各市州發(fā)展改革委、公共資源交易中心，蘭州新區(qū)經(jīng)發(fā)局：

　　現(xiàn)將《甘肅省公共資源交易網(wǎng)絡信息安全管理辦法》印發(fā)你們，請結(jié)合實際認真貫徹落實。

　　甘肅省發(fā)展和改革委員會

　　甘肅省公共資源交易中心

　　2025年11月17日

　　甘肅省公共資源交易網(wǎng)絡信息安全管理辦法

　　第一條 為進一步加強公共資源交易信息系統(tǒng)和交易數(shù)據(jù)安全保護，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《關鍵信息基礎設施安全保護條例》《網(wǎng)絡數(shù)據(jù)安全管理條例》《甘肅省公共資源交易管理辦法》等有關法律法規(guī)規(guī)定，結(jié)合公共資源交易工作實際，制定本辦法。

　　第二條 本省行政區(qū)域內(nèi)各級公共資源交易中心的網(wǎng)絡信息系統(tǒng)安全管理工作適用本辦法。

　　第三條 本辦法所稱網(wǎng)絡信息系統(tǒng)，是指公共資源交易關鍵信息基礎設施及相關軟件系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設施、支撐平臺、數(shù)據(jù)資源等。

　　第四條 各級公共資源交易中心負責本級平臺網(wǎng)絡信息安全保護管理工作，自覺接受國家和各級網(wǎng)安、網(wǎng)信、保密、大數(shù)據(jù)等部門的指導、監(jiān)督、考核。

　　第五條 公共資源交易中心應當建立和落實網(wǎng)絡信息安全責任制，明確專門安全管理部門和安全管理負責人，并對專門安全管理部門負責人和關鍵崗位人員進行安全背景審查。

　　第六條 網(wǎng)絡信息系統(tǒng)的安全保護，應當涵蓋公共資源交易關鍵信息基礎設施、軟件系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺。保障所有相關系統(tǒng)、設施的功能正常發(fā)揮，保障所有數(shù)據(jù)資源的安全性、合法性和有效性。

　　第七條 公共資源交易中心應當構(gòu)建公共資源交易網(wǎng)絡信息安全防護體系，保障信息系統(tǒng)及其相關的設備、設施、網(wǎng)絡安全，保障公共資源交易平臺運行安全和數(shù)據(jù)安全。

　　第八條 公共資源交易中心應當履行信息安全主體責任，嚴格落實國家網(wǎng)絡安全等級保護制度和密碼應用安全性評估管理辦法規(guī)定，可通過政府購買服務等方式，聘請具有資質(zhì)的第三方專業(yè)機構(gòu)，對網(wǎng)絡信息系統(tǒng)定期開展安全等級保護測評和商用密碼應用安全評估和整改工作，按照有關規(guī)定向公安機關和密碼管理部門備案，及時更新本平臺的網(wǎng)絡信息安全應急響應預案，定期開展網(wǎng)絡安全應急演練，提高網(wǎng)絡安全意識。

　　第九條 任何單位和個人不得利用公共資源交易網(wǎng)絡信息系統(tǒng)危害國家安全、泄露國家秘密，不得侵犯國家、社會、企業(yè)利益和公民的合法權(quán)益，不得泄露應該保密的信息，不得將重要敏感數(shù)據(jù)擅自公開及用于商業(yè)用途，不得從事違法犯罪活動。

　　第十條 公共資源交易中心及其工作人員不得通過任何非法手段接入和使用交易平臺內(nèi)部局域網(wǎng)絡。

　　第十一條 嚴格管理連接到互聯(lián)網(wǎng)的設備設施；對涉及國家秘密及商業(yè)秘密的設備，必須做到專機專用，嚴禁接入互聯(lián)網(wǎng)。

　　第十二條 所有需要連接互聯(lián)網(wǎng)或允許通過互聯(lián)網(wǎng)訪問的設備設施，要統(tǒng)一規(guī)范設置IP地址和訪問端口，要通過白名單控制其訪問權(quán)限。

　　第十三條 通過互聯(lián)網(wǎng)下載的文件，必須經(jīng)過計算機病毒和木馬查殺軟件掃描后方可使用。

　　第十四條 公共資源交易中心須做好接入互聯(lián)網(wǎng)的網(wǎng)絡系統(tǒng)及支撐平臺系統(tǒng)日志的存儲和分析工作，并做好不少于六個月的日志備份。

　　第十五條 公共資源交易中心要定期對內(nèi)部局域網(wǎng)進行安全掃描，對發(fā)現(xiàn)的漏洞及時修補、并統(tǒng)一提供修補程序及修補辦法。

　　第十六條 公共資源交易中心負責對內(nèi)部局域網(wǎng)上的設備設施的網(wǎng)絡配置信息進行登記管理，對所有設備的IP地址進行統(tǒng)籌分配和登記，局域網(wǎng)內(nèi)部所有設備必須使用單位統(tǒng)籌分配的IP地址，不得私自修改。

　　涉及全省遠程異地評標調(diào)度系統(tǒng)的機位設備，應當使用由省公共資源交易中心統(tǒng)一下發(fā)的軟件插件。

　　局域網(wǎng)內(nèi)的所有計算機、服務器的工作組名、域名和計算機名等配置信息不得隨意修改，防止影響網(wǎng)絡通訊。

　　第十七條 任何單位和個人不得從事下列危害內(nèi)部局域網(wǎng)網(wǎng)絡信息安全的活動：

　　（一）未經(jīng)允許訪問、修改和刪除任何設備設施的配置信息；

　?。ǘ┪唇?jīng)允許，對公共資源交易相關的軟件系統(tǒng)、數(shù)據(jù)資源進行查閱、刪除、修改；

　?。ㄈ┕室庵谱?、傳播計算機病毒或木馬等破壞性程序；

　　（四）其他危害計算機信息網(wǎng)絡安全的行為。

　　第十八條 局域網(wǎng)中的計算機應專人專用，并設置獨立的系統(tǒng)賬號和密碼；對多人共用一臺計算機的，應分別設置每個人的系統(tǒng)賬號及密碼，保存在該計算機上的涉密資料應設置密碼進行保護；系統(tǒng)登錄密碼要定期更改；關鍵計算機應當設置定時屏保及密碼。

　　第十九條 任何部門或個人未經(jīng)允許，不得擅自安裝、拆卸或改變軟件系統(tǒng)、網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺，不得擅自訪問和修改數(shù)據(jù)資源。對獲準允許安裝、拆卸或改變的，進行記錄留痕。

　　第二十條 公共資源交易中心要統(tǒng)一部署國產(chǎn)正版防病毒軟件，所有計算機、服務器都必須安裝防病毒軟件客戶端，并接受服務端的集中統(tǒng)一管理，未安裝防病毒軟件的計算機、服務器嚴禁接入內(nèi)部局域網(wǎng)。

　　第二十一條 公共資源交易中心應制定病毒防御策略，及時分發(fā)特征病毒庫，提醒督促中心工作人員對防病毒軟件病毒庫進行更新升級，定期對計算機、服務器等終端設備進行病毒掃描查殺。

　　第二十二條 任何單位和個人不得擅自停用或刪除計算機、服務器中的防病毒軟件；使用計算機、服務器時要關注防病毒軟件的狀態(tài)，確保防病毒軟件正常工作；發(fā)現(xiàn)問題及時與防病毒管理員聯(lián)系。

　　第二十三條 發(fā)現(xiàn)計算機、服務器感染病毒，應立即啟用防病毒軟件進行殺毒處理。如發(fā)現(xiàn)無法清除病毒，應立即采取如下措施：

　　（一）迅速斷開本機的網(wǎng)絡連接，做好病毒查殺工作；

　?。ǘ┕ぷ魅藛T應作好相關記錄，并立即報告本單位負責人；

　?。ㄈ┣闆r嚴重的，應立即啟動應急預案，并做好取證工作。

　　第二十四條 公共資源交易中心應當加強對網(wǎng)絡信息系統(tǒng)操作權(quán)限分配與管理，嚴格設定系統(tǒng)訪問操作權(quán)限，及時取消調(diào)崗、離職人員的系統(tǒng)相關權(quán)限，嚴格控制非授權(quán)系統(tǒng)訪問操作。使用的系統(tǒng)賬號密碼應當定期更換，長度不少于10位，要采用數(shù)字、字母和符號等組合進行設置；軟件系統(tǒng)、網(wǎng)絡系統(tǒng)和支撐平臺管理賬號必須設置密碼，不得使用系統(tǒng)默認密碼；重要信息系統(tǒng)的管理密碼必須采用分段管理方式，有條件的要使用數(shù)字證書或多因子方式進行用戶身份認證。

　　第二十五條 公共資源交易中心對來自各種渠道的信息網(wǎng)絡服務請求、告警和故障，按照運行維護事件的范圍、影響和緊急程度進行處置并做好記錄工作。

　　第二十六條 軟件系統(tǒng)、支撐平臺及數(shù)據(jù)資源相關的運行維護服務工作包括以下內(nèi)容：

　?。ㄒ唬┴撠熫浖到y(tǒng)支撐平臺的用戶賬號、密碼和權(quán)限的分配與管理；

　?。ǘ┴撠熫浖到y(tǒng)支撐平臺的運行狀態(tài)檢查、資源配置和日志分析；

　?。ㄈ┴撠熫浖到y(tǒng)的安裝、測試、升級、培訓、技術(shù)支持等服務，并做好相應記錄，要做到處處留痕、可溯可查；

　?。ㄋ模┴撠熫浖到y(tǒng)支撐平臺的安全防護；

　?。ㄎ澹┴撠熫浖到y(tǒng)用戶的增加、刪除和修改工作，對系統(tǒng)使用權(quán)限進行分配；

　　（六）負責軟件系統(tǒng)和數(shù)據(jù)資源備份，并制定相關的備份和恢復策略；

　?。ㄆ撸┴撠熗瓿膳c各類第三方軟件系統(tǒng)的對接和數(shù)據(jù)交換共享工作；

　?。ò耍┴撠煂?shù)據(jù)資源的完整性、有效性、合法性進行校驗，及時處理發(fā)現(xiàn)的數(shù)據(jù)問題。

　　第二十七條 軟件系統(tǒng)及支撐平臺要滿足以下安全要求：

　?。ㄒ唬┸浖到y(tǒng)代碼或數(shù)據(jù)資源的任何修改，必須經(jīng)公共資源交易中心負責人審批后進行修改并記錄；

　　（二）軟件系統(tǒng)中的數(shù)據(jù)傳輸要采用安全套接層（SSL）實現(xiàn)加密；

　?。ㄈ┸浖到y(tǒng)要具備防結(jié)構(gòu)化查詢語言（SQL）注入功能；

　?。ㄋ模┲纹脚_應具備入侵監(jiān)測、病毒查殺、漏洞修復、網(wǎng)頁防篡改等功能；

　?。ㄎ澹┲纹脚_應具備維護服務審計功能，可以全程記錄運行維護服務人員對支撐平臺的使用過程，做到可溯可查；

　?。┰诠操Y源交易活動中需要提供電子文檔的，應當使用數(shù)字證書進行簽名和加密；

　?。ㄆ撸┎捎迷朴嬎?、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)、新應用時，應進行全面的安全評估和風險分析，制定相應的安全策略和防護措施。

　　第二十八條 網(wǎng)絡安全運行維護服務工作包括以下內(nèi)容：

　?。ㄒ唬W(wǎng)絡安全情況進行分析，對系統(tǒng)運行過程中出現(xiàn)的網(wǎng)絡安全問題進行監(jiān)控并及時解決；

　?。ǘ┤嬉?guī)劃和指導系統(tǒng)升級、網(wǎng)絡病毒的控制等工作，及時消除網(wǎng)絡安全隱患；

　?。ㄈ┴撠熅W(wǎng)絡系統(tǒng)、硬件設施和支撐平臺的配置，關閉網(wǎng)絡系統(tǒng)、硬件設施和支撐平臺上非必要的服務和端口，減少安全隱患；對所有設備設施的配置信息和運行日志進行規(guī)范管理；

　?。ㄋ模┌l(fā)生網(wǎng)絡入侵或攻擊事件時，要具備必須的應對手段，能及時定位到相關入侵來源，同時啟動應急預案，并配合信息管理部門做好取證工作；

　?。ㄎ澹π畔⒕W(wǎng)絡系統(tǒng)的故障和性能進行監(jiān)控，發(fā)現(xiàn)問題及時解決，并及時報告；

　?。┴撠煂π畔⒕W(wǎng)絡系統(tǒng)運行過程中發(fā)生的其他各類問題進行及時處理。

　　第二十九條 公共資源交易中心工作人員和運行維護單位違反本辦法有關規(guī)定的，依規(guī)處理；構(gòu)成犯罪的，移送司法機關處理。

　　第三十條 公共資源交易中心應與系統(tǒng)運行維護服務單位簽訂保密協(xié)議，涉及網(wǎng)絡信息安全工作崗位人員、參與運行維護服務單位相關工作人員上崗前應當進行安全背景審查。有條件的公共資源交易中心應穩(wěn)妥開展自主系統(tǒng)運維。

　　第三十一條 公共資源交易中心應加強安全意識，定期開展網(wǎng)絡信息系統(tǒng)安全培訓和教育，強化工作人員對信息網(wǎng)絡安全的認識，引導工作人員遵守保密制度，同時不定期對運行維護服務單位及相關工作人員進行安全制度和技術(shù)知識考核。

　　第三十二條 法律、法規(guī)、規(guī)章對網(wǎng)絡信息安全另有規(guī)定的，從其規(guī)定。

　　第三十三條 本辦法自發(fā)布之日起施行。