《深圳市电子政务信息安全管理试行办法》已经市政府同意，现予印发，请认真组织实施。

  第一条为规范深圳市电子政务信息安全建设，建立信息安全工作体系，明确信息安全工作职责，提高信息安全保障能力，促进信息安全工作开展，依照国家有关法律法规，结合本市实际，制定本试行办法。

  第二条本试行办法适用于本市各区、市政府直属各单位及其管理单位（以下简称各单位）电子政务信息安全规划、建设、运维和管理。

  第三条信息安全工作按照“谁主管、谁负责”原则来管理。电子政务系统的信息安全按照“谁运行、谁负责，谁使用、谁负责”的原则进行管理。

  第四条本市电子政务主管部门负责统筹管理和协调全市电子政务信息安全工作，主要负责编制全市信息安全规划和工作规划，建立信息安全体系，督促落实信息安全管理制度，组织信息安全应急力量，协调处理重大信息安全事件，监督检查信息安全工作落实情况，指导各区、各部门信息安全工作等。

  各区电子政务主管部门在市电子政务主管部门的协调指导下，组织并且开展本区信息安全工作。

  第五条市电子政务主管部门、公安、国家安全、保密、密码等部门应加强工作协同与信息共享。

  第六条各单位应确定信息安全工作机构，明确主管领导和工作人员，落实信息安全工作责任制。

  各单位的信息安全工作机构、人员情况应按相关规定向同级电子政务主管部门备案。

  第七条市电子政务主管部门统一制定全市电子政务信息安全总体设计，报市信息化领导小组审批通过后发布实施。

  各单位应按照总体规划及国家有关标准制定本单位的电子政务信息安全规划，并在电子政务系统建设方案设计时同步进行信息安全的规划设计。

  第八条各单位做电子政务信息安全规划和建设时，聘请的第三方机构和人员应具备相应的信息安全资质。

  各单位应将承担电子政务信息安全规划和建设的第三方机构和人员向同级电子政务主管部门备案。

  第九条各单位电子政务系统的规划和设计应当依照国家信息安全等级保护的要求，对系统来进行等级保护定级。

  新建和续建的电子政务系统安全保护等级由建筑设计企业自主定级，经同级电子政务主管部门审核后，报公安机关备案。

  第十条本市电子政务网络互联网出口实行统一出口、统一管理，各单位应通过统一出口接入互联网。确需另行开通互联网出口的单位，应经同级电子政务主管部门同意后方可开通。

  第十一条面向公众的电子政务系统使用数字证书应遵循“一证通用”原则，且符合《深圳市电子公共服务数字证书使用管理暂行办法》有关规定。

  第十二条全市党政机关的计算机房实行市、区两级统一管理。未经同级电子政务主管部门批准，各单位不得再另建机房。

  各单位电子政务系统核心设备和信息安全设备应当使用国产产品。确需使用进口产品的，应经同级电子政务主管部门审核同意后，方可立项。

  第十五条电子政务系统模块设计、实施工程单位应在项目验收前，向建筑设计企业移交全部资料。

  第十六条各单位应加强信息安全服务外包管理。应选择具有信息安全相关资质的企业承接外包服务，并签订保密协议。

  第十七条各单位应加强电子政务系统的授权管理，针对不同岗位，按照“最小权限”原则设置权限。

  第十八条各单位应加强重要电子政务系统的备份管理，除本地备份外，还应利用市电子政务容灾备份中心进行同城异地备份。

  第十九条各单位对重要电子政务系统应每年至少进行一次信息安全风险评估和渗透测试。对风险评估和渗透测试中发现的问题，要制定整改计划，并在规定期限内完成整改。

  第二十条各单位应加强安全审计工作，选用和配套必要的安全审计设备。安全审计设备应能对日志记录进行统计分析，其中上网行为日志记录应保存60天以上。

  第二十一条各单位电子政务系统如需托管，应选择市、区政府统一建设的数据中心托管，并明确各相关方的安全责任。

  第二十二条市、区计算机房管理部门应制定完善的机房管理制度，对机房管理人员、管理日志、日常巡检、进出机房的人员登记、安全管理和安全责任等提出具体的规定和要求。

  第二十三条各单位应对办公用计算机及外设等实行统一维修和报废。设备做维修和报废前应对工作数据来进行清理，并采取一定的措施防止修东西的人获取设备中存储的工作数据。

  第二十四条各单位应选择具有国内销售许可证的计算机防病毒软件，并对其策略库、特征库等关键数据及时进行更新。

  第二十五条各单位应加强对本单位政府网站公开内容的保密审查，遵循“谁公开、谁审查、谁负责”的原则，确保不泄露国家秘密、商业机密和个人隐私。政府网站内容发布保密审查工作不得以任何形式外包。

  第二十六条各单位应加强对移动存储介质的管理。在物理隔离的电子政务系统之间进行数据交换时，应使用经国家保密行政管理部门认可的数据交换手段，禁止混用移动存储介质。

  第二十七条各单位自建和管理的国际互联网邮件系统应具备安全管理功能，包括防垃圾邮件、黑白名单、关键字过滤、关闭匿名邮件等功能。

  第二十八条各单位电子政务短信系统（平台）应符合相关安全规定，并采取相关安全措施后才能接入电子政务系统使用，对发布的信息按照“谁发布，谁负责”的原则，加强信息安全管理。

  第二十九条各单位负责本单位办公用计算机的安全管理，包括上网行为管理、安全认证、移动存储介质管理、系统漏洞检查、系统补丁自动分发等工作。有条件的单位应部署终端安全管理系统。

  第三十条各单位应加强对网络终端设备的接入管理。对接入网络的计算机及打印机、传真机、复印机等网络终端设备，应登记其IP地址、MAC地址、接入交换机端口、物理位置、使用人信息等文档资料，并采取必要的管理和技术措施防止非授权接入。

  第三十二条各单位应对工作过程中采集或获取的机构和个人隐私信息加以有效保护、规范使用，防止泄漏。

  第三十三条各单位应制定和完善信息安全管理制度，最重要的包含重要岗位的人员管理，网络安全、用户安全、计算机房及服务器安全、设备和资产管理，信息发布保密审核，安全审计、安全运维、安全应急预案等制度。

  第三十四条各单位应制定重要信息安全岗位的管理制度，明确安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员等重要信息安全岗位的工作职责，并签定相应的责任书。

  第三十五条各单位应依法依规履行互联网基础资料备案手续。各单位应及时向市电子政务主管部门备案在用互联网IP地址，及时申请注销长期不用的互联网IP地址；互联网IP地址发生变动的，应在5个工作日内更新备案信息。

  第三十六条各单位注册“域名应通过市政府网站主管部门审核后，向通信主管部门进行ICP备案。

  第三十七条各单位的信息安全管理员应定期参加由市、区电子政务主管部门、公安机关或人事部门组织的信息安全培训。

  各单位应加强对本单位工作人员的信息安全教育，定期开展信息安全培训，提升本单位工作人员信息安全工作意识和责任意识。

  第三十八条各单位应加强电子政务系统的信息安全应急管理，制定信息安全应急预案，每年组织演练，并根据演练结果进一步修订完善预案。

  第三十九条各单位信息安全建设费用向同级政府有关部门申请。市、区两级财政部门应加强信息安全工作的经费保障。

  第四十条市电子政务主管部门负责对各单位的电子政务系统来进行安全监测和检测，并将电子政务互联网出口及本市所有使用“域名的网站纳入监测范围。

  对监测、检测中发现的信息安全问题，由市电子政务主管部门出示整改通知，相关责任单位应及时整改，并将整改结果报市电子政务主管部门。市电子政务主管部门可依据情况需要，到现场对问题进一步核实，相关单位应予以配合。

  第四十一条市电子政务主管部门会同市委办、市府办、公安、国家安全、保密、密码等有关部门组成党政机关信息安全联合检查组，每年组织并且开展信息安全检查工作，对发现的问题和隐患，各单位应及时整改。

  第四十二条市电子政务主管部门定期对发现的安全风险、安全漏洞、安全事件进行通报，限期整改。

  各单位发生的信息安全事件（案件）应按制度要求及时报告市电子政务主管部门。信息安全事件（案件）报告制度由市电子政务主管部门另行制定。

  市电子政务主管部门负责对各单位的信息安全工作做监督检查，监察机关及其他有管理权限的机关负责对违反信息安全规定、造成信息安全责任过错的人员依法进行责任追究。

  第四十四条市电子政务主管部门每年根据信息安全工作规划，对各单位的信息安全工作进行考核。考核结果纳入政府绩效评估体系。

  第四十五条各单位有下列行为之一的，经市、区电子政务主管部门认定，由监察部门或其他有关部门对相关责任人员做处理。涉嫌犯罪的，依法移交司法机关处理。

  （三）未有效地履行对电子政务建设项目、服务外包项目的管理责任，造成项目有关的资料被非法带出境外；

  第四十六条本市文化、教育、卫生、供水、供气、供电、石油石化、城市轨道交通、金融等重点领域的主管部门应参照本办法，制定各自所辖行业的实施方案，并负责指导、监督和检查。

  市电子政务主管部门应督促本市各电信运营商参照本试行办法制定实施方案，保障本市电子政务信息安全。

  第四十七条涉及国家秘密的信息系统分级保护及管理工作，依照国家保密管理规定和标准执行。涉及密码工作的，依照国家密码管理规定和标准执行。