2020-01-14
關于印發《河北省住房城鄉建設行業信息化建設和網絡安全管理辦法》的通知
冀建法改〔2019〕15號
各市(含定州、辛集市)住房和城鄉建設局(建設局、住房保障和房產管理局)、城市管理綜合行政執法局、住房公積金管理中心,石家莊市園林局,雄安新區管委會規劃建設局、綜合執法局:
《河北省住房城鄉建設行業信息化建設和網絡安全管理辦法》已經2019年12月24日廳務會議審議通過,現予印發,請認真遵照執行。
河北省住房和城鄉建設廳
2019年12月31日
河北省住房城鄉建設行業信息化建設和網絡安全管理辦法
第一章 總 則
第一條 為規范住房城鄉建設行業信息化建設管理,保障網絡安全,依據《中華人民共和國網絡安全法》《河北省信息化條例》等有關法律、法規和規章的規定,制定本辦法。
第二條 本省行政區域內,住房城鄉建設行業信息化的規劃建設、網絡安全以及對其的相關指導和監督管理,適用本辦法。
本辦法所稱住房城鄉建設行業信息化(以下簡稱“行業信息化”),是指充分應用“互聯網+”、大數據、云計算、人工智能等現代信息技術,促進房地產市場、住房保障、城市建設管理、村鎮建設、建筑市場、工程質量安全、建筑節能、住房公積金等住房和城鄉建設領域,實現行業監管、公共服務和企業發展等網絡化、數字化和智能化的工作。
第三條 遵循積極利用、科學發展、依法管理、確保安全的方針,堅持網絡安全與信息化發展并重、業務工作與信息化發展并重的原則。
第四條 網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
第五條 縣級以上住房城鄉建設主管部門應當按照職能,依法依規對本系統、本部門下列工作履行相關職責:
(一)貫徹執行信息化和網絡安全的法律、法規、規章和標準規范;
(二)研究落實國家、我省有關信息化發展和網絡安全的決策部署和規劃政策;
(三)建立健全促進行業信息化發展、保障網絡安全的工作措施和規章制度;
(四)開發應用行業管理和公共服務的相關信息系統;
(五)負責網絡安全的監測預警、信息通報、應急處置、檢查督促等相關工作;
(六)組織開展和指導督促信息化知識普及、網絡安全宣傳教育。
第六條 網絡相關行業組織應當按照法律、法規、規章以及行業章程,推廣和應用現代信息技術,開展信息資源開發利用,加強行業自律,促進行業信息化健康發展。
第七條 縣級以上住房城鄉建設主管部門收到個人和組織對危害網絡安全的行為的舉報,應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。
縣級以上住房城鄉建設主管部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。
第二章 規劃建設
第八條 縣級以上住房城鄉建設主管部門應當根據本行政區域信息化發展規劃,將本系統、本部門的信息化發展目標、工作任務和重點工程等內容,納入住房和城鄉建設事業規劃;或者編制本系統、本部門的信息化發展專項規劃,并報同級信息化主管部門備案。
第九條 編制規劃應當符合本行政區域經濟和社會發展的實際,圍繞行業發展需求、行業監管要求、民生服務期盼和防范化解行業重大風險等,著力提升信息化應用水平,保障信息化發展環境。
編制規劃應當征求上一級主管部門、同級信息化主管部門和社會各方面意見,并組織專家論證,防止重復建設和資源浪費。
第十條 縣級以上住房城鄉建設主管部門應當對其規劃目標完成、工作推進、措施落實等情況進行定期評估,對發現的問題,及時制定措施予以改進。
第十一條 行業信息化建設應當執行國家、行業強制性標準以及本省的地方標準和技術規范。
第十二條 行業信息化建設應當聚焦和符合國家、我省重點建設的主攻方向,統籌安排以下建設內容,分步實施,持續建設:
(一)政務服務信息系統和平臺建設;
(二)建筑市場、房地產市場、工程質量和施工安全、城市和村鎮建設管理等行業監管信息化;
(三)建筑智能化、城管平臺、智慧供暖以及住房保障、住房租賃、住房公積金等公共服務信息化;
(四)智慧企業、智慧工地以及企業有關BIM、大數據、云計算、物聯網等技術的應用系統;
(五)行業信息化數據庫、數據交換平臺和數據資源中心。
第十三條 信息化項目建設前,建設單位應當開展業務需求調研,編制項目可行性研究報告、建設實施方案和網絡安全保護方案等,并組織專家充分論證。
第十四條 使用財政性資金建設的信息化項目,應當按照固定資產投資管理程序執行,由建設單位的同級信息化主管部門提出初審意見,報同級項目主管部門審批。
使用財政性資金對已建信息化工程進行改建、擴建、運行維護的,建設單位在報財政部門審批經費前,應當由同級信息化主管部門提出初審意見。
使用非財政性資金建設的重大公共基礎性信息化工程和信息安全工程,建設單位應當在依法辦理相關手續后,向當地信息化主管部門備案。
第十五條 選擇信息化項目的承建單位、貨物供應商和服務提供單位,建設單位應當依照招標投標、政府采購的法律法規和我省的有關規定,履行招投標或者政府采購程序,并依法簽訂書面合同。
第十六條 建設單位應當指定或者授權專門的部門和人員,或者按規定委托第三方專業機構對信息化項目建設全過程實施監督管理,并采取有效措施控制項目質量、安全和工期。
第十七條 信息化項目竣工后,建設單位應當提供由專業技術機構出具的軟件功能、性能測試和網絡安全測評等技術驗收測試報告,并按照國家、我省的驗收標準和規定組織驗收。未經驗收或者驗收不合格的信息化項目,不得投入使用。
第十八條 信息化項目在保修范圍和保修期限內發生質量問題的,承建單位應當履行保修義務,并對造成的損失依法承擔賠償責任。
保修范圍和保修期限應當在承發包合同中約定。保修期限自工程竣工驗收合格之日起計算,不得少于兩年。
法律、行政法規對保修范圍和保修期限另有規定的,從其規定。
第十九條 使用財政性資金建設的信息化項目,建設單位應當按照財政有關規定,組織開展資金使用情況的績效評價,提高財政資金使用效益。
第二十條 本省政府投資、其他國有資產投資以及以政府投資和其他國有資產投資為主的信息系統,建設單位應當依照規定接受審計部門對建設項目管理情況以及安全性、可靠性、經濟性進行的審計。
第三章 網絡安全
第二十一條 建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
第二十二條 根據信息系統在國家安全、經濟建設、社會生活中的重要程度,以及信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素,信息系統的安全保護分為五個等級。
第二十三條 網絡運營者應當在新建信息系統的規劃設計階段,依據《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批準。對擬確定為第四級及以上的信息系統的,應當請國家信息安全保護等級專家評審委員會評審。
第二十四條 非涉及國家秘密的第二級以上(含二級)信息系統安全保護等級確定后30日內,網絡運營者應當依據《信息安全等級保護備案實施細則》,到具有管轄權的地市級以上公安機關公共信息網絡安全監察部門辦理備案手續,取得《信息系統安全等級保護備案證明》。
網絡運營者重新確定信息系統安全保護等級后,應當按照前款規定重新備案。
第二十五條 網絡運營者應當在信息系統建設完成后,選擇符合國家有關規定的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。
網絡運營者應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。
第三級信息系統等級測評和自查期限為每年至少進行一次,第四級信息系統等級測評和自查期限為每半年至少進行一次,第五級信息系統等級測評和自查期限依據特殊安全需求進行。
經等級測評或者自查,信息系統安全狀況未達到安全保護等級要求的,網絡運營者應當制定方案進行整改,消除風險隱患。關鍵信息基礎設施的運營者應當將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第二十六條 網絡運營者應當采購、使用符合相關國家標準的強制性要求的網絡產品和服務。
采購使用的網絡關鍵設備和網絡安全專用產品,應當符合相關國家標準的強制性要求,并由具備資格的機構安全認證合格或者安全檢測符合要求。
關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。
第二十七條 網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十八條 除本辦法第二十七條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規規定的其他義務。
第二十九條 網絡運營者應當加強對其用戶發布信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
第三十條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得有下列行為:
(一)收集與其提供的服務無關的個人信息;
(二)違反法律、行政法規的規定和雙方的約定收集、使用個人信息;
(三)泄露、篡改、毀損其收集的個人信息;
(四)未經被收集者同意,向他人提供個人信息。
前款第(三)(四)項規定的信息不包括經過處理無法識別特定個人且不能復原的信息。
第三十一條 網絡運營者應當依照法律、行政法規的規定和與用戶的約定,采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
第三十二條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
第三十三條 負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。
第三十四條 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,并定期組織演練。
網絡安全事件應急預案應當主要包括編制目的和依據、適用范圍、事件分級、工作原則、組織機構及職責、監測與預警、應急處置、預防工作、保障措施等內容,并針對情況變化和工作需要及時修訂和發布。
第三十五條 縣級以上住房城鄉建設主管部門應當定期組織對本行業、本領域關鍵信息基礎設施的安全風險及運營者履行安全保護義務情況進行抽查檢測,提出改進措施,指導、督促運營者及時整改檢測評估中發現的問題。
第四章 附 則
第三十六條 法律、法規和規章對信息化規劃建設和網絡安全有其他規定,或者對本辦法有關內容有新規定的,從其規定。
各級住房城鄉建設主管部門可以依據法律、法規和規章,結合本《辦法》要求,制定本部門、本系統的具體管理辦法或者相關制度。
第三十七條 本辦法下列用語的含義:
(一)網絡,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
(二)網絡安全,是指通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。
(三)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。
(四)網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。
(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
第三十八條 本辦法自頒布之日起施行,有效期5年。