DB43∕T 2740-2023 公共资源交易服务安全与应急管理规范

43SpecificationforsafetyandemergencymanagementofpublicresourcetransI II 1 1 2 2 2 6 8 11 13请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。1本文件规定了公共资源交易平台服务机构在服务过程中的安全与应急管理工作的总体要求、安全本文件适用于公共资源交易平台服务机构在服务过程中的安全与应急2规范性引用文件GB/T2893.1图形符号安全色和安全标志第1部分：安全标志和安全标记的设计原则GB/T2894安全标志及其使用GB/T10001.1公共信息图形符号第1部分：通用GB17859计算机信息系统安全保护等级划分准则GB/T20269信息安全技术信息GB/T20271信息安全技术信息系统GB/T20275信息安全技术网络入侵检测系统技术要求和测试评GB/T20281信息安全技术防火墙安全技术要求和测试GB/T21061国家电子政务网络技术和运行管理GB/T25068.1信息技术安全技术网络安全第1部分：综述和GB50016建筑设计防火规范GB50166火灾自动报警系统施工及验GB50222建筑内部装修设计防火规范GB50348安全防范工程技术标准GB50354建筑内部装修防火施工及验GA/T367视频安防监控系统技术要求GM/T0115信息系统密码应用测评GM/T0116信息系统密码应用DB43/T2427公共资源交易网上开标服23.14.1应设立应急管理领导小组（以下简称“领导小组”主要负责人为第一责任人，领导小组下设办公室，并设置工作组负责对应的安全与应4.2应建立交易场所安全、公共安全、信息系统安全、交易服务安全等应急管理制度。4.3应配备具有专业知识的工作人员负责安全管理。4.4应定期开展安全宣传教育或应急技能培训及与岗位相关的职业道德培训。4.5应对交易场所潜在风险进行辨识和评估，根据对潜在风险的评估结果制定应急处置预案。4.6应定期或不定期开展安全与应急演练，加强各部门、人员之间的沟通与协调，提高应急救援人员4.7安全与应急管理过程应形成记录并予以保存。5.1.1消防安全5.1.1.4应保持疏散通道、安全出口畅通。疏散通道、安全出口疏散门设置的电子门锁、门禁应可在5.1.2设备设施安全5.1.2.1应设置清晰、易于识别的导向标识、门牌标识、禁止标识、安全标识、疏散指示标识以及不5.1.2.2应将设备安全操作规程、登记标志、警示标志、安全注意事项、应急救援电话号码置于操作5.1.2.3应对在用设备如电梯等特种设备和发电机、门禁、音视频、网络监控等日常设备使用情况进5.1.2.4对设备设施的安装、改造、重大修理，应由具有相关许可资质的专业机构按照安全技术规范35.1.2.5应建立设备设施安全档案，并安排工作人员负责相关档案的保管。5.1.2.7定期检查水电气暖线路、管道，保证正常运5.1.2.8未取得相关产权单位或组织管理单位的同意，不应擅自改装、拆除、迁移井盖、阀门和仪表等水电气暖设施，应在取得允许的情况下进行检修改造，并做好安全5.1.3建筑工程安全5.1.3.2交易场所装饰装修改造不5.2信息化系统安全5.2.1内部网络信息系统安全5.2.1.2信息安全应符合GB/T22081、GB/5.2.1.3宜对使用商用密码进行保护的关键信息基础设施、信息系统，每年开展不少于一次的商用密5.2.1.5应制定分级、分类的不同系统权限管理和身份认证制度，包括不限于人员权限、操作规范和5.2.1.6应提供多层次安全控制手段，局域网与互联网的接口应建立安全隔离区，可采用息过滤、入侵检测、防病毒网关等安全措施，防止内部敏感信息的外泄5.2.1.9应对电子交易系统、电子服务系统、网络安全审计的监督行为以及各级系统管理员的操作行5.2.2外部系统接入安全5.2.2.2接入的第三方系统应遵循以下安全要求：——应根据各部门连接范围的不同和承载信息系统的安全等级的不同，划分不同的子网，并根据——应提供并启用用户鉴别信息复杂度检查功能，并采用国家规定的加密算法传输用户的账号信4注册时的标志信息进行密码重新设定或者凭有效证件进行设定。所有用户的登录密码要求长——应保持技术中立，为电子标书制作、造价、电子辅助评标等各类第三方工具软件开放数据标并按要求每年开展不少于一次测评，发现问题5.2.3.2对网络设备进行维护时，应安排技术人员现场全程监督，对设备进行验收、病毒检测和登记5.2.3.4对网络服务设备的防毁、防电磁辐射泄漏、抗电磁干扰及电源保护等采取技术保护措施，传5.2.4数据安全5.2.4.5数据出现问题时，应由技术部门提供现场技术支持，恢复后，进行验证、确认。5.2.4.7数据的转存和查询使用应在介质有效期内进行，通过有效的查询、使用方法保证数据的完整55.2.4.9按照“一项目一档”的要求，将交易服务过程中产生的电子文档、音视频等数据资料按规定5.3公共安全5.3.1重大疫情防控5.3.1.4应按防疫管理要求对进入交易场所的人员进行防疫检查，做好信息登记工作，必要时按防控5.3.1.5应对交易场所进行卫生清洁、消毒5.3.1.6交易场所现场工作人员及现场交易主体人员应执行疫情管理要5.3.2治安防控5.3.2.1应组织工作人员对各公共区域开展日常巡查、安防工5.3.2.25.3.2.3应保存公共区域视频监控数据，便于事后调查取5.3.2.4若发生案件，应注意保护现场，禁止无关人员破坏现场，配合公安部门开展调查、5.4交易现场安全5.4.1交易现场5.4.1.1公共资源交易场所应配置自动体外除颤器、急救包等医疗急救物资，并进行检查、维护、保5.4.1.2应按现场管理要求，引导交易主体及进入交易场所的人员遵守现场纪律，对进入交易现场封5.4.1.4专家中途需要退出评标或在评标过程中因突发身体原因无法继续评标的，应按本文件6.1.35.4.2业务中断65.4.2.1应引导交易主体按业务流程和交易系统提示进行操作。应通知相关部门进行处置，并及时向5.4.2.2因停电、设备运行、网络通信、电子交易系统故障或人员操作失误导致交易活动无法开展或6.1预防与处置6.1.1.1应对交易场所的公共环境、配套的设施设备、公共资源电子交易系统等日常运行情况进行监6.1.1.2应定期收集、更新国家及本地发布的安全及应急有关的法律法规、政策文件，评估现有安全时间、地点、规模、涉及人员、破坏程度、伤亡等事项，并根据事态的发6.1.3.1应依据风险评估结果制定风险防范措施和应急处置预案。应急处置预案中应明确应急响应责——交易服务安全事件应急处置流程按DB43/T2733.16.2事后管理76.2.1应成立事件调查组，协助相关部门对突发事件的起因、过程、性质、人员伤亡、财产损失等情6.2.3应根据事件处置情况做好后续发布工作，按照信息公开相关要求及时发布事件原因、责任及处6.2.4应对突发事件中应急处置过程情况6.3评价与改进6.3.1应定期组织开展安全与应急检查和评价，内容包括但不限于：8A.1电源断电事件处置流程A.2局域网中断事件处置流程A.3核心交换机故障事件处置流程A.4光缆线路故障事件处置流程A.5计算机病毒爆发事件处置流程9A.6服务器设备故障事件处置流程A.7网络攻击事件处置流程A.8机房设备设施异常事件处置流程A.9云数据库安全事件处置流程——发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息技术人员应查明原因，按照情A.10数据信息泄密突发事件处置流程——应在发现交易数据泄密的第一时间保护现场并向领导小组报告泄密事件发生的地点、时间和——在事件未调查清楚前，应同相关部门进行协作预防媒体或网络上对泄密信息的报道或炒作；A.11信息内容安全突发事件处置流程——应在发现信息内容安全事件的第一时间向领导小组报告事件发生的主要内容、数量及载体形