安全运维管理，关于印发《水利部信息化建设与管理办法》的通知

水信息[2016]196号

部机关各司局，部直属各单位：

为加强水利部信息化建设与管理，强化水利信息化资源整合共享和网络安全，保障水利信息化协调有序发展，我部组织将《水利部信息化建设管理暂行办法》修订为《水利部信息化建设与管理办法》。现印发给你们，请遵照执行。

水利部

2016年5月27日

水利部信息化建设与管理办法

第一章 总则

第一条 为加强水利部信息化建设与管理，强化水利信息化资源整合共享，保障水利信息化协调有序发展，依据国家信息化战略及水利建设与管理有关规定，结合水利部信息化实际，制定本办法。

第二条 本办法所称水利信息化建设与管理主要包括水利业务应用、水利信息资源、水利信息化基础设施、水利网络安全和水利信息化保障环境等方面的建设与管理。

第三条 水利信息化建设与管理遵循“统筹规划、整合共享，统一标准、安全优先”的原则，并按照《水利信息化顶层设计》《水利信息化资源整合共享顶层设计》的要求和国家、水利行业有关信息化技术标准进行。

第四条 本办法适用于水利部机关及部直属单位非涉密水利信息化建设与管理,涉及国家秘密的水利信息化建设与管理严格按照国家保密有关规定执行。

第二章 组织机构

第五条 水利部网络安全与信息化领导小组（以下简称部网信领导小组）是水利部信息化建设与管理领导机构。部网信领导小组下设办公室（以下简称部网信办），承担部网信领导小组的日常工作。

第六条 各直属单位应成立本单位信息化建设与管理领导机构及其办事机构（以下简称信息化管理机构），明确相应的职责，加强水利信息化建设与管理的组织领导。

第七条 各直属单位信息化管理机构应组织技术支撑单位具体承担水利信息化建设项目的立项、实施以及运行维护、安全管理等任务。

第三章 项目前期

第八条 水利信息化建设项目前期工作，按照《水利部直属单位基础设施建设投资计划管理办法》或《水利部预算项目储备管理暂行办法》的有关规定执行。

第九条 水利信息化建设应在国家有关信息化规划和全国水利信息化规划的指导下进行，并按照水利部基本建设及预算管理有关规定，履行相应的立项程序。

第十条 水利信息化规划是水利信息化建设项目立项的重要依据，主要包括全国水利信息化规划、部直属单位信息化规划及各业务领域信息化专项规划等。全国水利信息化规划由部网信办组织编制，报部网信领导小组审议,报部审查审批的水利信息化规划由部网信办组织审查。

第十一条 水利信息化建设项目审查审批前，审查审批部门应就项目建设必要性、安全符合性、资源整合共享等方面征求部网信办或同级信息化管理机构的意见。

第十二条 水利信息化建设项目应纳入三年滚动投资计划和水利投资运营三年滚动财政规划。

第十三条 水利信息化建设项目应依据国家信息安全等级保护制度（以下简称等保）的相关要求进行系统定级，经部网信办审核后报公安部门备案，并同步规划、设计安全方案。

第四章 项目实施

第十四条 水利信息化建设项目根据投资来源，应分别按照基本建设或预算管理程序实施，保证项目质量和安全，严格管理项目经费。

第十五条 水利信息化建设项目建设单位应严格按照批复的初步设计报告或预算项目文本组织实施，不得擅自变更。确需变更设计方案的应按有关程序报批，审查审批部门应征求部网信办或相关信息化管理机构的意见。

第十六条 水利信息化建设项目应依据所定等级及国家等保相关要求同步建设安全防护措施或进行安全整改。

第十七条 水利信息化建设项目的采购应按照《中华人民共和国政府采购法》《中华人民共和国招投标法》等有关规定执行。采购的产品、技术和服务须符合国家有关要求，确保采购正版软件，优先选用国产产品，确需采购进口产品的，应按有关规定报批。

第十八条 水利信息化建设项目主体建设任务完成后应进行试运行，试运行时间原则上不少于3个月，并做好功能与性能指标及修改完善等相关记录安全运维管理，编制试运行报告。

第十九条 水利信息化建设项目涉及的系统集成、安全服务、工程监理等应选择具有相应资质的单位。

第五章 项目验收

第二十条 水利信息化建设项目的验收应按照《水利部直属单位基础设施建设项目验收管理办法》或《水利部中央级预算项目验收管理暂行办法》的有关规定执行。未经验收或验收不合格的水利信息化建设项目，其成果不得交付使用。

第二十一条 水利信息化建设项目验收包括合同验收、专项验收、竣工（最终）验收等。

第二十二条 水利信息化建设项目签署的合同均应进行验收或对执行情况进行审核确认。涉及消防建设内容的，应按照相关规定和规范进行专项验收。需进行档案专项验收的，应由档案主管单位组织进行档案专项验收。

第二十三条 水利信息化建设项目竣工（最终）验收前，应对等保三级及以上级别信息系统进行等保测评，测评通过方可申请验收。软件开发类项目应进行软件测试，投资额较大的应通过有资质的第三方评测机构的测试，否则不予验收。

第二十四条 水利信息化建设项目竣工（最终）验收前，项目建设单位应提交竣工报告、技术文档及财务决算报告，并按有关规定进行决算审查与审计。

第二十五条 水利信息化建设项目由上级部门会同其信息化管理机构根据项目投资来源按照相应的程序及要求组织进行竣工（最终）验收。

第二十六条 水利信息化建设项目竣工（最终）验收后，建设成果应报同级信息化管理机构备案，并将数据资源成果汇交同级信息化技术支撑单位，以统筹信息资源的整合、共享与利用。对于不汇交数据资源成果的项目建设单位，不予立项后续水利信息化建设项目。

第二十七条 水利信息化建设项目竣工（最终）验收并投入运行后应按国家有关规定对其进行绩效评价。

第六章 安全管理

第二十八条 水利网络安全管理应遵循《信息安全技术 信息系统安全管理要求》（GB/T ）、《信息技术 安全技术 信息安全管理体系 要求》（GB/T ）、《信息安全技术 信息系统安全等级保护基本要求》（GB/T ）等标准及《水利信息网运行管理办法》的有关规定。

第二十九条 各直属单位信息化管理机构应组织技术支撑单位在软硬件设备上线前进行漏洞扫描，在应用软件上线前查验软件安全性测试报告，面向互联网服务的应用软件和重要信息系统应由第三方专业机构出具应用软件安全性测试报告，国家级重要信息系统的应用软件还应查验第三方专业机构出具的源代码安全检测报告。发现问题应要求项目建设单位进行整改。

第三十条 各直属单位信息化管理机构应加强网络安全监测能力建设，组织技术支撑单位依托统一安全管理中心对本单位及下属单位网络安全状况进行集中管理、实时监测，发现管辖范围内正在发生的网络安全事件应及时进行处置，对面临的网络安全风险应及早预警。

第三十一条 各直属单位信息化管理机构应组织技术支撑单位定期对信息系统进行漏洞扫描，重要信息系统至少每月进行一次漏洞扫描，发现隐患及时整改,定期进行网络安全审计，对可疑行为进行分析处置,重要信息系统每年应开展一次等保测评。

第三十二条 各级信息化管理机构应建立网络安全事件应急响应和恢复工作机制，完善应急响应组织机构，制定应急预案并加强演练，在突发网络安全事件时,启动相应的应急预案,快速、有效地进行处置。

第三十三条 各级信息化管理机构应建立网络安全监督检查工作机制，定期组织开展全面的水利网络安全检查，不定期组织网络安全专项检查。

第三十四条 各级信息化管理机构应加强网络安全威胁感知与预警能力建设，加强对水利重要门户网站及面向互联网服务的重要信息系统的在线安全监测，对发现的网络安全事件和威胁进行预警、通报。

第三十五条 部网信办作为水利部网络安全信息通报机制主管部门，应建立水利行业网络安全信息通报机制，组织落实水利部网络安全信息通报工作,各直属单位信息化管理机构应建立本单位及下属单位网络安全信息通报机制。

第七章 运维管理

第三十六条 水利信息化项目建设成果运维管理应遵循《水利信息系统运行维护规范》（-2015）等有关技术标准的规定。

第三十七条 水利信息化建设项目竣工（最终）验收后，项目建设单位应及时向技术支撑单位办理各项资产交付手续，并纳入日常运行管理。技术支撑单应按照国家有关规定，加强硬件、软件等资产管理，严格执行资产登记及报废手续。

第三十八条 部网信办负责制定运行维护技术规范，建立信息系统运行维护绩效指标体系，指导水利信息化项目建成后的运行管理。

第三十九条 各直属单位信息化管理机构应组织技术支撑单位根据《水利信息系统运行维护定额标准》测算运行维护经费，在定额范围内申请年度预算，根据需要设立运行维护岗位，落实专职运行维护人员。积极探索委托有相关资质的第三方专业机构承担运行维护任务的运维方式。

第四十条 各直属单位信息化管理机构应组织技术支撑单位加强数据备份管理安全运维管理，关于印发《水利部信息化建设与管理办法》的通知，制订备份策略，明确备份的内容、频率、方式等，及时查看备份作业完成情况，定期进行备份恢复演练，检验备份数据的有效性。

第四十一条 各单位要将水利部门政府网站作为信息公开的第一平台，制定网站运行管理制度，规范内容、技术、管理、运维等方面的工作流程与机制，加强政务信息公开、网上在线办事、公众互动交流的内容建设与管理，确保网站正常运行。

第四十二条 部网信办会同有关单位统一组织基础性及对水利系统有较大影响的应用软件的测试和推广工作。

第八章 监督检查

第四十三条 水利信息化建设与管理的监督检查工作应遵循国家法律、法规的有关规定。

第四十四条 部网信办和信息化管理机构应建立监督检查机制，对水利信息化建设与管理工作开展日常监督、定期和不定期检查。

第九章 附则

第四十五条 本办法自印发之日起施行。《水利部信息化建设管理暂行办法》（水办[2003]369号）同时废止。