欢迎浏览长沙市食品药品监督管理局网站! 繁體中文 | 无障碍浏览 | 站点地图
当前位置:首页 > 信息公开 > 政策法规 > 部门文件
长沙市人民政府办公厅关于印发《长沙市机关事业单位网站安全管理办法》的通知(长政办发〔2014〕11号)
发布日期:2014-04-23 来源:
  各区县(市)人民政府,市直机关有关单位:

    《长沙市机关事业单位网站安全管理办法》已经市人民政府同意,现印发给你们,请认真遵照执行。  


长沙市人民政府办公厅

 

2014331


长沙市机关事业单位网站安全管理办法

 

第一章    

第一条 为加强长沙市机关事业单位网站安全管理,确保机关事业单位网站的整体安全,提升全市机关事业单位网站的建设管理水平,根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《国务院办公厅关于进一步加强政府网站管理工作的通知》(国办函〔201140号)、《公安部国家保密局国家密码管理局国务院信息化工作办公室关于印发信息安全等级保护管理办法〉的通知》(公通字〔200743号)等有关要求,制定本办法。

第二条 本办法适用于全市机关事业单位的网站。

 

第二章  综合管理

 

第三条 市政府办公厅负责全市机关事业单位网站安全管理和监督工作。市人民政府电子政务管理办公室(以下称市电子政务办)具体负责协调全市机关事业单位网站安全的监督、检查和管理工作。公安、国安和保密等职能部门依据各自职能,协助市政府办公厅对机关事业单位网站安全进行监督、检查。

第四条  网站建设单位必须确定管理本单位网站的分管领导和责任人,具体负责网站安全的各项工作。

第五条 网站备案登记。全市机关事业单位网站必须按照相关网站备案制度进行备案登记。

第六条 网站建设单位必须按照按信息安全等级保护要求,开展网站定级、备案、安全建设整改、等级测评、安全自查工作。市公安局会同市电子政务办定期对网站建设单位等级保护工作开展和落实情况进行监督检查。

第七条  市电子政务办牵头会同市公安局、市国安局、市保密局等部门不定期对全市机关事业单位网站进行安全检测,并出具检测报告。各单位应及时根据检测报告要求进行安全隐患整改,并在整改完后配合市电子政务办进行复测,直至符合安全标准。

 

第三章  信息资源管理

 

第八条  网站信息资源管理工作必须按照《中华人民共和国保守国家秘密法》、《中华人民共和国政府信息公开条例》、《国务院办公厅关于进一步做好政府信息公开保密审查工作的通知》(国办发〔201057号)、《长沙市政府网站信息公开保密审查实施办法》(长政办发〔201339号)等法规文件的要求进行管理。

第九条  各级各部门要建立规范的信息采集、审核、发布机制,信息资源发布必须严格遵循“谁制作、谁发布;谁保存、谁发布”的原则,信息发布前需经本单位行政主要负责人批准,特别重大的还需报市人民政府市长或分管副市长批准

第十条  严格遵循“涉密不公开、公开不涉密”的原则,依法依规做好保密审查,坚决杜绝涉密信息上网。

第十一条  凡引用发布或转载其他新闻媒体(网站、报纸、电视、电台)上刊登的各类信息时,须注明作者、信息来源和发布时间。

 

第四章  技术防范

 

第十二条  网站建设单位应拥有网站域名、应用服务器、数据库服务器的所有权,具有网站及所属系统源代码程序的所有权。

第十三条  网站网络环境的基本安全要求

(一)服务器操作系统、中间件、数据库和应用软件均使用正版软件,及时按照相关安全标准进行加固,对网站系统平台部署需严格遵循最小安装原则,禁用不必要的服务组件、应用插件、注册表项等。

(二)根据网站应用服务器的重要程度划分不同的安全域,并根据其数据交互严格控制安全域和访问控制策略。

(三)网络边界应部署网络防火墙和Web应用防火墙,可选用防篡改系统、入侵防护系统、异常流量检测系统和防病毒网关等安全设备。

(四)对外网络环境应配备防拒绝服务攻击安全设备,在受到DDoS攻击(分布式拒绝服务攻击)时能进行负载均衡,并能通过各大电信运营商分别进行流量清洗。

第十四条 网站的Web服务器和数据库服务器应优先使用独立服务器,与网站应用服务器进行物理分离。数据库服务器应遵循最小安装原则,仅对外提供数据库服务。有条件的单位,应对所有数据进行多重加密(Base64DES)后存入数据库中,仅在读取和写入过程中才解密数据。

 

第五章  运行与维护

 

第十五条 建立身份鉴别管理机制。建立从服务器操作系统、网站系统平台、网站管理平台、网站编辑、网站录入各个层面的身份鉴别机制。严格控制服务器管理员的账户名和口令,及时删除多余和过期的账户。

第十六条  建立口令管理机制。网站及应用系统各类账户的口令应由大小写字母、数字和特殊字符组成,长度不少于8位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。每三个月须更换一次口令,严禁将个人登录账号和密码泄露给他人使用。

第十七条 建立网站安全评估机制。网站应用程序新建或升级改版后,网站建设单位应组织网站安全自查,自查通过后应报市电子政务办备案。由市电子政务办组织专业技术力量进行安全评估,安全评估通过后方能上线运行。

第十八条 建立定期备份机制。网站数据库每天至少进行1次差异备份,应用系统及数据库至少每周进行1次全备份,特别重要的单位还应当对重要数据库进行异地备份。网站数据库备份恢复测试至少每年进行3次,确保备份数据库文件的可用性。网站访问日志每天进行1次备份,其他系统日志每月进行1次备份,并合理设置日志文件的存放空间和存放期限,确保日志备份的连续完整。

第十九条  建立网站审计监测机制。网站建设单位定期对网站及应用系统的源代码进行全面的审查,及时修补因网站框架、第三方应用(如编辑器、图片组件)等功能性代码引发的漏洞。采用专业安全监测平台对网站及应用系统进行每天24小时安全监测、可用性监测和挂马监测,掌握异常情况,及时整改处理。

第二十条 建立应急响应机制。网站建设单位应制定网站安全应急预案,并上报市电子政务办备案。针对网站可能引发的各类信息安全事件,研究相应的应急处置方案和系统恢复的办法流程,确保能短时间内恢复网站,并迅速查处漏洞情况及入侵者信息。否则,立即采取断网措施。

网站建设单位每年必须进行1次以上网站应急演练,并在应急演练或安全事件处置后,及时修订完善应急预案,报市电子政务办备案。

第二十一条  建立安全事件报告和处理机制。网站在发生突发安全事件后,网站建设单位须在第一时间组织人员进行处理,并及时告知市电子政务办,市电子政务办给予指导和必要的技术支持,并视突发安全事件的严重程度,会同相关部门进行处理。

第二十二条 对于本办法要求的安全技术防护、数据安全措施等无法独自完成的单位由市电子政务办进行托管服务,并明确各相关方的安全责任。因特殊原因无法托管服务器的部门需报市电子政务办备案。

第二十三条 因网站建设规划或安全防范等工作无法独立完成而采用服务外包的部门,应对服务外包公司中涉及的人员、流程、工具等要素进行管控,并与外包公司签订保密协议。

二十四条  严禁个人使用单位服务器、网站开设个人网站、博客等子网站或应用。

 

第六章  保障及责任

 

第二十五条 各级各部门应确保网站安全建设及运行维护经费。

第二十六条  网站建设单位要建立网络信息安全培训制度。

第二十七条  网站安全纳入市绩效考核和政府对部门网站考核指标体系。

第二十八条 由市电子政务办牵头每年对网站建设单位管理人员进行网络信息安全知识培训,编制信息安全专报,通报网络信息安全情况。

第二十九条  对违反本办法,因网站安全造成重大损失的,依法依纪追究责任单位相关人员的责任。

 

第七章    

 

 

第三十条  本办法自201451日起施行。


相关文档: