各省辖市、济源示范区、航空港区、各省直管县（市）发展改革部门（公共资源交易平台整合牵头部门）和公共资源交易中心，省公共资源交易中心：

《河南省公共资源交易网络信息系统安全管理暂行办法》已经省政府同意，现印发给你们，请认真贯彻落实。

2023年5月24日

河南省公共资源交易网络信息系统安全

管理暂行办法

第一章  总  则

第一条  为加强全省公共资源交易信息系统和交易数据安全保护，保障信息系统安全稳定运行，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《电子招标投标办法》等法律法规、国家网络安全政策制度和标准规范有关规定，结合我省实际，制定本办法。

第二条  本省行政区域内公共资源交易中心的网络信息系统安全管理工作适用本办法。

本办法所称公共资源交易网络信息系统安全包括与公共资源交易相关的电子交易系统，网络系统（交换设备、传输设备、网络安全设备等），软硬件设施（计算机、监控系统、询标系统、门禁系统等），支撑平台（服务器、数据库、存储、云平台资源等），数据资源（各类公共资源交易数据、设备配置信息、系统日志等）等的安全保护。

第三条  公共资源交易中心应当履行安全主体责任，负责本平台网络信息系统安全保护管理工作，保障公共资源交易相关软件系统、网络系统、硬件设施和支撑平台的功能正常使用，保障公共资源交易平台运行安全和数据安全，构建公共资源交易网络信息安全综合防护体系。

第四条  公共资源交易中心应当建立和落实网络安全责任制，明确专门安全管理部门和安全管理负责人，并对专门安全管理部门负责人和关键岗位人员进行安全背景审查。领导班子主要负责人是网络安全第一责任人，主管网络安全的领导班子成员是直接责任人。

第二章  安全运行管理

第五条  公共资源交易中心应当根据国家和我省有关法律法规，建立健全覆盖网络运行各环节的安全管理制度体系，科学配置安全管理人员岗位，明确岗位职责和技能要求，制定机房安全管理、设备使用维护管理、人员安全与教育培训管理、系统建设与运维管理、数据安全风险管理、备份和恢复管理、安全事件报告和应急处置管理等制度。

第六条  公共资源交易中心应当严格落实国家网络安全等级保护制度要求，每年定期开展公共资源交易网络安全等级测评工作，按照有关规定向公安机关备案，对等级测评中发现的安全威胁和风险及时整改。

第七条  公共资源交易中心应当使用安全可信的网络产品和服务，网络关键设备、安全专用产品应符合国家法律、行政法规规定及相关国家标准的强制性要求。按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持、运行维护和安全保密义务与责任。

第八条  公共资源交易网络应当使用商用密码进行保护，并选用符合相关要求的密码产品和服务。在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，开展密码应用安全性评估工作，评估结果应报当地密码管理部门备案。

第九条  公共资源交易中心应当以合同等手段保证对数据的访问、利用、支配，防止数据资产流失，并做好数据分类分级保护工作，对重要数据库进行容灾备份，采取关键技术措施，切实保护重要数据全生命周期安全。网络产品和服务提供者不得擅自留存、使用、泄露或向他人提供交易系统数据。

第十条  公共资源交易系统与外部系统进行数据交互的，对于有特殊安全要求的数据应当采用加密或其他有效措施来实现数据传输的保密性，保障交互过程可信、可控。远程运维时，应严格控制接口或通道，按需开启，及时关闭，加强对远程运维管控，保留审计日志。

第十一条  公共资源交易中心应当加强交易系统操作权限分配与管理，严格设定信息访问权限，及时取消调岗、离职人员系统操作权限，严格控制非授权网络访问。

第十二条  公共资源交易中心、公共资源交易网络产品和服务提供者以及相关人员未经允许，不得对公共资源交易相关的软件系统、数据资源和服务器配置信息进行修改、删除。确需进行修改、删除的，必须严格履行审批程序，经公共资源交易中心主要负责人批准并对原始文件进行备份，记录留痕。

第十三条  公共资源交易中心应当加强对计算机等办公终端管理，定期组织开展病毒查杀、漏洞扫描、版本升级等工作，落实使用人员安全管理责任。发现终端、服务器感染病毒时，应立即中断网络连接并及时清除病毒，情况严重的应立即启动应急预案。

第十四条  公共资源交易中心应当采取监测、记录网络运行状态、网络安全事件、服务器操作记录、业务数据日志追溯等技术措施，做好日志备份，并按照规定留存相关日志不少于六个月。

第十五条  公共资源交易中心应当加强存储介质管理，采取技术措施加强外接介质接入网络行为的监控，防止因介质使用引发的病毒木马传播。

第十六条  公共资源交易平台应当具备维护服务审计功能，全程记录运行维护服务人员对平台的使用过程，做到可溯可查。

第十七条  各公共资源交易平台接口应当保持技术中立，与各类需要分离开发的工具软件相兼容对接，不得限制或者排斥符合技术规范规定的工具软件与其对接。

第十八条  公共资源交易中心应当加强对发布信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关部门报告。

第十九条  公共资源交易中心应当每年至少组织一次网络安全工作检查，以防攻击、防入侵、防篡改、防窃密为重点，深入查找网络安全风险隐患并强化整改。

第二十条  任何个人和组织应当对其使用公共资源交易网络信息的行为负责，不得利用公共资源交易网络信息系统危害国家安全、泄露国家秘密，不得侵犯国家、社会、企业利益和公民的合法权益，不得从事违法犯罪活动。

第三章  监测预警与应急处置

第二十一条  公共资源交易中心应当建立本单位网络安全监测预警和信息通报机制，及时接收、处置来自国家、行业和地方网络安全预警通报信息，定期开展漏洞扫描、渗透测试，实时掌握网络安全状态，对通报获得的或自身监测发现的网络安全威胁与隐患及时处置，并按规定向有关部门报告相关情况。

第二十二条  公共资源交易中心建立健全网络安全应急管理机制，制定网络安全应急预案，明确应急工作部门、事件上报、应急处置流程及应急处置措施，每年至少开展一次应急演练，并根据演练结果完善应急预案。发生网络安全事件后，应根据事件类型和级别，快速启动应急预案，采取技术措施和其他必要措施，最大程度减少危害和损失，并及时向有关部门上报安全事件。

第二十三条  发生重大网络安全威胁和事件时，公共资源交易中心、公共资源交易网络产品和服务提供者应当为有关部门依法履行监管职责提供技术支持和协助，提升应对处置网络安全突发事件和重大风险防控能力。

第四章  追责机制

第二十四条  违反本办法规定的，按照有关法律、法规、规章的规定处理。侵害公民、法人或者其他组织的合法权益的，依法承担民事责任。构成犯罪的，依法追究刑事责任。

第二十五条  本办法未尽事宜，依照有关法律、法规、规章和有关规定执行。涉及国家秘密和工作秘密的，按照相关规定执行。法律、法规、规章对网络信息安全另有规定的，从其规定。

第五章  附  则

第二十六条  本办法由河南省发展和改革委员会负责解释。

第二十七条  本办法自印发之日起施行。