關(guān)于印發(fā)《河北省住房城鄉(xiāng)建設(shè)行業(yè)信息化建設(shè)和網(wǎng)絡(luò)安全管理辦法》的通知
各市(含定州、辛集市)住房和城鄉(xiāng)建設(shè)局(建設(shè)局、住房保障和房產(chǎn)管理局)、城市管理綜合行政執(zhí)法局、住房公積金管理中心,石家莊市園林局,雄安新區(qū)管委會規(guī)劃建設(shè)局、綜合執(zhí)法局:
《河北省住房城鄉(xiāng)建設(shè)行業(yè)信息化建設(shè)和網(wǎng)絡(luò)安全管理辦法》已經(jīng)2019年12月24日廳務(wù)會議審議通過,現(xiàn)予印發(fā),請認(rèn)真遵照執(zhí)行。
河北省住房和城鄉(xiāng)建設(shè)廳
2019年12月31日
河北省住房城鄉(xiāng)建設(shè)行業(yè)信息化建設(shè)和網(wǎng)絡(luò)安全管理辦法
第一章 總 則
第一條 為規(guī)范住房城鄉(xiāng)建設(shè)行業(yè)信息化建設(shè)管理,保障網(wǎng)絡(luò)安全,依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《河北省信息化條例》等有關(guān)法律、法規(guī)和規(guī)章的規(guī)定,制定本辦法。
第二條 本省行政區(qū)域內(nèi),住房城鄉(xiāng)建設(shè)行業(yè)信息化的規(guī)劃建設(shè)、網(wǎng)絡(luò)安全以及對其的相關(guān)指導(dǎo)和監(jiān)督管理,適用本辦法。
本辦法所稱住房城鄉(xiāng)建設(shè)行業(yè)信息化(以下簡稱“行業(yè)信息化”),是指充分應(yīng)用“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、云計算、人工智能等現(xiàn)代信息技術(shù),促進(jìn)房地產(chǎn)市場、住房保障、城市建設(shè)管理、村鎮(zhèn)建設(shè)、建筑市場、工程質(zhì)量安全、建筑節(jié)能、住房公積金等住房和城鄉(xiāng)建設(shè)領(lǐng)域,實現(xiàn)行業(yè)監(jiān)管、公共服務(wù)和企業(yè)發(fā)展等網(wǎng)絡(luò)化、數(shù)字化和智能化的工作。
第三條 遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針,堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重、業(yè)務(wù)工作與信息化發(fā)展并重的原則。
第四條 網(wǎng)絡(luò)運營者開展經(jīng)營和服務(wù)活動,必須遵守法律、行政法規(guī),尊重社會公德,遵守商業(yè)道德,誠實信用,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受政府和社會的監(jiān)督,承擔(dān)社會責(zé)任。
第五條 縣級以上住房城鄉(xiāng)建設(shè)主管部門應(yīng)當(dāng)按照職能,依法依規(guī)對本系統(tǒng)、本部門下列工作履行相關(guān)職責(zé):
(一)貫徹執(zhí)行信息化和網(wǎng)絡(luò)安全的法律、法規(guī)、規(guī)章和標(biāo)準(zhǔn)規(guī)范;
(二)研究落實國家、我省有關(guān)信息化發(fā)展和網(wǎng)絡(luò)安全的決策部署和規(guī)劃政策;
(三)建立健全促進(jìn)行業(yè)信息化發(fā)展、保障網(wǎng)絡(luò)安全的工作措施和規(guī)章制度;
(四)開發(fā)應(yīng)用行業(yè)管理和公共服務(wù)的相關(guān)信息系統(tǒng);
(五)負(fù)責(zé)網(wǎng)絡(luò)安全的監(jiān)測預(yù)警、信息通報、應(yīng)急處置、檢查督促等相關(guān)工作;
(六)組織開展和指導(dǎo)督促信息化知識普及、網(wǎng)絡(luò)安全宣傳教育。
第六條 網(wǎng)絡(luò)相關(guān)行業(yè)組織應(yīng)當(dāng)按照法律、法規(guī)、規(guī)章以及行業(yè)章程,推廣和應(yīng)用現(xiàn)代信息技術(shù),開展信息資源開發(fā)利用,加強行業(yè)自律,促進(jìn)行業(yè)信息化健康發(fā)展。
第七條 縣級以上住房城鄉(xiāng)建設(shè)主管部門收到個人和組織對危害網(wǎng)絡(luò)安全的行為的舉報,應(yīng)當(dāng)及時依法作出處理;不屬于本部門職責(zé)的,應(yīng)當(dāng)及時移送有權(quán)處理的部門。
縣級以上住房城鄉(xiāng)建設(shè)主管部門應(yīng)當(dāng)對舉報人的相關(guān)信息予以保密,保護(hù)舉報人的合法權(quán)益。
第二章 規(guī)劃建設(shè)
第八條 縣級以上住房城鄉(xiāng)建設(shè)主管部門應(yīng)當(dāng)根據(jù)本行政區(qū)域信息化發(fā)展規(guī)劃,將本系統(tǒng)、本部門的信息化發(fā)展目標(biāo)、工作任務(wù)和重點工程等內(nèi)容,納入住房和城鄉(xiāng)建設(shè)事業(yè)規(guī)劃;或者編制本系統(tǒng)、本部門的信息化發(fā)展專項規(guī)劃,并報同級信息化主管部門備案。
第九條 編制規(guī)劃應(yīng)當(dāng)符合本行政區(qū)域經(jīng)濟和社會發(fā)展的實際,圍繞行業(yè)發(fā)展需求、行業(yè)監(jiān)管要求、民生服務(wù)期盼和防范化解行業(yè)重大風(fēng)險等,著力提升信息化應(yīng)用水平,保障信息化發(fā)展環(huán)境。
編制規(guī)劃應(yīng)當(dāng)征求上一級主管部門、同級信息化主管部門和社會各方面意見,并組織專家論證,防止重復(fù)建設(shè)和資源浪費。
第十條 縣級以上住房城鄉(xiāng)建設(shè)主管部門應(yīng)當(dāng)對其規(guī)劃目標(biāo)完成、工作推進(jìn)、措施落實等情況進(jìn)行定期評估,對發(fā)現(xiàn)的問題,及時制定措施予以改進(jìn)。
第十一條 行業(yè)信息化建設(shè)應(yīng)當(dāng)執(zhí)行國家、行業(yè)強制性標(biāo)準(zhǔn)以及本省的地方標(biāo)準(zhǔn)和技術(shù)規(guī)范。
第十二條 行業(yè)信息化建設(shè)應(yīng)當(dāng)聚焦和符合國家、我省重點建設(shè)的主攻方向,統(tǒng)籌安排以下建設(shè)內(nèi)容,分步實施,持續(xù)建設(shè):
(一)政務(wù)服務(wù)信息系統(tǒng)和平臺建設(shè);
(二)建筑市場、房地產(chǎn)市場、工程質(zhì)量和施工安全、城市和村鎮(zhèn)建設(shè)管理等行業(yè)監(jiān)管信息化;
(三)建筑智能化、城管平臺、智慧供暖以及住房保障、住房租賃、住房公積金等公共服務(wù)信息化;
(四)智慧企業(yè)、智慧工地以及企業(yè)有關(guān)BIM、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術(shù)的應(yīng)用系統(tǒng);
(五)行業(yè)信息化數(shù)據(jù)庫、數(shù)據(jù)交換平臺和數(shù)據(jù)資源中心。
第十三條 信息化項目建設(shè)前,建設(shè)單位應(yīng)當(dāng)開展業(yè)務(wù)需求調(diào)研,編制項目可行性研究報告、建設(shè)實施方案和網(wǎng)絡(luò)安全保護(hù)方案等,并組織專家充分論證。
第十四條 使用財政性資金建設(shè)的信息化項目,應(yīng)當(dāng)按照固定資產(chǎn)投資管理程序執(zhí)行,由建設(shè)單位的同級信息化主管部門提出初審意見,報同級項目主管部門審批。
使用財政性資金對已建信息化工程進(jìn)行改建、擴建、運行維護(hù)的,建設(shè)單位在報財政部門審批經(jīng)費前,應(yīng)當(dāng)由同級信息化主管部門提出初審意見。
使用非財政性資金建設(shè)的重大公共基礎(chǔ)性信息化工程和信息安全工程,建設(shè)單位應(yīng)當(dāng)在依法辦理相關(guān)手續(xù)后,向當(dāng)?shù)匦畔⒒鞴懿块T備案。
第十五條 選擇信息化項目的承建單位、貨物供應(yīng)商和服務(wù)提供單位,建設(shè)單位應(yīng)當(dāng)依照招標(biāo)投標(biāo)、政府采購的法律法規(guī)和我省的有關(guān)規(guī)定,履行招投標(biāo)或者政府采購程序,并依法簽訂書面合同。
第十六條 建設(shè)單位應(yīng)當(dāng)指定或者授權(quán)專門的部門和人員,或者按規(guī)定委托第三方專業(yè)機構(gòu)對信息化項目建設(shè)全過程實施監(jiān)督管理,并采取有效措施控制項目質(zhì)量、安全和工期。
第十七條 信息化項目竣工后,建設(shè)單位應(yīng)當(dāng)提供由專業(yè)技術(shù)機構(gòu)出具的軟件功能、性能測試和網(wǎng)絡(luò)安全測評等技術(shù)驗收測試報告,并按照國家、我省的驗收標(biāo)準(zhǔn)和規(guī)定組織驗收。未經(jīng)驗收或者驗收不合格的信息化項目,不得投入使用。
第十八條 信息化項目在保修范圍和保修期限內(nèi)發(fā)生質(zhì)量問題的,承建單位應(yīng)當(dāng)履行保修義務(wù),并對造成的損失依法承擔(dān)賠償責(zé)任。
保修范圍和保修期限應(yīng)當(dāng)在承發(fā)包合同中約定。保修期限自工程竣工驗收合格之日起計算,不得少于兩年。
法律、行政法規(guī)對保修范圍和保修期限另有規(guī)定的,從其規(guī)定。
第十九條 使用財政性資金建設(shè)的信息化項目,建設(shè)單位應(yīng)當(dāng)按照財政有關(guān)規(guī)定,組織開展資金使用情況的績效評價,提高財政資金使用效益。
第二十條 本省政府投資、其他國有資產(chǎn)投資以及以政府投資和其他國有資產(chǎn)投資為主的信息系統(tǒng),建設(shè)單位應(yīng)當(dāng)依照規(guī)定接受審計部門對建設(shè)項目管理情況以及安全性、可靠性、經(jīng)濟性進(jìn)行的審計。
第三章 網(wǎng)絡(luò)安全
第二十一條 建設(shè)、運營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù),應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運行,有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動,維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。
第二十二條 根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,信息系統(tǒng)的安全保護(hù)分為五個等級。
第二十三條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)在新建信息系統(tǒng)的規(guī)劃設(shè)計階段,依據(jù)《信息安全等級保護(hù)管理辦法》和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。對擬確定為第四級及以上的信息系統(tǒng)的,應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。
第二十四條 非涉及國家秘密的第二級以上(含二級)信息系統(tǒng)安全保護(hù)等級確定后30日內(nèi),網(wǎng)絡(luò)運營者應(yīng)當(dāng)依據(jù)《信息安全等級保護(hù)備案實施細(xì)則》,到具有管轄權(quán)的地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù),取得《信息系統(tǒng)安全等級保護(hù)備案證明》。
網(wǎng)絡(luò)運營者重新確定信息系統(tǒng)安全保護(hù)等級后,應(yīng)當(dāng)按照前款規(guī)定重新備案。
第二十五條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)在信息系統(tǒng)建設(shè)完成后,選擇符合國家有關(guān)規(guī)定的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。
網(wǎng)絡(luò)運營者應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況進(jìn)行自查。
第三級信息系統(tǒng)等級測評和自查期限為每年至少進(jìn)行一次,第四級信息系統(tǒng)等級測評和自查期限為每半年至少進(jìn)行一次,第五級信息系統(tǒng)等級測評和自查期限依據(jù)特殊安全需求進(jìn)行。
經(jīng)等級測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定方案進(jìn)行整改,消除風(fēng)險隱患。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
第二十六條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)采購、使用符合相關(guān)國家標(biāo)準(zhǔn)的強制性要求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
采購使用的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強制性要求,并由具備資格的機構(gòu)安全認(rèn)證合格或者安全檢測符合要求。
關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務(wù)與責(zé)任。
第二十七條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;
(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第二十八條 除本辦法第二十七條的規(guī)定外,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):
(一)設(shè)置專門安全管理機構(gòu)和安全管理負(fù)責(zé)人,并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;
(二)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;
(三)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;
(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
第二十九條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)加強對其用戶發(fā)布信息的管理,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關(guān)記錄,并向有關(guān)主管部門報告。
第三十條 網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
網(wǎng)絡(luò)運營者不得有下列行為:
(一)收集與其提供的服務(wù)無關(guān)的個人信息;
(二)違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息;
(三)泄露、篡改、毀損其收集的個人信息;
(四)未經(jīng)被收集者同意,向他人提供個人信息。
前款第(三)(四)項規(guī)定的信息不包括經(jīng)過處理無法識別特定個人且不能復(fù)原的信息。
第三十一條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
第三十二條 個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的,有權(quán)要求網(wǎng)絡(luò)運營者予以更正。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取措施予以刪除或者更正。
第三十三條 負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門,應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。
第三十四條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,并按照規(guī)定向有關(guān)主管部門報告。
負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。
網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案應(yīng)當(dāng)主要包括編制目的和依據(jù)、適用范圍、事件分級、工作原則、組織機構(gòu)及職責(zé)、監(jiān)測與預(yù)警、應(yīng)急處置、預(yù)防工作、保障措施等內(nèi)容,并針對情況變化和工作需要及時修訂和發(fā)布。
第三十五條 縣級以上住房城鄉(xiāng)建設(shè)主管部門應(yīng)當(dāng)定期組織對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險及運營者履行安全保護(hù)義務(wù)情況進(jìn)行抽查檢測,提出改進(jìn)措施,指導(dǎo)、督促運營者及時整改檢測評估中發(fā)現(xiàn)的問題。
第四章 附 則
第三十六條 法律、法規(guī)和規(guī)章對信息化規(guī)劃建設(shè)和網(wǎng)絡(luò)安全有其他規(guī)定,或者對本辦法有關(guān)內(nèi)容有新規(guī)定的,從其規(guī)定。
各級住房城鄉(xiāng)建設(shè)主管部門可以依據(jù)法律、法規(guī)和規(guī)章,結(jié)合本《辦法》要求,制定本部門、本系統(tǒng)的具體管理辦法或者相關(guān)制度。
第三十七條 本辦法下列用語的含義:
(一)網(wǎng)絡(luò),是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。
(二)網(wǎng)絡(luò)安全,是指通過采取必要措施,防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。
(三)網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。
(四)網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。
(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
第三十八條 本辦法自頒布之日起施行,有效期5年。
