关于印发《河北省住房城乡建设行业信息化建设和网络安全管理办法》的通知

　　冀建法改〔2019〕15号

　　各市（含定州、辛集市）住房和城乡建设局（建设局、住房保障和房产管理局）、城市管理综合行政执法局、住房公积金管理中心，石家庄市园林局，雄安新区管委会规划建设局、综合执法局：

　　《河北省住房城乡建设行业信息化建设和网络安全管理办法》已经2019年12月24日厅务会议审议通过，现予印发，请认真遵照执行。

　　河北省住房和城乡建设厅

　　2019年12月31日

　　河北省住房城乡建设行业信息化建设和网络安全管理办法

　　第一章  总  则

　　第一条　为规范住房城乡建设行业信息化建设管理，保障网络安全，依据《中华人民共和国网络安全法》《河北省信息化条例》等有关法律、法规和规章的规定，制定本办法。

　　第二条　本省行政区域内，住房城乡建设行业信息化的规划建设、网络安全以及对其的相关指导和监督管理，适用本办法。

　　本办法所称住房城乡建设行业信息化（以下简称“行业信息化”），是指充分应用“互联网+”、大数据、云计算、人工智能等现代信息技术，促进房地产市场、住房保障、城市建设管理、村镇建设、建筑市场、工程质量安全、建筑节能、住房公积金等住房和城乡建设领域，实现行业监管、公共服务和企业发展等网络化、数字化和智能化的工作。

　　第三条　遵循积极利用、科学发展、依法管理、确保安全的方针，坚持网络安全与信息化发展并重、业务工作与信息化发展并重的原则。

　　第四条　网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

　　第五条　县级以上住房城乡建设主管部门应当按照职能，依法依规对本系统、本部门下列工作履行相关职责：

　　（一）贯彻执行信息化和网络安全的法律、法规、规章和标准规范；

　　（二）研究落实国家、我省有关信息化发展和网络安全的决策部署和规划政策；

　　（三）建立健全促进行业信息化发展、保障网络安全的工作措施和规章制度；

　　（四）开发应用行业管理和公共服务的相关信息系统；

　　（五）负责网络安全的监测预警、信息通报、应急处置、检查督促等相关工作；

　　（六）组织开展和指导督促信息化知识普及、网络安全宣传教育。

　　第六条　网络相关行业组织应当按照法律、法规、规章以及行业章程，推广和应用现代信息技术，开展信息资源开发利用，加强行业自律，促进行业信息化健康发展。

　　第七条　县级以上住房城乡建设主管部门收到个人和组织对危害网络安全的行为的举报，应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

　　县级以上住房城乡建设主管部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

　　第二章　规划建设

　　第八条　县级以上住房城乡建设主管部门应当根据本行政区域信息化发展规划，将本系统、本部门的信息化发展目标、工作任务和重点工程等内容，纳入住房和城乡建设事业规划；或者编制本系统、本部门的信息化发展专项规划，并报同级信息化主管部门备案。

　　第九条　编制规划应当符合本行政区域经济和社会发展的实际，围绕行业发展需求、行业监管要求、民生服务期盼和防范化解行业重大风险等，着力提升信息化应用水平，保障信息化发展环境。

　　编制规划应当征求上一级主管部门、同级信息化主管部门和社会各方面意见，并组织专家论证，防止重复建设和资源浪费。

　　第十条　县级以上住房城乡建设主管部门应当对其规划目标完成、工作推进、措施落实等情况进行定期评估，对发现的问题，及时制定措施予以改进。

　　第十一条　行业信息化建设应当执行国家、行业强制性标准以及本省的地方标准和技术规范。

　　第十二条　行业信息化建设应当聚焦和符合国家、我省重点建设的主攻方向，统筹安排以下建设内容，分步实施，持续建设：

　　（一）政务服务信息系统和平台建设；

　　（二）建筑市场、房地产市场、工程质量和施工安全、城市和村镇建设管理等行业监管信息化；

　　（三）建筑智能化、城管平台、智慧供暖以及住房保障、住房租赁、住房公积金等公共服务信息化；

　　（四）智慧企业、智慧工地以及企业有关BIM、大数据、云计算、物联网等技术的应用系统；

　　（五）行业信息化数据库、数据交换平台和数据资源中心。

　　第十三条　信息化项目建设前，建设单位应当开展业务需求调研，编制项目可行性研究报告、建设实施方案和网络安全保护方案等，并组织专家充分论证。

　　第十四条　使用财政性资金建设的信息化项目，应当按照固定资产投资管理程序执行，由建设单位的同级信息化主管部门提出初审意见，报同级项目主管部门审批。

　　使用财政性资金对已建信息化工程进行改建、扩建、运行维护的，建设单位在报财政部门审批经费前，应当由同级信息化主管部门提出初审意见。

　　使用非财政性资金建设的重大公共基础性信息化工程和信息安全工程，建设单位应当在依法办理相关手续后，向当地信息化主管部门备案。

　　第十五条　选择信息化项目的承建单位、货物供应商和服务提供单位，建设单位应当依照招标投标、政府采购的法律法规和我省的有关规定，履行招投标或者政府采购程序，并依法签订书面合同。

　　第十六条　建设单位应当指定或者授权专门的部门和人员，或者按规定委托第三方专业机构对信息化项目建设全过程实施监督管理，并采取有效措施控制项目质量、安全和工期。

　　第十七条　信息化项目竣工后，建设单位应当提供由专业技术机构出具的软件功能、性能测试和网络安全测评等技术验收测试报告，并按照国家、我省的验收标准和规定组织验收。未经验收或者验收不合格的信息化项目，不得投入使用。

　　第十八条　信息化项目在保修范围和保修期限内发生质量问题的，承建单位应当履行保修义务，并对造成的损失依法承担赔偿责任。

　　保修范围和保修期限应当在承发包合同中约定。保修期限自工程竣工验收合格之日起计算，不得少于两年。

　　法律、行政法规对保修范围和保修期限另有规定的，从其规定。

　　第十九条　使用财政性资金建设的信息化项目，建设单位应当按照财政有关规定，组织开展资金使用情况的绩效评价，提高财政资金使用效益。

　　第二十条　本省政府投资、其他国有资产投资以及以政府投资和其他国有资产投资为主的信息系统，建设单位应当依照规定接受审计部门对建设项目管理情况以及安全性、可靠性、经济性进行的审计。

　　第三章　网络安全

　　第二十一条　建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

　　第二十二条　根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，信息系统的安全保护分为五个等级。

　　第二十三条　网络运营者应当在新建信息系统的规划设计阶段，依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。对拟确定为第四级及以上的信息系统的，应当请国家信息安全保护等级专家评审委员会评审。

　　第二十四条　非涉及国家秘密的第二级以上（含二级）信息系统安全保护等级确定后30日内，网络运营者应当依据《信息安全等级保护备案实施细则》，到具有管辖权的地市级以上公安机关公共信息网络安全监察部门办理备案手续，取得《信息系统安全等级保护备案证明》。

　　网络运营者重新确定信息系统安全保护等级后，应当按照前款规定重新备案。

　　第二十五条　网络运营者应当在信息系统建设完成后，选择符合国家有关规定的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

　　网络运营者应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。

　　第三级信息系统等级测评和自查期限为每年至少进行一次，第四级信息系统等级测评和自查期限为每半年至少进行一次，第五级信息系统等级测评和自查期限依据特殊安全需求进行。

　　经等级测评或者自查，信息系统安全状况未达到安全保护等级要求的，网络运营者应当制定方案进行整改，消除风险隐患。关键信息基础设施的运营者应当将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　第二十六条　网络运营者应当采购、使用符合相关国家标准的强制性要求的网络产品和服务。

　　采购使用的网络关键设备和网络安全专用产品，应当符合相关国家标准的强制性要求，并由具备资格的机构安全认证合格或者安全检测符合要求。

　　关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

　　第二十七条　网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

　　（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

　　（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

　　（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

　　（四）采取数据分类、重要数据备份和加密等措施；

　　（五）法律、行政法规规定的其他义务。

　　第二十八条　除本办法第二十七条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

　　（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

　　（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

　　（三）对重要系统和数据库进行容灾备份；

　　（四）制定网络安全事件应急预案，并定期进行演练；

　　（五）法律、行政法规规定的其他义务。

　　第二十九条　网络运营者应当加强对其用户发布信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

　　第三十条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　网络运营者不得有下列行为：

　　（一）收集与其提供的服务无关的个人信息；

　　（二）违反法律、行政法规的规定和双方的约定收集、使用个人信息；

　　（三）泄露、篡改、毁损其收集的个人信息；

　　（四）未经被收集者同意，向他人提供个人信息。

　　前款第（三）（四）项规定的信息不包括经过处理无法识别特定个人且不能复原的信息。

　　第三十一条　网络运营者应当依照法律、行政法规的规定和与用户的约定，采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

　　第三十二条　个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

　　第三十三条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

　　第三十四条　网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

　　负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

　　网络安全事件应急预案应当主要包括编制目的和依据、适用范围、事件分级、工作原则、组织机构及职责、监测与预警、应急处置、预防工作、保障措施等内容，并针对情况变化和工作需要及时修订和发布。

　　第三十五条　县级以上住房城乡建设主管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险及运营者履行安全保护义务情况进行抽查检测，提出改进措施，指导、督促运营者及时整改检测评估中发现的问题。

　　第四章　附  则

　　第三十六条  法律、法规和规章对信息化规划建设和网络安全有其他规定，或者对本办法有关内容有新规定的，从其规定。

　　各级住房城乡建设主管部门可以依据法律、法规和规章，结合本《办法》要求，制定本部门、本系统的具体管理办法或者相关制度。

　　第三十七条　本办法下列用语的含义：

　　（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

　　（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

　　（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。

　　（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

　　（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　第三十八条　本办法自颁布之日起施行，有效期5年。