承诺书中做出承诺。业务应用系统的源代码和业务数据,不得上传到境外云服务代码托管平台(如Github等)或境外服务器存储。
(三)代码托管应选择信誉良好、安全可靠的服务商,并使用私有仓库或私有项目方式,原则上不得公开托管;软件开发运维单位应加强内部管理,严格控制代码托管平台访问权限,非项目组成员禁止访问;禁止将含有系统配置信息、网络地址、账户密码等敏感数据的代码在托管平台公开托管或共享。
第十五条 网络试运行应在确保安全的前提下进行。等保第二级网络申请试运行时,建设单位应向网络主管单位(部门)提交软件安全测试报告,等保第三级及以上网络申请试运行时,应向网络主管单位(部门)提交软件安全测试、代码安全审计和密码应用安全性评估报告。软件安全测试结果为不合格的、代码安全审计含中高危漏洞的、密码应用安全性达不到要求的,应在整改完成后申请试运行。
第十六条 试运行前,运行单位负责核验软件安全测试和代码安全审计报告等相关材料,采取措施评估申请试运行网络的安全状况,确认符合运行安全要求后(无中、高风险),组织开展网络试运行工作。对未达到运行安全要求的,由运行单位通过书面形式向建设单位提出安全整改要求。试运行网络应在5个工作日内向本单位网络安全管理部门备案,网络同时建设开发的相关移动互联网应用程序(APP、小程序、快应用或具备服务功能的公众号、微博账号等)相关信息应同步备案。
第十七条 网络试运行应采取分区分域、严格访问控制等措施,加强安全防护。试运行期间,建设单位应配合运行单位开展运行维护相关工作,网络配置不当、应用软件质量问题等导致的网络安全责任,由建设单位承担。试运行期间,对等保第二级及以上网络,建设单位应组织开展等级测评。涉及全省交通运输业务、或通过互联网提供公共服务的重点业务信息系统、基础信息库以及相关支撑体系等政务信息化建设项目,还应开展风险评估。
第十八条 建设单位应组织运行单位参与竣工验收。未通过等保测评及备案的,风险评估不合格的,应在整改通过后开展竣工验收。竣工验收15个工作日内,网络主管单位(部门)应组织建设单位、运行单位进行运行责任以及全部技术文档和源代码移交,并将有关材料报本单位网络安全管理部门备案。运行责任及相关材料移交前,相关的网络安全责任由建设单位负责。
第十九条 建设单位应明确网络建设开发安全质量责任界定,对因业务逻辑缺陷等需经应用程序源代码修改完善的漏洞隐患整改,应与有关产品服务提供单位约定全生命周期安全保障要求。
第二十条 针对专项工作临时委托开发部署的短期运行的网络,网络主管单位(部门)应组织开发单位采取必要的安全防护措施,做好安全检测评估,尽量不直接连接互联网,并在上线前向本单位网络安全管理部门报备。专项工作结束后,应尽快停用和下线网络。
第二十一条 等保第三级及以上的网络应制定密码应用方案,正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。按照密码应用安全性评估管理办法和相关标准,开展密码应用安全性评估。如发生密码应用重大调整等情况,网络主管单位(部门)应及时组织开展密码应用安全性评估。
第四章 运行安全
第二十二条 运行单位应会同应用单位(部门)建立健全覆盖运行各环节的安全管理制度体系和操作规程,规范制度版本管理,定期评估并完善。应建立完善运行组织机构,科学设置运维管理岗位,有效落实运维安全责任。应配备一定数量的系统管理员、安全管理员、审计管理员,等保第三级及以上网络应配备专职安全管理员。涉及基础环境、公共平台、业务应用系统多方运维的,应在责任移交时确定运行责任,并定期更新本单位网络运行责任清单。行业统一规划、统一建设、统一安全保护策略的全省联网网络,由省级网络主管单位(部门)统一组织开展运行相关工作,明确运行单位责任;行业统一规划、分级建设、全省联网的网络,应分级落实运行责任,并向上级网络主管单位(部门)报备责任落实情况。
第二十三条 运行单位应建立健全机房管理制度,配备机房安全管理人员,严格机房出入安全管理,定期对机房开展检查,确保机房条件符合有关规定要求。
第二十四条 运行单位、应用单位(部门)应加强网络边界防护,并按照最小权限原则对网络进行分区分域管理,在不同安全域间实施访问控制,严格控制非授权网络访问。
第二十五条 运行单位、应用单位(部门)应制定完备的软硬件设备管理制度,建立设备清单和应用软件版本控制清单。明确设备管理责任、设备关联关系以及设备技术服务状况,规范设备管理和使用行为,并根据设备重要程度采取相应的安全保护措施和访问控制策略。应用软件的修改、更新和发布应经过网络主管单位(部门)的授权和同意,软硬件设备安全更新可授权运行单位同意。
第二十六条 运行单位、应用单位(部门)应采取技术措施防范网络攻击、网络侵入等危害网络安全行为。遵循最小权限、最小安装原则,加强应用、服务、端口等安全管理。建立定期巡检制度,完善网络运行状态监控、响应支持、故障处理、性能优化等服务规范。
第二十七条 运行单位应严格按照等保要求,对等保第三级及以上的网络,每年定期开展等保测评,对等保第二级的网络,每三年至少开展一次等保测评,并将结果报网络主管单位(部门)备案。网络主管单位(部门)应对等保测评提供必要保障条件,并督促运行单位限期完成测评发现的安全风险项整改。发生服务范围、服务对象和处理的数据重大变更并可能影响等保级别的,网络主管单位(部门)应组织重新定级备案和安全整改建设,按要求开展等保测评工作。
第二十八条 运行单位、应用单位(部门)应采取技术措施监测、记录运行网络状态和网络安全事件,留存核心网络设备、安全设备、应用系统、数据库、服务器、中间件等的日志(原则上应包含原始日志和归一化处理日志)不少于六个月。
第二十九条 运行单位、应用单位(部门)应加强对接入运行环境的行为管理,应对网络接入方案、安全测评报告等进行审核和安全评估,确认达到安全要求并与申请接入单位签订安全协议后方可授权接入。移动终端接入设备、物联网感知节点设备应采取授权接入、身份鉴别、加密和设备管控等安全措施,定期开展设备巡检,及时发现并处置风险隐患。
第三十条 各单位应采取集中管控、用户识别、访问控制、安全审计等措施,加强计算机等办公终端管理,按照“谁使用谁负责”的原则,落实使用人员安全管理责任,加强对终端和系统用户口令管理,定期清理弱口令账户,并定期组织病毒查杀、漏洞修复和版本升级等工作。严格移动存储介质的管理,采取技术措施加强对移动存储介质接入网络行为的监控和管理。严格办公区域无线网络管理,严格控制非授权终端的网络接入行为。
第三十一条 各单位应加强互联网资产梳理和监测,有效收敛互联网资产暴露面,缩减互联网出口。任何单位和个人不得自行建立或者使用除国家公用电信网提供的国际出入口信道之外的其他信道进行国际联网。应加强网站安全防护,部署必要的防护设备,建立以网页防篡改、域名防劫持以及防攻击、防瘫痪、防挂马为主的防护体系,严格划分安全区域,严格设置访问控制策略,建立安全访问路径,有效防止网站后台管理系统暴露在互联网中。严格后台发布终端管理。严格信息发布、转载和链接管理。
第三十二条 各单位应加强互联网电子邮件系统安全管理,采取与保护级别一致的安全保护措施。严格用户注册审批和注销管理。严禁将邮件自动转发至私人或境外邮箱。应加强用户安全意识教育,防止钓鱼邮件等网络攻击。确保用户口令具备一定强度并定期更换。自建电子邮件系统应单独开展等保定级、备案。采用第三方邮件服务的,应采取签订服务安全合同、保密协议等方式,明确第三方安全责任。
第三十三条 运行单位应加强对外包服务和远程技术服务安全管理。需要外包服务或远程技术服务的,应与服务提供者(含法人单位及具体服务人员)签订安全保密协议。应严格控制远程运维接口或通道,按需开启,及时关闭。进行远程维护时应当采取认证、加密、审计等管控措施,有效记录技术服务操作行为,保留审计日志。
第三十四条 网络废止前,由运行单位会同应用单位(部门)对网络废止的安全风险进行评估,并针对性提出应对措施,报网络主管单位(部门)同意后实施。网络废止处理结果报本单位网络安全管理部门备案,同时向公安机关更新等保备案信息。使用云计算的,网络主管单位(部门)提供的,及业务系统运行过程中收集、产生、存储的数据和文档等资源所有权归网络主管单位(部门)。退出云计算服务时,网络主管单位(部门)应确保云服务提供商做好数据、文档等资源的移交和清除工作。
第三十五条 国家重要活动、会议期间实行行业网络安全重点保障。各单位应围绕重点保卫目标,有效收敛互联网暴露面,做好事前检查和风险漏洞检测整改,建立网络运行白名单,加强重点防护并签署网络安全责任承诺书。实行专项信息通报,严格执行“零事件”报告制度。实行领导带班和一线 7×24 小时值守。网络安全重点保卫单位应建立与网信、公安等协调对接机制。
第三十六条 加强供应商安全管理。
(一) 网络主管单位(部门)要加强对软件开发运维单位的管理。对于开发中的信息系统,未经安全测评及网络主管单位(部门)同意,不得在互联网上线运行;确需上线测试的,应在系统中标注“试验运行”,禁止冠以正式的系统名称,且禁止挂载真实业务数据。
(二) 各单位要指导本单位业务部门加强对业务数据的管理。提供给技术服务单位支撑规划咨询、大数据分析等工作之用的政务或业务数据,应进行去除公民个人信息等脱敏处理,并签订数据保密协议,要求技术服务单位加强数据安全管理,未经网络主管单位(部门)同意,不得在互联网上以任何形式发布有关数据,或将存储数据的设备或数据库直接连入互联网。
(三) 各单位要提醒合作、支持单位,对于研究院所、公司内部以研究、试验等为目的自行开发的系统或软件,应以研究院所、公司名称进行命名,不得冠以“江苏省交通运输”、“江苏高速公路”等名称。
第五章 数据安全
第三十七条 各单位应建立并落实覆盖数据全生命周期的安全保护制度,实行数据分类分级管理,强化重要数据和个人信息保护,不断完善数据安全保障措施。重要数据识别及数据共享工作依据部、省有关规定开展。采集、处理、使用重要数据的网络主管单位(部门)应明确数据安全负责人,指导数据安全保护工作。
第三十八条 各单位收集和使用个人信息应遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络主管单位(部门)应对个人信息采集范围、目的、规模等进行审查,规范采集、存储、使用、销毁等行为,指导有关单位采取措施确保个人信息安全。
第三十九条 建设单位应在规划设计阶段组织开展数据分类分级工作,明确数据安全防护要求,采取重要数据备份和加密认证等措施,并制定数据备份和恢复策略。涉及全省交通运输业务办理的重要数据应落实异地备份措施,并至少每周进行一次增量备份。采集、处理重要数据和个人信息(含个人敏感信息)的,建设单位应编制清单,清单包括但不限于重要数据和个人信息的种类、数量,收集、存储、加工、使用等情况。
第四十条 运行单位应在网络主管单位(部门)指导下,履行数据安全保护义务,落实数据安全管理责任,对数据采集、使用、传输和存储等进行规范化管理,采取身份鉴别、访问控制、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。
第四十一条 各单位收集和产生的个人信息及重要数据应在境内存储,因业务需要,需向境外提供的,网络主管单位(部门)应按国家有关规定开展出境安全评估。
第四十二条 运行单位应加强数据安全风险监测,防止泄露、毁损、丢失。发生或者可能发生泄露、毁损、丢失的情况时,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第六章 监测预警和应急处置
第四十三条 各单位应加强本单位本系统网络安全监测预警能力建设,实时掌握网络安全态势。加强安全事件应急管理,制定完善网络安全应急预案并报厅网信办备案,每年至少开展一次应急演练,并根据演练结果完善应急预案和防护措施。由专业网络安全机构提供漏洞扫描、渗透性检测和实战攻防演练服务的,应委托获网络安全指导监管单位授权或许可的安全机构。
第四十四条 各单位应严格执行《江苏省交通运输网络安全信息通报工作实施细则》(苏交技〔2019〕21号),加强信息收集、分析和共享,确保通报信息传达到位,及时开展通报预警风险核查处置并按要求逐级反馈,不得瞒报、缓报、谎报、迟报和推诿责任。涉及关键信息基础设施的网络安全情况,应按照相关要求报送部、省网络安全管理部门。
第四十五条 风险漏洞处理实行限期整改,对通用型网络产品和服务的风险漏洞,运行单位应在厂商和安全机构修复方案公开发布后立即核查整改。对国家、地方、部和厅网络安全管理部门发布的事件型风险预警通报,网络主管单位(部门)应组织运行单位按照时限要求开展排查整改,落实情况及时报厅网信办备案。
第四十六条 运行单位应加强风险漏洞管控,定期开展漏洞扫描和恶意代码检测,主动及时掌握网络产品和服务相关的安全信息,及时更新恶意代码库和补丁,有效处置安全风险隐患。应建立风险漏洞台账,履行整改第一责任,及时完成整改。因技术条件限制,不能按期整改但需继续运行的,应采取必要措施,避免发生安全事件,并书面报告网络主管单位(部门)和本单位网络安全管理部门。风险漏洞整改影响网络功能的,运行单位应组织软件维护单位配合完善整改措施。
第四十七条 运行单位应加强安全事件预防准备,制定细化的应急处置流程,加强风险信息收集和管控,落实应急相关技术文档及软硬件准备,建立与网信、公安等网络安全主管部门和电力、通信等保障部门的协调机制。
第四十八条 安全事件发生后,运行单位应根据事件类型和级别,立即启动应急预案,做好初步处置,最大程度减少损失和危害,及时开展信息通报。对涉及反动言论、煽动性言论等信息内容安全事件,严格落实“一分钟处置”要求。如可能涉及攻击、破坏等违法犯罪,应保护相关数据、记录、资料和现场,24小时内向公安机关报案,并配合调查取证。
第四十九条 安全事件处置完成后,应依据网络安全应急预案及时完成事件调查和评估工作,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
第七章 监督检查与责任追究
第五十条 各单位应当按照本级党委网络安全责任制考核评价制度,对网络安全管理制度体系建设、等级保护、责任制落实、安全攻防演练、渗透测试、在线监测、信息通报和应急响应等情况开展考核评价。
第五十一条 省交通运输厅健全网络安全奖惩和责任追究机制,对在网络安全管理、网络安全重点保障、网络安全应急演练、网络安全事件处置等工作中表现突出的单位、部门和个人给予通报表扬。
第五十二条 省交通运输厅按规定组织开展网络安全检查,并根据国家有关要求,在网络安全重点保障时期对网络安全重点保卫单位和有关市、县交通运输主管部门开展专项检查。各单位应按要求组织做好自查工作,并配合做好检查各项工作。开展网络安全检查时,可以采取下列措施:
(一)进行远程和现场技术检测;
(二)进入被检查单位进行检查,询问相关工作人员,要求其对有关检查事项做出说明;查阅、复制与检查事项有关的文件、资料;
(三)对检查发现的问题,责令当场改正或者限期改正。
第五十三条 对违反本办法规定的,依照有关法律法规和网络安全工作责任制有关规定,启动问责程序,逐级倒查,追究当事人、网络安全负责人直至主要负责人责任,协调监管不力的,还应追究综合协调或监管部门负责人责任。
第八章 保障措施
第五十四条 各单位主要领导应加强本单位网络安全工作的统筹管理,定期听取工作汇报、协调解决重大问题,组织落实机构、人员和经费等必要条件。
第五十五条 各单位应加强网络安全自身能力建设,积极推动监测预警、通报、安全防护、应急处置等技术支撑条件完善,加强网络安全专业人才队伍建设,支持网络安全技术研发和产业发展。
第五十六条 各单位应定期组织网络安全宣传教育,加强全员网络安全意识和知识技能培训,并指导督促所管理的单位做好网络安全宣传教育工作。网络安全培训教育情况应归档保存。各单位全员参加网络安全培训每年度不少于4学时,关键岗位人员参加网络安全专业技能培训每年度不少于8学时。
第五十七条 各单位应将网络安全运行管理、教育培训、安全检查、测试评估、监测预警、通报、应急处置等费用纳入年度预算,合理保障网络安全经费投入。网络建设涉及相关测试评估等费用,应纳入建设经费统筹。
第九章 附则
第五十八条 存储、处理涉及国家秘密信息的网络的运行安全保护,按照国家相关规定执行。
第五十九条 本办法自印发之日起施行。
