《应急管理厅网络安全管理办法.docx》由会员分享,可在线阅读,更多相关《应急管理厅网络安全管理办法.docx(26页珍藏版)》请在优知文库上搜索。
1、应急管理厅网络安全管理办法第一章总则第一条为规范XX省应急管理厅(以下简称省应急厅)网络和信息系统安全工作,保障省应急厅网络和信息系统安全,依据中华人民共和国网络安全法、信息安全等级保护管理办法等有关法律法规及制度,制定本办法。第二条省应急厅机关及直属事业单位建设、运维、使用网络和信息系统以及开展网络安全监督管理工作,适用本办法。第三条网络安全工作遵循“谁主管、谁负责,谁建设、谁负责,谁运行、谁负责,谁使用、谁负责”的原则。做到统一领导、统一规划、统一策略、分级管理、保障应用。第四条本办法适用于非涉密网络与信息系统安全建设、运行与管理。本规定所称网络和信息系统,是指省应急厅及直属事业单位使用的
2、非涉密计算机网络以及运行的软硬件和存储数据等,不得存储、传输和处理涉及国家秘密和敏感事项的数据。涉及国家秘密的网络与信息系统安全建设、运行与管理严格按照国家保密有关规定执行。第二章机构职责第五条省应急厅网络安全与信息化领导小组(以下简称领导小组)是省应急厅网络安全领导机构,负责贯彻落实国家和省关于网络安全战略部署和有关重大事项决策。领导小组下设办公室(以下简称厅网信办),具体承担领导小组日常工作,负责网络和信息系统的综合管理,协调、监督、检查、考核本系统网络安全工作,组织开展网络和信息安全教育培训工作;负责落实网络安全相关法律法规和标准规范,建立健全安全保障体系,审核并监督信息化建设工作中网络
3、安全同步规范、同步建设、同步运行执行情况,组织指导网络和信息系统安全风险监控、安全违规案事件调查进行监督管理;负责厅机关网络和信息系统的监测监控、预警处置等安全运维工作。网信办设置在科技和信息化处。第六条省应急厅及直属事业单位应当建立网络安全责任制度。省应急厅及直属事业单位党委(党组、党总支)对本单位网络安全工作负总责,单位领导班子主要负责人是网络安全工作的第一责任人,主管网络安全的领导班子成员是直接责任人。省应急厅及直属事业单位领导班子主要负责人应加强网络安全工作的统筹管理,把网络安全工作纳入重要议事日程,定期开展网络安全会议,研究议定重大事项,组织落实机构、人员和经费等必要条件保障。第七条
4、省应急厅机关各处室及各直属事业单位应当指定一名网络信息安全员,承担本单位网络安全管理工作,指导、督促、检查及协调应急处置等工作。第八条省应急厅及直属事业单位负责本单位建设、使用的网络和信息系统日常安全管理工作,组织开展网络和信息系统定级备案、安全建设、等级测评、安全整改和自查整改等工作。第三章网络和信息系统安全保护第九条省应急厅机关各处室及各直属事业单位应当严格执行国家网络安全等级保护制度及相关标准规范,网络和信息系统安全防护、密码保护和保密措施、安全自主可靠可控与信息化建设同步规划、同步建设、同步运行,不断健全网络安全防护体系,保障网络基础设施安全、网络运行安全、数据安全和信息安全,避免发生
5、网络安全事件。第十条网络和信息系统项目单位为网络安全责任单位,应当明确网络安全责任人,组织开展网络定级备案、安全建设整改、等级测评和自查整改等工作。网络等级保护评测、备案等经费纳入项目建设中项目预算固定专项费用列支。网络和信息系统应当在规划阶段明确安全保护等级,对等级保护二级及以上网络和信息系统,应根据国家相关规定,经测评合格后才能上线运行。第十一条网络和信息系统建设应该按照统一的安全策略和标准规范,建设网络的物理和环境安全、边界和接入安全、网络和通信安全、计算和设备安全、应用和数据安全、监督管理等技术防护手段。第十二条信息系统应当具备统一用户管理、权限管理、日志审计等安全功能,不得留有后门程
6、序或者绕过安全机制。必要时,将软件源代码留存备案。第十三条网络和信息系统中的数据资源应当根据分级分类的管理要求授权使用,实施不同的安全保护策略和安全技术措施,采取措施着重加强重要数据和个人信息安全防护。应当建立数据备份机制,对重要数据和应用系统进行备份。第十四条网信办应当制定合理安全策略,加强监测监控,堵塞网络和信息系统安全漏洞,有效防范网络和信息系统安全风险。第十五条网络和信息系统使用的软硬件产品须符合安全、自主、可控、可靠原则,原则只采购、使用国产化产品。因特殊原因需使用非国产化产品时,需向网信办提出书面申请阐明使用原因,经研究批复后方可采购、使用非国产化产品。关系社会公共安全利益的信息系
7、统使用的重要网络产品和服务应当经过相关部门网络安全审查。第十二条网络和信息系统确定为关键信息基础设施的,应当严格落实中华人民共和国网络安全法及关键信息基础设施相关法律法规有关要求,保障关键信息基础设施安全。第四章网络和信息系统运维安全第十三条网络和信息系统建设完成后须经过等级保护测评并完XX全整改,确保安全后方可上线运行。第十四条上线运行的信息系统应当在首页底端标明网络安全责任单位、运维单位及,其中在互联网运行的网站类信息系统还应当在首页底端链接(标明)党政机关事业单位网站标识、ICP备案号、国际联网备案号。第十五条网络和信息系统中各类软硬件设备在上线运行时应当注册登记;维修时应当有本单位运维
8、人员在场,并确保数据安全;退网时应当申报注销,并进行安全处理。第十六条上线运行的软硬件设备应当定期进行系统加固、补丁升级、漏洞修复、病毒查杀等安全维护工作。第十七条网络和信息系统应当具备安全审计功能,记录访问行为和软硬件设备的运行状态,安全审计日志应当完整、真实、可溯源。第十八条在应急指挥信息网、电子政务外网和互联网上开展安全攻防测试必须报网信办批准,必要时需提前向应急管理部、省委网信办和省大数据局申报,并接受指导。第十九条省应急厅及直属事业单位网络安全运维机构应当制定合理安全策略,加强监测监控,采取可行措施,堵塞网络信息系统安全漏洞,有效防范网络安全风险。第二十一条省应急厅及直属事业单位应当
9、对网络和信息系统建设项目的承建单位、运维单位、外包服务承担单位及相关人员进行资格审查,签订安全责任书,开展安全教育,督促落实安全监管措施,对其操作行全程监督、严格审计。第二十二条网络和信息系统确定为关键信息基础设施的,应当严格落实网络安全法及关键信息基础设施相关法律法规有关要求,采取有效措施,保障安全。第二十三条未经网络和信息系统网络安全责任部门、运维部门同意,不得私自从数据库中拷贝数据。第二十四条拟报废的网络和信息系统,应当做好数据备份、数据删除等工作后方可报废数据存储设施。第五章网络和信息系统使用安全第二十五条省应急厅及直属事业单位开发的信息系统应实行以数字证书为主要载体的实名制身份认证和
10、授权访问,并实行网络行为监测和安全审计。用户不得使用他人数字证书。第二十六条省应急厅及直属事业单位的网络和信息系统应当保持相对独立,未经允许,不得将网络和信息系统延伸到其他单位。第二十七条用户不得擅自扫描、探测、入侵、攻防测试网络和信息系统,不得违规干扰、屏蔽、卸载、拆除安全监控程序或者监测设备,不得越权访问、查询、下载网络和信息系统数据资源,不得擅自篡改应急管理信息资源或者审计信息,不得泄露网络和信息系统中不宜对外公开的数据,不得对抗安全检查或者阻挠、妨碍安全事件调查。第二十八条传输、处理和存储个人信息的网络和信息系统,应当符合国家有关个人信息保护的法律法规要求。任何个人和组织不得窃取或者以
11、其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。第六章终端安全管理第二十九条省应急厅及直属事业单位应当建立计算机终端及外设台账,台账内容要包括:计算机类:使用人信息、计算机型号、硬盘序列号、网卡MAC地址、操作系统版本号;打印机(一体机、扫描仪等输入、输出设备)类:使用人(或责任人)信息、品牌型号;移动存储类:使用人信息、品牌型号、设备序列号。将计算机终端列为网络安全防控重点,进行全生命周期管理,如有变更要及时修改相关台账。第三十条计算机终端及所需办公软件应当按照财务有关制度要求,纳入资产管理范围,统一采购、统一编号、统一标识、统一发放、统一报废。计算机终端及外设应当按照国家
12、有关要求采购国产安全可靠的产品,安装使用正版操作系统、办公软件及安全防护软件。第三十一条计算机终端及外设应当遵循“谁使用、谁负责”的原则,明确安全责任人,接受统一管理。定期开展针对终端的弱口令检查、病毒查杀、漏洞补丁审计、移动存储介质接入管理、操作行为管理和安全审计等工作。严格办公区域无线网络管理,严格控制非授权终端的网络接入行为。第三十二条便携式计算机原则上不接入电子政务网和指挥信息网,确需接入的,须经网信办在技术上确保安全后方可接入。含有涉密信息的计算机终端和存储介质不得接入非涉密网络。第三十三条计算机终端及外设进行维修,应当采取数据备份、清除等措施,确保重要数据安全。重新联入办公网络,应
13、当进行安全性检查。移动存储介质应当定期清理,不得长期、大量存储信息。移动存储介质应当定期清理、整理,不得长期、大量存储信息。第三十四条计算机终端、移动存储介质报废应当统一处置,报废前做好数据备份、清除等工作,必要时应当拆除硬盘、存储卡等,同时从计算机终端卸载软件。第七章使用人员安全管理第三十五条省应急厅及直属事业单位应当加强网络和信息系统使用人员管理,严把入口关,严格权限分配,及时清理离岗离职人员访问账户及权限。第三十六条省应急厅及直属事业单位应当着力提高工作人员网络安全意识,持续开展网络安全宣传,注重宣传效果。第三十七条省应急厅及直属事业单位应当注重提高工作人员网络安全技能,开展网络安全教育
14、培训,对网络使用人员、安全管理人员、安全技术人员进行培训。网络安全管理培训应当包括网络安全政策、安全标准规范、网络安全检查、风险管理、应急处置、灾备管理等内容。网络安全技术培训应当包括网络、信息系统、关键基础设施、数据等方面的安全防护技术。第八章网络安全检查第三十五条省应急厅及直属事业单位应当制定年度网络安全检查计划,每年至少开展一次网络安全普查,并根据工作需要开展专项检查。第三十六条省应急厅及直属事业单位应当制定网络安全检查应当制定检查方案,明确检查工作机构、检查范围、检查内容、检查进度安排等。定期汇总检查结果、分析问题隐患,针对存在的问题应当确定整改方案与措施,并将整改结果报厅网信办。第九
15、章网络安全宣传教育培训第三十七条省应急厅及直属事业单位应当加强网络安全宣传,着力提高工作人员网络安全意识。在国家网络安全宣传周要组织开展相应宣传教育活动,活动方案及策划由网信办牵头、宣传教育处配合,财务处提供活动经费保障。第十章网络和信息系统安全事件应急处置第三十八条省应急厅及直属事业单位应当根据国家网络安全事件应急预案编制本单位网络安全事件应急预案,及时处置网络安全风险。每年要根据预案开展应急演练,根据演练结果修订应急预案。第三十九条省应急厅及直属事业单位应当加强网络安全监测与预警,开展网络和信息系统安全监测工作,严防网络安全事件发生。网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件
16、、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。第四十条突发网络安全事件时,省应急厅及直属事业单位应立即启动相应的应急预案,根据不同等级的网络安全事件应急预案,第一时间快速、有效的实施处置,最大程度减少损失和危害,并根据应急预案规定,同时做好信息报送工作。第十一章数据和个人信息安全第四十一条省应急厅及直属事业单位开发网络和信息系统,应当采取措施加强重要数据和个人信息安全保护,必要时采取加密处理。第四十二条存储个人信息的信息系统,应当符合国家有关个人信息保护的法律法规。任何个人和组织不得窃取或者以非法方式获取个人信息,不得非法出售或向他人非法提供个人信息。第十二章网络安全考核评价第四十三条省应急厅及直属事业单位应当建立网络安全责任制检查考核制度,并将网络安全等级保护工作纳入年度绩效考核评价。第四十四