各市州發(fā)展改革委、公共資源交易中心，蘭州新區(qū)經(jīng)發(fā)局：

　　現(xiàn)將《甘肅省公共資源交易網(wǎng)絡(luò)信息安全管理辦法》印發(fā)你們，請(qǐng)結(jié)合實(shí)際認(rèn)真貫徹落實(shí)。

　　甘肅省發(fā)展和改革委員會(huì)

　　甘肅省公共資源交易中心

　　2025年11月17日

　　甘肅省公共資源交易網(wǎng)絡(luò)信息安全管理辦法

　　第一條 為進(jìn)一步加強(qiáng)公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護(hù)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《甘肅省公共資源交易管理辦法》等有關(guān)法律法規(guī)規(guī)定，結(jié)合公共資源交易工作實(shí)際，制定本辦法。

　　第二條 本省行政區(qū)域內(nèi)各級(jí)公共資源交易中心的網(wǎng)絡(luò)信息系統(tǒng)安全管理工作適用本辦法。

　　第三條 本辦法所稱網(wǎng)絡(luò)信息系統(tǒng)，是指公共資源交易關(guān)鍵信息基礎(chǔ)設(shè)施及相關(guān)軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施、支撐平臺(tái)、數(shù)據(jù)資源等。

　　第四條 各級(jí)公共資源交易中心負(fù)責(zé)本級(jí)平臺(tái)網(wǎng)絡(luò)信息安全保護(hù)管理工作，自覺接受國(guó)家和各級(jí)網(wǎng)安、網(wǎng)信、保密、大數(shù)據(jù)等部門的指導(dǎo)、監(jiān)督、考核。

　　第五條 公共資源交易中心應(yīng)當(dāng)建立和落實(shí)網(wǎng)絡(luò)信息安全責(zé)任制，明確專門安全管理部門和安全管理負(fù)責(zé)人，并對(duì)專門安全管理部門負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。

　　第六條 網(wǎng)絡(luò)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)涵蓋公共資源交易關(guān)鍵信息基礎(chǔ)設(shè)施、軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)。保障所有相關(guān)系統(tǒng)、設(shè)施的功能正常發(fā)揮，保障所有數(shù)據(jù)資源的安全性、合法性和有效性。

　　第七條 公共資源交易中心應(yīng)當(dāng)構(gòu)建公共資源交易網(wǎng)絡(luò)信息安全防護(hù)體系，保障信息系統(tǒng)及其相關(guān)的設(shè)備、設(shè)施、網(wǎng)絡(luò)安全，保障公共資源交易平臺(tái)運(yùn)行安全和數(shù)據(jù)安全。

　　第八條 公共資源交易中心應(yīng)當(dāng)履行信息安全主體責(zé)任，嚴(yán)格落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和密碼應(yīng)用安全性評(píng)估管理辦法規(guī)定，可通過政府購(gòu)買服務(wù)等方式，聘請(qǐng)具有資質(zhì)的第三方專業(yè)機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)信息系統(tǒng)定期開展安全等級(jí)保護(hù)測(cè)評(píng)和商用密碼應(yīng)用安全評(píng)估和整改工作，按照有關(guān)規(guī)定向公安機(jī)關(guān)和密碼管理部門備案，及時(shí)更新本平臺(tái)的網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)預(yù)案，定期開展網(wǎng)絡(luò)安全應(yīng)急演練，提高網(wǎng)絡(luò)安全意識(shí)。

　　第九條 任何單位和個(gè)人不得利用公共資源交易網(wǎng)絡(luò)信息系統(tǒng)危害國(guó)家安全、泄露國(guó)家秘密，不得侵犯國(guó)家、社會(huì)、企業(yè)利益和公民的合法權(quán)益，不得泄露應(yīng)該保密的信息，不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途，不得從事違法犯罪活動(dòng)。

　　第十條 公共資源交易中心及其工作人員不得通過任何非法手段接入和使用交易平臺(tái)內(nèi)部局域網(wǎng)絡(luò)。

　　第十一條 嚴(yán)格管理連接到互聯(lián)網(wǎng)的設(shè)備設(shè)施；對(duì)涉及國(guó)家秘密及商業(yè)秘密的設(shè)備，必須做到專機(jī)專用，嚴(yán)禁接入互聯(lián)網(wǎng)。

　　第十二條 所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設(shè)備設(shè)施，要統(tǒng)一規(guī)范設(shè)置IP地址和訪問端口，要通過白名單控制其訪問權(quán)限。

　　第十三條 通過互聯(lián)網(wǎng)下載的文件，必須經(jīng)過計(jì)算機(jī)病毒和木馬查殺軟件掃描后方可使用。

　　第十四條 公共資源交易中心須做好接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)及支撐平臺(tái)系統(tǒng)日志的存儲(chǔ)和分析工作，并做好不少于六個(gè)月的日志備份。

　　第十五條 公共資源交易中心要定期對(duì)內(nèi)部局域網(wǎng)進(jìn)行安全掃描，對(duì)發(fā)現(xiàn)的漏洞及時(shí)修補(bǔ)、并統(tǒng)一提供修補(bǔ)程序及修補(bǔ)辦法。

　　第十六條 公共資源交易中心負(fù)責(zé)對(duì)內(nèi)部局域網(wǎng)上的設(shè)備設(shè)施的網(wǎng)絡(luò)配置信息進(jìn)行登記管理，對(duì)所有設(shè)備的IP地址進(jìn)行統(tǒng)籌分配和登記，局域網(wǎng)內(nèi)部所有設(shè)備必須使用單位統(tǒng)籌分配的IP地址，不得私自修改。

　　涉及全省遠(yuǎn)程異地評(píng)標(biāo)調(diào)度系統(tǒng)的機(jī)位設(shè)備，應(yīng)當(dāng)使用由省公共資源交易中心統(tǒng)一下發(fā)的軟件插件。

　　局域網(wǎng)內(nèi)的所有計(jì)算機(jī)、服務(wù)器的工作組名、域名和計(jì)算機(jī)名等配置信息不得隨意修改，防止影響網(wǎng)絡(luò)通訊。

　　第十七條 任何單位和個(gè)人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡(luò)信息安全的活動(dòng)：

　　（一）未經(jīng)允許訪問、修改和刪除任何設(shè)備設(shè)施的配置信息；

　　（二）未經(jīng)允許，對(duì)公共資源交易相關(guān)的軟件系統(tǒng)、數(shù)據(jù)資源進(jìn)行查閱、刪除、修改；

　?。ㄈ┕室庵谱?、傳播計(jì)算機(jī)病毒或木馬等破壞性程序；

　　（四）其他危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的行為。

　　第十八條 局域網(wǎng)中的計(jì)算機(jī)應(yīng)專人專用，并設(shè)置獨(dú)立的系統(tǒng)賬號(hào)和密碼；對(duì)多人共用一臺(tái)計(jì)算機(jī)的，應(yīng)分別設(shè)置每個(gè)人的系統(tǒng)賬號(hào)及密碼，保存在該計(jì)算機(jī)上的涉密資料應(yīng)設(shè)置密碼進(jìn)行保護(hù)；系統(tǒng)登錄密碼要定期更改；關(guān)鍵計(jì)算機(jī)應(yīng)當(dāng)設(shè)置定時(shí)屏保及密碼。

　　第十九條 任何部門或個(gè)人未經(jīng)允許，不得擅自安裝、拆卸或改變軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)，不得擅自訪問和修改數(shù)據(jù)資源。對(duì)獲準(zhǔn)允許安裝、拆卸或改變的，進(jìn)行記錄留痕。

　　第二十條 公共資源交易中心要統(tǒng)一部署國(guó)產(chǎn)正版防病毒軟件，所有計(jì)算機(jī)、服務(wù)器都必須安裝防病毒軟件客戶端，并接受服務(wù)端的集中統(tǒng)一管理，未安裝防病毒軟件的計(jì)算機(jī)、服務(wù)器嚴(yán)禁接入內(nèi)部局域網(wǎng)。

　　第二十一條 公共資源交易中心應(yīng)制定病毒防御策略，及時(shí)分發(fā)特征病毒庫(kù)，提醒督促中心工作人員對(duì)防病毒軟件病毒庫(kù)進(jìn)行更新升級(jí)，定期對(duì)計(jì)算機(jī)、服務(wù)器等終端設(shè)備進(jìn)行病毒掃描查殺。

　　第二十二條 任何單位和個(gè)人不得擅自停用或刪除計(jì)算機(jī)、服務(wù)器中的防病毒軟件；使用計(jì)算機(jī)、服務(wù)器時(shí)要關(guān)注防病毒軟件的狀態(tài)，確保防病毒軟件正常工作；發(fā)現(xiàn)問題及時(shí)與防病毒管理員聯(lián)系。

　　第二十三條 發(fā)現(xiàn)計(jì)算機(jī)、服務(wù)器感染病毒，應(yīng)立即啟用防病毒軟件進(jìn)行殺毒處理。如發(fā)現(xiàn)無(wú)法清除病毒，應(yīng)立即采取如下措施：

　?。ㄒ唬┭杆贁嚅_本機(jī)的網(wǎng)絡(luò)連接，做好病毒查殺工作；

　?。ǘ┕ぷ魅藛T應(yīng)作好相關(guān)記錄，并立即報(bào)告本單位負(fù)責(zé)人；

　?。ㄈ┣闆r嚴(yán)重的，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，并做好取證工作。

　　第二十四條 公共資源交易中心應(yīng)當(dāng)加強(qiáng)對(duì)網(wǎng)絡(luò)信息系統(tǒng)操作權(quán)限分配與管理，嚴(yán)格設(shè)定系統(tǒng)訪問操作權(quán)限，及時(shí)取消調(diào)崗、離職人員的系統(tǒng)相關(guān)權(quán)限，嚴(yán)格控制非授權(quán)系統(tǒng)訪問操作。使用的系統(tǒng)賬號(hào)密碼應(yīng)當(dāng)定期更換，長(zhǎng)度不少于10位，要采用數(shù)字、字母和符號(hào)等組合進(jìn)行設(shè)置；軟件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和支撐平臺(tái)管理賬號(hào)必須設(shè)置密碼，不得使用系統(tǒng)默認(rèn)密碼；重要信息系統(tǒng)的管理密碼必須采用分段管理方式，有條件的要使用數(shù)字證書或多因子方式進(jìn)行用戶身份認(rèn)證。

　　第二十五條 公共資源交易中心對(duì)來(lái)自各種渠道的信息網(wǎng)絡(luò)服務(wù)請(qǐng)求、告警和故障，按照運(yùn)行維護(hù)事件的范圍、影響和緊急程度進(jìn)行處置并做好記錄工作。

　　第二十六條 軟件系統(tǒng)、支撐平臺(tái)及數(shù)據(jù)資源相關(guān)的運(yùn)行維護(hù)服務(wù)工作包括以下內(nèi)容：

　?。ㄒ唬┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的用戶賬號(hào)、密碼和權(quán)限的分配與管理；

　?。ǘ┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的運(yùn)行狀態(tài)檢查、資源配置和日志分析；

　?。ㄈ┴?fù)責(zé)軟件系統(tǒng)的安裝、測(cè)試、升級(jí)、培訓(xùn)、技術(shù)支持等服務(wù)，并做好相應(yīng)記錄，要做到處處留痕、可溯可查；

　?。ㄋ模┴?fù)責(zé)軟件系統(tǒng)支撐平臺(tái)的安全防護(hù)；

　　（五）負(fù)責(zé)軟件系統(tǒng)用戶的增加、刪除和修改工作，對(duì)系統(tǒng)使用權(quán)限進(jìn)行分配；

　?。┴?fù)責(zé)軟件系統(tǒng)和數(shù)據(jù)資源備份，并制定相關(guān)的備份和恢復(fù)策略；

　　（七）負(fù)責(zé)完成與各類第三方軟件系統(tǒng)的對(duì)接和數(shù)據(jù)交換共享工作；

　　（八）負(fù)責(zé)對(duì)數(shù)據(jù)資源的完整性、有效性、合法性進(jìn)行校驗(yàn)，及時(shí)處理發(fā)現(xiàn)的數(shù)據(jù)問題。

　　第二十七條 軟件系統(tǒng)及支撐平臺(tái)要滿足以下安全要求：

　?。ㄒ唬┸浖到y(tǒng)代碼或數(shù)據(jù)資源的任何修改，必須經(jīng)公共資源交易中心負(fù)責(zé)人審批后進(jìn)行修改并記錄；

　?。ǘ┸浖到y(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層（SSL）實(shí)現(xiàn)加密；

　?。ㄈ┸浖到y(tǒng)要具備防結(jié)構(gòu)化查詢語(yǔ)言（SQL）注入功能；

　　（四）支撐平臺(tái)應(yīng)具備入侵監(jiān)測(cè)、病毒查殺、漏洞修復(fù)、網(wǎng)頁(yè)防篡改等功能；

　?。ㄎ澹┲纹脚_(tái)應(yīng)具備維護(hù)服務(wù)審計(jì)功能，可以全程記錄運(yùn)行維護(hù)服務(wù)人員對(duì)支撐平臺(tái)的使用過程，做到可溯可查；

　?。┰诠操Y源交易活動(dòng)中需要提供電子文檔的，應(yīng)當(dāng)使用數(shù)字證書進(jìn)行簽名和加密；

　　（七）采用云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)、新應(yīng)用時(shí)，應(yīng)進(jìn)行全面的安全評(píng)估和風(fēng)險(xiǎn)分析，制定相應(yīng)的安全策略和防護(hù)措施。

　　第二十八條 網(wǎng)絡(luò)安全運(yùn)行維護(hù)服務(wù)工作包括以下內(nèi)容：

　　（一）對(duì)網(wǎng)絡(luò)安全情況進(jìn)行分析，對(duì)系統(tǒng)運(yùn)行過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行監(jiān)控并及時(shí)解決；

　　（二）全面規(guī)劃和指導(dǎo)系統(tǒng)升級(jí)、網(wǎng)絡(luò)病毒的控制等工作，及時(shí)消除網(wǎng)絡(luò)安全隱患；

　?。ㄈ┴?fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)的配置，關(guān)閉網(wǎng)絡(luò)系統(tǒng)、硬件設(shè)施和支撐平臺(tái)上非必要的服務(wù)和端口，減少安全隱患；對(duì)所有設(shè)備設(shè)施的配置信息和運(yùn)行日志進(jìn)行規(guī)范管理；

　?。ㄋ模┌l(fā)生網(wǎng)絡(luò)入侵或攻擊事件時(shí)，要具備必須的應(yīng)對(duì)手段，能及時(shí)定位到相關(guān)入侵來(lái)源，同時(shí)啟動(dòng)應(yīng)急預(yù)案，并配合信息管理部門做好取證工作；

　?。ㄎ澹?duì)信息網(wǎng)絡(luò)系統(tǒng)的故障和性能進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時(shí)解決，并及時(shí)報(bào)告；

　?。┴?fù)責(zé)對(duì)信息網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中發(fā)生的其他各類問題進(jìn)行及時(shí)處理。

　　第二十九條 公共資源交易中心工作人員和運(yùn)行維護(hù)單位違反本辦法有關(guān)規(guī)定的，依規(guī)處理；構(gòu)成犯罪的，移送司法機(jī)關(guān)處理。

　　第三十條 公共資源交易中心應(yīng)與系統(tǒng)運(yùn)行維護(hù)服務(wù)單位簽訂保密協(xié)議，涉及網(wǎng)絡(luò)信息安全工作崗位人員、參與運(yùn)行維護(hù)服務(wù)單位相關(guān)工作人員上崗前應(yīng)當(dāng)進(jìn)行安全背景審查。有條件的公共資源交易中心應(yīng)穩(wěn)妥開展自主系統(tǒng)運(yùn)維。

　　第三十一條 公共資源交易中心應(yīng)加強(qiáng)安全意識(shí)，定期開展網(wǎng)絡(luò)信息系統(tǒng)安全培訓(xùn)和教育，強(qiáng)化工作人員對(duì)信息網(wǎng)絡(luò)安全的認(rèn)識(shí)，引導(dǎo)工作人員遵守保密制度，同時(shí)不定期對(duì)運(yùn)行維護(hù)服務(wù)單位及相關(guān)工作人員進(jìn)行安全制度和技術(shù)知識(shí)考核。

　　第三十二條 法律、法規(guī)、規(guī)章對(duì)網(wǎng)絡(luò)信息安全另有規(guī)定的，從其規(guī)定。

　　第三十三條 本辦法自發(fā)布之日起施行。