第一条 为进一步加强公共资源交易信息系统和交易数据安全保护，保障信息系统安全稳定运行，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》、《中华人民共和国计算机信息系统安全保护条例》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律法规规定，结合公共资源交易工作实际，制定本办法。

第二条 本市行政区域内各级公共资源交易中心的网络信息系统安全管理工作适用本办法。  

第三条 本办法所称网络信息系统，是指公共资源交易关键信息基础设施及相关软件系统、网络系统、硬件设施、支撑平台、数据资源等。  

第四条 各级公共资源交易中心负责本级平台网络信息安全保护管理工作，自觉接受国家和各级网安、网信、保密、大数据等部门的指导、监督、考核。  

第五条 公共资源交易中心应当建立和落实网络信息安全责任制。明确责任，分级负责：按照“谁主管谁负责，谁运维谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。    

第六条 网络信息系统的安全保护，应当涵盖公共资源交易关键信息基础设施、软件系统、网络系统、硬件设施和支撑平台。保障所有相关系统、设施的功能正常发挥，保障所有数据资源的安全性、合法性和有效性。  

第七条 公共资源交易中心应当构建公共资源交易网络信息安全防护体系，保障信息系统及其相关的设备、设施、网络安全，保障公共资源交易平台运行安全和数据安全。 

第八条 公共资源交易中心应当履行信息安全主体责任，严格落实国家网络安全等级保护制度和密码应用安全性评估管理办法规定，可通过政府购买服务等方式，聘请具有资质的第三方专业机构，对网络信息系统定期开展安全等级保护测评和商用密码应用安全评估和整改工作，按照有关规定向公安机关和密码管理部门备案，及时更新本平台的网络信息安全应急响应预案，定期开展网络安全应急演练，提高网络安全意识。  

第九条 任何单位和个人不得利用公共资源交易网络信息系统危害国家安全、泄露国家秘密，不得侵犯国家、社会、企业利益和公民的合法权益，不得泄露应该保密的信息，不得将重要敏感数据擅自公开及用于商业用途，不得从事违法犯罪活动。

第十条 公共资源交易中心及其工作人员不得通过任何非法手段接入和使用交易平台内部局域网络。

第十一条 严格管理连接到互联网的设备设施；对涉及国家秘密及商业秘密的设备，必须做到专机专用，严禁接入互联网。  

第十二条 所有需要连接互联网或允许通过互联网访问的设备设施，要统一规范设置IP地址和访问端口，要通过白名单控制其访问权限。  

第十三条 通过互联网下载的文件，必须经过计算机病毒和木马查杀软件扫描后方可使用。  

第十四条 公共资源交易中心须做好接入互联网的网络系统及支撑平台系统日志的存储和分析工作，并做好不少于六个月的日志备份。  

第十五条 公共资源交易中心要定期对内部局域网进行安全扫描，对发现的漏洞及时修补、并统一提供修补程序及修补办法。

第十六条 公共资源交易中心负责对内部局域网上的设备设施的网络配置信息进行登记管理，对所有设备的IP地址进行统筹分配和登记，局域网内部所有设备必须使用单位统筹分配的IP地址，不得私自修改。    

局域网内的所有计算机、服务器的工作组名、域名和计算机名等配置信息不得随意修改，防止影响网络通讯。  

第十七条 任何单位和个人不得从事下列危害内部局域网网络信息安全的活动：

（一）未经允许访问、修改和删除任何设备设施的配置信息； 

（二）未经允许，对公共资源交易相关的软件系统、数据资源进行查阅、删除、修改； 

（三）故意制作、传播计算机病毒或木马等破坏性程序；

（四）其他危害计算机信息网络安全的行为。

第十八条 局域网中的计算机应专人专用，并设置独立的系统账号和密码；对多人共用一台计算机的，应分别设置每个人的系统账号及密码，保存在该计算机上的涉密资料应设置密码进行保护；系统登录密码要定期更改；关键计算机应当设置定时屏保及密码。  

第十九条 任何部门或个人未经允许，不得擅自安装、拆卸或改变软件系统、网络系统、硬件设施和支撑平台，不得擅自访问和修改数据资源。对获准允许安装、拆卸或改变的，进行记录留痕。  

第二十条 公共资源交易中心计算机病毒管理实行“集中控制、分级管理”的原则，各科室必须根据中心统一部署，指定专人管理，及时通报计算机病毒疫情并指导实施防范及处理措施。 

第二十一条 公共资源交易中心各科室使用的计算机应统一安装指定的防病毒软件，开启计算机病毒实时监控功能,及时更新软件的版本和病毒库，并关闭不必要的服务和应用端口。未经许可，不得使用其他病毒检测和查杀软件。

第二十二条 各科室要高度重视计算机病毒潜在危害的严重性，采取“以防为主，以治为辅”的原则，认真组织做好计算机病毒的防治工作，构筑完备有效的计算机病毒防范体系。

第二十三条 单位办公系统发现计算机病毒疫情时，由信息科相关技术人员分析病毒来源、感染原因、感染范围后采取相关措施及时进行查杀处理。查杀结束后，各科室应对办公系统计算机进行后续处理，安装计算机防病毒软件和最新的系统补丁，堵塞漏洞与后门，切断计算机病毒感染途径，防止计算机病毒复发。

 第二十四条 公共资源交易中心应当加强对网络信息系统操作权限分配与管理，严格设定系统访问操作权限，及时取消调岗、离职人员的系统相关权限，严格控制非授权系统访问操作。

在设置数据库管理员密码时应不少于8位，密码中应至少包含数字，字母和中英文符号，不得以数字开头，并定期进行更改。

登录数据库时需信息科两人分别输入，遇紧急情况确需一人单独访问数据库时，应取得科室负责人同意，并在工作完成后重新设置密码。

信息化岗位人员使用的台式和便携式计算机必须有密码保护措施，工作中离开岗位时计算机应置于屏幕保护状态。计算机无人使用时不得置于上网状态。服务器、存储、防火墙器等各类硬件设备的用户名和密码，中心网站后台、应用与管理系统等各类软件程序的序列号、用户名和密码为绝密资料，由管理人员和后台维护人员掌握，必须妥善保存，不得泄露。

避免采用境外的密码设备。使用经国家密码管理科室批准和认可的国内密码技术及相关产品。

第二十五条 公共资源交易中心对来自各种渠道的信息网络服务请求、告警和故障，按照运行维护事件的范围、影响和紧急程度进行处置并做好记录工作。  

第二十六条 软件系统、支撑平台及数据资源相关的运行维护服务工作包括以下内容：  

（一）负责软件系统支撑平台的用户账号、密码和权限的分配与管理； 

（二）负责软件系统支撑平台的运行状态检查、资源配置和日志分析；

（三）负责软件系统的安装、测试、升级、培训、技术支持等服务，并做好相应记录，要做到处处留痕、可溯可查；

（四）负责软件系统支撑平台的安全防护；  

（五）负责软件系统用户的增加、删除和修改工作，对系统使用权限进行分配；  

（六）负责软件系统和数据资源备份，并制定相关的备份和恢复策略；

（七）负责完成与各类第三方软件系统的对接和数据交换共享工作；

（八）负责对数据资源的完整性、有效性、合法性进行校验，及时处理发现的数据问题。

第二十七条 软件系统及支撑平台要满足以下安全要求：  

（一）软件系统代码或数据资源的任何修改，必须经公共资源交易中心负责人审批后进行修改并记录；

（二）软件系统中的数据传输要采用安全套接层（SSL）实现加密；

（三）软件系统要具备防结构化查询语言（SQL）注入功能；  

（四）支撑平台应具备入侵监测、病毒查杀、漏洞修复、网页防篡改等功能；

（五）支撑平台应具备维护服务审计功能，可以全程记录运行维护服务人员对支撑平台的使用过程，做到可溯可查；  

（六）在公共资源交易活动中需要提供电子文档的，应当使用数字证书进行签名和加密；

（七）采用云计算、大数据、人工智能、区块链等新技术、新应用时，应进行全面的安全评估和风险分析，制定相应的安全策略和防护措施。

第二十八条 网络安全运行维护服务工作包括以下内容：  

（一）对网络安全情况进行分析，对系统运行过程中出现的网络安全问题进行监控并及时解决；  

（二）全面规划和指导系统升级、网络病毒的控制等工作，及时消除网络安全隐患；  

（三）负责网络系统、硬件设施和支撑平台的配置，关闭网络系统、硬件设施和支撑平台上非必要的服务和端口，减少安全隐患；对所有设备设施的配置信息和运行日志进行规范管理；

（四）发生网络入侵或攻击事件时，要具备必须的应对手段，能及时定位到相关入侵来源，同时启动应急预案，并配合信息管理部门做好取证工作；  

（五）对信息网络系统的故障和性能进行监控，发现问题及时解决，并及时报告；  

（六）负责对信息网络系统运行过程中发生的其他各类问题进行及时处理。  

第二十九条 公共资源交易中心工作人员和运行维护单位违反本办法有关规定的，依规处理；构成犯罪的，移送司法机关处理。  

第三十条 公共资源交易中心应与系统运行维护服务单位签订保密协议，涉及网络信息安全工作岗位人员、参与运行维护服务单位相关工作人员上岗前应当进行安全背景审查。有条件的公共资源交易中心应稳妥开展自主系统运维。  

第三十一条 公共资源交易中心应加强安全意识，定期开展网络信息系统安全培训和教育，强化工作人员对信息网络安全的认识，引导工作人员遵守保密制度，同时不定期对运行维护服务单位及相关工作人员进行安全制度和技术知识考核。  

第三十二条 法律、法规、规章对网络信息安全另有规定的，从其规定。

 第三十三条 本办法自发布之日起施行。

 

 

 

三门峡市公共资源交易中心

2025年12月24日