北京市公共服務網路與資訊系統安全管理辦法

《北京市公共服務網路與資訊系統安全管理規定》已經20xx年11月9日市人民政府第45次常務會議審議通過,自20xx年1月1日起施行。下文是北京市公共服務網路與資訊系統安全管理規定，歡迎閱讀!

第一條為加強本市公共服務網路與資訊系統(以下簡稱網路與資訊系統)的安全管理，根據國家有關規定，結合本市實際情況，制定本規定。

第二條本市網路與資訊系統的建設和執行維護單位(以下簡稱運營單位)應當做好網路與資訊系統安全工作，保障網路與資訊系統安全可靠運營。

本規定所稱公共服務網路與資訊系統，是指由本市行政機關和企事業單位為社會提供的政務、交通、醫療衛生、供水、供電、供氣、供熱、通訊、廣播電視以及其他公共服務的網路與資訊系統。

第三條市和區、縣資訊化主管部門對本行政區域內的網路與資訊系統安全工作負責綜合協調和監督管理。

公安、國家安全和質量技術監督等政府有關部門，按照各自職責分工，依法對網路與資訊系統安全相關工作實施監督管理。

第四條運營單位應當加強對本單位網路與資訊系統的安全管理，做好下列工作：

(一)明確網路與資訊系統安全工作的主管負責人和主管機構，並配備具有相應能力的工作人員;

(二)建立健全網路與資訊系統安全管理責任制，制定管理制度和操作規程，並定期檢查落實情況;

(三)保障網路與資訊系統安全的資金投入;

(四)定期進行網路與資訊系統安全教育和培訓。

第五條市資訊化主管部門應當會同政府有關部門統一規劃和組織建設本市網路與資訊系統的安全測評、電子認證、災難備份和應急處理等安全基礎設施。

第六條本市對網路與資訊系統實行安全等級保護。

網路與資訊系統安全等級分為五級：

(一)第一級為自主保護級，由運營單位進行自主保護;

(二)第二級為指導保護級，由運營單位在有關主管部門的指導下進行保護;

(三)第三級為監督保護級，由運營單位在備案監督部門的監督下進行保護;

(四)第四級為強制保護級，由運營單位在備案監督部門的強制下進行保護;

(五)第五級為專控保護級，由運營單位在備案監督部門的專控下進行保護。

第七條運營單位應當按照安全等級保護制度的管理規範和技術標準確定本單位網路與資訊系統的安全等級，並根據安全等級保護制度的要求進行建設。

網路與資訊系統安全等級確定為第三級、第四級、第五級的，運營單位應當將安全等級確定情況報送備案。其中，涉及電子政務的網路與資訊系統運營單位，應當報市資訊化主管部門備案;其他的運營單位應當報市公安部門備案。

市資訊化主管部門、市公安部門應當在30日內對備案單位的網路與資訊系統安全等級確定情況進行評估，並提出審查意見。

第八條運營單位選用網路與資訊系統相關安全產品或者選擇安全測評、電子認證等服務時，應當符合國家和本市有關網路與資訊系統安全管理的技術規範。

使用財政資金投資建設的網路與資訊系統選用安全產品和服務時，應當依法實行政府採購。

第九條運營單位應當依據網路與資訊系統安全管理要求，對資訊系統和資訊資料進行備份。

第十條運營單位應當制定網路與資訊系統安全事件應急預案，並定期進行演練。

市和區、縣人民政府有關行政主管部門應當組織制定相關行業的網路與資訊系統安全事件應急預案，組織、協調有關單位做好應急預案的落實工作。

第十一條發生網路與資訊系統安全事件後，運營單位應當迅速採取措施降低損害程度，防止事件擴大，儲存相關記錄，並按規定要求及時向同級資訊化主管部門報告。

第十二條本市組建資訊保安應急救援服務體系，為發生資訊保安事件的單位提供救援服務。資訊保安應急救援服務組織應當公佈救援電話，在接到救援請求時，及時提供救援服務。

第十三條運營單位違反本規定，有下列情形之一的，由市或者區、縣資訊化主管部門責令限期改正，給予警告，視情節輕重處3萬元以下罰款：

(一)違反本規定第四條規定，未按要求建立並落實安全管理制度的;

(二)違反本規定第九條規定，未按要求對資訊系統和資訊資料進行備份的;

(三)違反本規定第十條第一款規定，未按要求制定網路與資訊系統安全事件應急預案的;

(四)違反本規定第十一條規定，對網路與資訊系統安全事件情況隱瞞不報、謊報或者拖延不報的。

行政機關違反前款規定的，市或者區、縣資訊化主管部門可以對責任單位給予通報批評;造成重大損失的，由上級主管部門或者監察機關依法追究責任單位主要負責人和有關責任人員的行政責任。

第十四條對於有危害公共安全、國家安全、洩露國家祕密以及其他違反法律、法規和規章規定行為的，由公安、國家安全、保密以及其他監督管理部門依法處理;構成犯罪的，依法追究刑事責任。

第十五條國家和本市對涉及國家祕密、國家安全的網路與資訊系統有特殊規定的，從其規定。

第十六條本規定自20xx年1月1日起施行。

與其它安全體系(如保安系統)類似，企業應用系統的安全體系應包含：

訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。

檢查安全漏洞：通過對 安全漏洞的週期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。

攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，並採取相應的行動(如斷開網路連線、記錄攻擊過程、跟蹤攻擊源等)。

加密通訊 ：主動的加密通訊，可使攻擊者不能瞭解、修改 敏感資訊。

認證：良好的認證體系可防止攻擊者假冒合法使用者。

備份和恢復：良好的 備份和 恢復機制，可在攻擊造成損失時，儘快地恢復資料和 系統服務。

多層防禦，攻擊者在突破第一道防線後，延緩或阻斷其到達攻擊目標。

隱藏 內部資訊，使攻擊者不能瞭解系統內的基本情況。

設立安全監控中心，為 資訊系統提供安全體系管理、監控，渠護及緊急情況服務。