㈠ 甘肃省人民政府办公厅机关内部政务督查工作实施办法(试行)
第一条政务督查的主要内容
(一)省政府的中心工作、重大决策和重要工作部署,包括省政府全体会议、常务会议、省长办公会议以及省政府专题会议、现场办公会议等决定事项;
(二)省政府及省政府办公厅下发的重要文件、电报的贯彻落实情况;
(三)党中央、国务院和省委、省人大转交省政府或省政府办公厅办理的事项;
(四)人大代表建议、政协提案的办理;
(五)省政府领导同志批示或交办的事项。第二条政务督查的分工
(一)领导批示和交办事项的督查。党中央、国务院领导同志和省委书记、省长的批示及需要重点督查的交办事项,由提案督查处会同有关处(室)督查;副省长和其他领导同志的批示及交办事项,由相关处(室)督查。
(二)会议决定事项的督查。省政府全体会议、党组会议及省长主持召开的省长办公会议决定的事项,由秘书处会同有关处(室)督查;省政府常务会议决定的事项,由提案督查处会同有关处(室)督查;副省长主持召开的办公会议决定的事项,由对口处(室)督查;省政府专题会议决定的事项,根据会议内容由相关处(室)督查;省委常委会议议定需省政府落实的事项,由省政府秘书长批示有关处(室)督查。
(三)人大代表建议、政协提案办理的督查。由提案督查处会同有关处(室)督查。
(四)日常文电的督查。省政府及省政府办公厅的日常文电,在省政府或省政府办公厅领导同志交办督查任务后,按其内容由有关处(室)督查;涉及政府工作全局的重要文电;提案督查处在省政府或省政府办公厅领导同志授权后,会同有关处(室)督查。第三条政务督查的协作与配合
(一)厅机关内部的政务督查工作坚持统分结合、归口办理的原则。提案督查处要发挥“统”的功能,对厅机关内部政务督查工作进行综合、协调。各处(室)要齐心协力,互相配合,狠抓落实。
(二)凡涉及厅机关内部两个以上处(室)的督查事项,由厅领导指明主办处(室)和协办处(室)。主办处(室)要切实负起责任,按期完成任务;协办处(室)要积极配合,不得推诿和拖延。
(三)省政府及省政府办公厅的会议和重大政务活动,凡有督查落实任务的,组织会议、活动的处(室)应及时通知提案督查处及相关处(室)列席参加。
(四)各专职秘书应将需要督查办理的领导批示件及时转交有关处(室)办理。
(五)凡需要督查落实的党中央、国务院和省委领导同志批示件,由文档处、机要处交提案督查处办理。党中央、国务院和省委、省政府以及省政府办公厅需要督查的文电,除已明确由提案督查处办理的外,其他由文档处、机要处按职责分工交有关处(室)办理。第四条建立健全政务督查工作制度
(一)督查工作责任制。厅机关内部的政务督查工作由省政府秘书长负总责,厅主任具体抓。按照“谁分管、谁负责,谁经办、推落实”的要求,实行分级管理,一级抓一级,层层抓落实。操作程序为:处长(室主任)对省政府秘书长、副秘书长负责;省政府秘书长、副秘书长分别对省长、主管副省长负责。同时,各副秘书长应服从秘书长的统一协调。
(二)政务督查例会制度。省政府秘书长每季度召开一次秘书长会,由各副秘书长报告有关重大事项的督查落实情况;厅主任每月召开一次厅务会,由各处处长(室主任)报告有关事项的督查落实情况。
(三)政务督查工作反馈制度。总的要求是:交必办、办必果、果必报;事事有回音,件件有着落;急事急办、特事特办。要努力提高督办质量,及时反馈办理结果。具体要求是:各处(室)自办事项,一般应在一周内向交办领导反馈落实情况;交地方或部门办理的事项,半月内将办理情况向交办领导反馈;情况复杂、工作量大的督查事项,一般在一个月之内将落实情况向交办领导反馈。交办领导对督查事项明确提出时限要求的,应在规定时间内办结并反馈。没有按期办结的事项,要向交办领导说明原因。提案督查处具体负责《督查快报》的编辑发行工作,省政府重大事项和重要工作部署的落实情况都应通过《督查快报》向领导反馈。
人大代表建议、政协提案办理的反馈,应坚持办一件反馈一件的原则,做到不拖不压、件件反馈。
(四)政务督查工作通报制度。各处(室)应在每月下旬将督查事项的办理进展和落实情况,书面报告厅主管领导同志审定,并交提案督查处汇总,通过《甘肃政务督查》予以通报。
(五)计算机网络管理制度。信息处要为政务督查的计算机网络管理提供技术服务,各处(室)要及时将督查落实情况输入计算机网络。凡属保密事项,按有关保密规定执行。
㈡ 试阐述电子政务安全的主要内容
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证.电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击.尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度.所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战.
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战.
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力.
为实现上述目标应采取积极的安全策略:
国家主导、社会参与.电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全.
全局治理、积极防御.电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效.
等级保护、保障发展.要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展.
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展.
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素.
要素一 安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑.
《中华人民共和国保护国家秘密法》已实施十多年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订.
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征.尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的.
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力.这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的.
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出.电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用.但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具.在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危.因此加快个人数据保护法的制订,是必要的.
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行.
要素二 安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全.电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行.各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件.
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化.
电子政务信息安全域的划分与管理是至关重要的.电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息.既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现.
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段.对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书.对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行.
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性.
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播.
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行.
要素三 安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠.
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求.
还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名…….
要素四 安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系.
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制.
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力.
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求.
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法;
·网上安全产品的失控;
·网络与系统自身的漏洞与脆弱性.
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何.进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素.在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的.
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3).上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五 安全技术与产品
1. 加强安全技术和产品的自主研制和创新.
由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要.这些产品和技术可以分为六大类:
·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;
·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔
离;
·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;
·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理与环境类:TEMPEX、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别.
2.电子政务安全产品的选择.
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权.
产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸.
要素六 安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设.因此,推动电子政务的发展,应重视相关信息安全基础设施的建设.
信息安全基础设施有两大类.
1.社会公共服务类
·基于PKI/PMI数字证书的信任和授权体系;
·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络应急响应与支援体系;
·灾难恢复基础设施;
·基于KMI的密钥管理基础设施.
2.行政监管执法类
·网络信息内容安全监控体系;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
·网络侦控与反窃密体系;
·网络监控、预警与反击体系.
㈢ 海南经济特区公共信息网络管理规定
第一章总则第一条为保障海南经济特区的公共信息网络建设和运行,促进政府部门信息资源和其他社会信息资源的开发利用,提高信息的社会服务水平,加快海南经济特区信息化进程,遵循国家有关法律、法规的原则,结合本经济特区实际,制定本规定。第二条本规定适用于本经济特区各级政府部门、企事业单位、社会公众利用公共信息网络交换、传递、发布、使用信息以及网络互联、国际联网的有关活动。第三条本规定所称公共信息网络,是指国家信息网络的海南省域信息网络。它由信息传送网、信息交换平台和信息资源三部分构成。
信息传送网是指公共信息网络的信息传输网络,以本经济特区公用通信网为主干。
信息交换平台是指本经济特区信息资源共享和网络互联的中心平台。本经济特区内其他信息资源共享和网络互联平台应当在海南地域以内与信息交换平台互联互通。
信息资源包括政府信息资源、企事业信息资源和社会公众信息资源。第四条本规定所用下列术语的含义是:
(一)应用系统是指各级政府部门和社会各界对其所用信息进行收集、处理、使用和服务的信息系统;
(二)专用网络是指自建信息传送网及计算机系统并服务于某一专门领域信息处理的计算机网络;
(三)内部网络是指利用公共信息网络处理党政机关、人大政协机关、审判检察机关信息资源和企事业信息资源并为有关单位内部服务的计算机网络;
(四)网络互联是指本经济特区各接入网络及应用系统与公共信息网络信息交换平台之间的互联互通,以及本经济特区公共信息网络与本经济特区以外其他网络的互联互通;
(五)公众信息资源是指应当向社会公众发布的信息资源。第五条公共信息网络建设坚持统筹规划、联合共建,实现网络互联互通,为政府、企事业单位和社会公众提供信息基础环境。第六条公共信息网络以服务政府、服务社会为宗旨,保证网络的公益性和实用性。第七条公用通信网、信息交换平台的运营必须遵守国家的法律、法规,以公正、公开、协作为原则,实行有偿服务。第八条本经济特区信息资源应用层实行放行经营,鼓励社会各界开发、建设、经营信息服务应用系统。禁止不正当竞争行为。保护公平竞争。第九条各级政府部门要利用公共信息网络组织信息资源,提高网络效益,避免重复建设。第二章公共信息网络行政管理第十条海南省人民政府信息化办公室(以下简称省信息化办公室)是海南
人民政府负责管理全省信息化的职能机构,对公共信息网络履行以下管理职责:
(一)统一协调、制定公共信息网络发展战略和长远规划;
(二)起草、制定有关公共信息网络运行管理规范,并监督实施;
(三)会同有关部门依照国家有关规定制定公共信息网络运行的信息标准、技术标准和安全标准,并监督执行;
(四)会同有关部门制定公共信息网络运行的资费政策;
(五)指导和监督公共信息网络运营机构的经营行为;
(六)审查政府部门专用网络的建设申请和建设方案;
(七)制订各级政府部门的信息资源开发规划并组织、监督其实施;
(八)管理全省网络互联的有关事宜;
(九)根据《中国互联网络域名注册暂行管理办法》及国家其他有关规定,管理海南经济特区公共信息网络域名与因特网址;
(十)负责对违反本规定的行为进行处理。第十一条省工商行政管理部门负责对进入公共信息网络开展经营活动的组织和个人进行工商管理。第十二条省公安机关负责监督、检查、指导公共信息网络安全工作,查处危害公共信息网络安全的违法行为。第十三条省邮电部门按照国家的统一规划和技术标准,负责全省信息传输基础网络的规划和建设;协同省信息化办公室做好公共信息网络信息传送网和用户接入网的规划和实施工作,为公共信息网络的高效、安全运行提供优质服务。第十四条省物价部门根据国家和本省有关规定,责任制定、审核数据通信和公共信息网络资费标准,并监督执行。第三章公共信息网络运营管理第十五条公共信息网络实行商业化经营。公共信息网络运营机构在省信息化办公室指导和监督下负责公共信息网络的运营管理,履行以下职责:
(一)在统一技术规范下组织用户上网并负责网络用户管理;
(二)保证公共信息网络的正常运行和维护工作;发生网络运行故障时,网络运营机构和相关部门应当采取必要措施迅速排除;确需停机处理的,应当及时通知用户,避免造成不必要的损失;
(三)公共信息网络用户的技术支持和技术培训;
(四)网络互联技术接口的管理;
(五)向用户提供优质服务,为用户提供安全、方便、快捷的网络使用环境,不得故意延误或者擅自中断对用户的网络服务;
(六)其他网络运营管理事项。