法律法規(guī)
江西省應(yīng)急管理廳網(wǎng)絡(luò)安全管理規(guī)定
發(fā)布時間:2019-11-07
第一章總則
為落實網(wǎng)絡(luò)安全工作責(zé)任制,規(guī)范應(yīng)急管理廳系統(tǒng)網(wǎng)絡(luò)安全工作,保障應(yīng)急管理廳系統(tǒng)網(wǎng)絡(luò)安全,依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《應(yīng)急管理部網(wǎng)絡(luò)安全管理規(guī)定》,制定本規(guī)定。
應(yīng)急管理廳機關(guān)各處室及所屬單位(以下統(tǒng)稱各單位)建設(shè)、運維、使用網(wǎng)絡(luò)和信息系統(tǒng)以及開展網(wǎng)絡(luò)安全監(jiān)督管理工作,適用本規(guī)定。
本規(guī)定所稱網(wǎng)絡(luò)和信息系統(tǒng),是指各單位使用的非涉密計算機網(wǎng)絡(luò)以及運行的軟硬件和存儲數(shù)據(jù)等。
網(wǎng)絡(luò)安全管理工作堅持建設(shè)、運維、使用分工負(fù)責(zé)的原則,做到統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、分級管理、保障應(yīng)用。
第二章網(wǎng)絡(luò)安全職責(zé)
省應(yīng)急管理科技信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)網(wǎng)絡(luò)和信息系統(tǒng)安全管理的重大事項決策和議事協(xié)調(diào)等工作。
廳辦公室負(fù)責(zé)協(xié)調(diào)并參與監(jiān)督、檢查應(yīng)急管理廳系統(tǒng)網(wǎng)絡(luò)安全工作;履行廳保密委員會辦公室職責(zé),指導(dǎo)所屬單位保密、政務(wù)信息工作,負(fù)責(zé)機關(guān)涉密網(wǎng)、公文傳輸管理。
科技和信息化處負(fù)責(zé)網(wǎng)絡(luò)和信息系統(tǒng)的綜合管理工作,落實網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,建立健全安全保障體系;審核網(wǎng)絡(luò)安全建設(shè)方案,組織開展安全違規(guī)事件調(diào)查工作。
新聞宣傳和教育培訓(xùn)處負(fù)責(zé)廳門戶網(wǎng)站和新媒體的管理工作及網(wǎng)絡(luò)信息安全。
救援中心負(fù)責(zé)廳機關(guān)網(wǎng)絡(luò)、信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的維護升級、監(jiān)測監(jiān)控、預(yù)警處置等安全運維工作;組織開展網(wǎng)絡(luò)和信息安全教育培訓(xùn),開展網(wǎng)絡(luò)和信息系統(tǒng)安全風(fēng)險評估和相關(guān)處置工作。
廳所屬單位是網(wǎng)絡(luò)安全工作的責(zé)任單位,應(yīng)當(dāng)建立網(wǎng)絡(luò)安全責(zé)任制,明確單位主要負(fù)責(zé)人是網(wǎng)絡(luò)安全工作第一責(zé)任人,各主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。各單位負(fù)責(zé)本單位網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)測監(jiān)控、預(yù)警處置等安全運維工作。
各單位應(yīng)當(dāng)指定網(wǎng)絡(luò)安全管理工作機構(gòu)和信息安全員,承擔(dān)網(wǎng)絡(luò)安全管理職責(zé),指導(dǎo)、協(xié)調(diào)、監(jiān)督、檢查本單位網(wǎng)絡(luò)安全管理工作。
各單位負(fù)責(zé)本單位網(wǎng)絡(luò)和信息系統(tǒng)日常安全管理工作,組織開展網(wǎng)絡(luò)和信息系統(tǒng)定級、備案、安全建設(shè)和整改、等級測評、安全檢查等工作。
第三章 網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)安全
各單位應(yīng)當(dāng)嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)安全等級保護制度及相關(guān)標(biāo)準(zhǔn)規(guī)范,網(wǎng)絡(luò)和信息系統(tǒng)安全防護、密碼保護和保密措施與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行,不斷健全網(wǎng)絡(luò)安全防護體系,保障網(wǎng)絡(luò)和信息系統(tǒng)安全,防止發(fā)生網(wǎng)絡(luò)安全事件。
網(wǎng)絡(luò)和信息系統(tǒng)項目單位為網(wǎng)絡(luò)安全責(zé)任單位,應(yīng)當(dāng)明確網(wǎng)絡(luò)安全責(zé)任人,組織開展網(wǎng)絡(luò)安全相關(guān)工作。
網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)應(yīng)當(dāng)按照統(tǒng)一的安全策略和標(biāo)準(zhǔn)規(guī)范,開展物理和環(huán)境、邊界和接入、網(wǎng)絡(luò)和通信、計算和設(shè)備、應(yīng)用和數(shù)據(jù)、監(jiān)督管理等安全建設(shè)。
信息系統(tǒng)應(yīng)當(dāng)具備統(tǒng)一用戶管理、權(quán)限管理、日志審計等安全功能,不得留有后門程序,不得脫離安全管控。軟件源代碼應(yīng)當(dāng)留存?zhèn)浒?/span>。
網(wǎng)絡(luò)和信息系統(tǒng)中的數(shù)據(jù)資源應(yīng)當(dāng)根據(jù)分級分類的管理要求授權(quán)使用,實施不同的安全保護策略和安全技術(shù)措施,著重加強重要數(shù)據(jù)和個人信息安全防護。應(yīng)當(dāng)建立數(shù)據(jù)備份機制,對重要數(shù)據(jù)和應(yīng)用系統(tǒng)進行備份。
第四章網(wǎng)絡(luò)和信息系統(tǒng)運維安全
網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)完成后應(yīng)當(dāng)經(jīng)過等級保護測評并完成安全整改,確保安全后方可上線運行。
上線運行的信息系統(tǒng)應(yīng)當(dāng)在首頁底端標(biāo)明網(wǎng)絡(luò)安全責(zé)任單位、運維單位及聯(lián)系方式,其中在互聯(lián)網(wǎng)運行的網(wǎng)站類信息系統(tǒng)還應(yīng)當(dāng)在首頁底端鏈接(標(biāo)明)黨政機關(guān)事業(yè)單位網(wǎng)站標(biāo)識、ICP備案號、國際聯(lián)網(wǎng)備案號。
網(wǎng)絡(luò)和信息系統(tǒng)中各類軟硬件設(shè)備在上線運行時應(yīng)當(dāng)注冊登記;維修時應(yīng)當(dāng)有本單位運維人員在場,并確保數(shù)據(jù)安全;退網(wǎng)時應(yīng)當(dāng)申報注銷,并進行安全處理。
上線運行的軟硬件設(shè)備應(yīng)當(dāng)定期進行系統(tǒng)加固、補丁升級、漏洞修復(fù)、病毒查殺等安全維護工作。
網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)當(dāng)具備安全審計功能,記錄訪問行為和軟硬件設(shè)備的運行狀態(tài),安全審計日志應(yīng)當(dāng)完整、真實、可溯源。
在應(yīng)急指揮信息網(wǎng)、電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)上開展安全攻防測試必須報廳辦公室批準(zhǔn),并接受廳科技和信息化處指導(dǎo)。
各單位網(wǎng)絡(luò)安全運維機構(gòu)應(yīng)當(dāng)加強網(wǎng)絡(luò)安全監(jiān)測與預(yù)警,采取有效措施,堵塞安全漏洞,嚴(yán)防網(wǎng)絡(luò)安全事件發(fā)生。
各單位應(yīng)當(dāng)對網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)項目的承建單位、運維單位、外包服務(wù)單位及相關(guān)人員進行資格審查,簽訂安全責(zé)任書、保密協(xié)議,開展安全教育,督促落實安全管理措施,對其工作進行全程監(jiān)督。
網(wǎng)絡(luò)和信息系統(tǒng)所需軟硬件產(chǎn)品應(yīng)當(dāng)符合國家關(guān)于安全可靠的要求,關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。
網(wǎng)絡(luò)和信息系統(tǒng)確定為關(guān)鍵信息基礎(chǔ)設(shè)施的,應(yīng)當(dāng)嚴(yán)格落實《網(wǎng)絡(luò)安全法》及關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法律法規(guī)有關(guān)要求,采取有效措施,確保安全。
未經(jīng)網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全責(zé)任部門、運維部門同意,不得私自從數(shù)據(jù)庫中拷貝數(shù)據(jù)。
擬報廢的網(wǎng)絡(luò)和信息系統(tǒng),應(yīng)當(dāng)采取措施做好數(shù)據(jù)備份、數(shù)據(jù)刪除等工作,防止數(shù)據(jù)泄露。
第五章網(wǎng)絡(luò)和信息系統(tǒng)使用安全
信息系統(tǒng)應(yīng)當(dāng)實行以數(shù)字證書為主要載體的實名制身份認(rèn)證和授權(quán)訪問,并實行網(wǎng)絡(luò)行為監(jiān)測和安全審計。用戶不得使用他人數(shù)字證書。
網(wǎng)絡(luò)和信息系統(tǒng)之間應(yīng)當(dāng)保持相對獨立。
用戶不得擅自掃描、探測、入侵、攻防測試網(wǎng)絡(luò)和信息系統(tǒng),不得違規(guī)干擾、屏蔽、卸載、拆除安全監(jiān)控程序或者監(jiān)測設(shè)備,不得越權(quán)訪問、查詢、下載網(wǎng)絡(luò)和信息系統(tǒng)數(shù)據(jù)資源,不得擅自篡改應(yīng)急管理信息資源或者審計信息,不得泄露網(wǎng)絡(luò)和信息系統(tǒng)中不宜對外公開的數(shù)據(jù),不得對抗安全檢查或者阻撓、妨礙安全事件調(diào)查。
傳輸、處理和存儲個人信息的網(wǎng)絡(luò)和信息系統(tǒng),應(yīng)當(dāng)符合國家有關(guān)個人信息保護的法律法規(guī)要求。任何組織和個人不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第六章終端設(shè)備安全管理
各單位應(yīng)當(dāng)建立計算機終端臺賬,對計算機終端進行全周期管理。
計算機終端、外設(shè)及辦公軟件應(yīng)當(dāng)按照財務(wù)有關(guān)制度要求,納入資產(chǎn)管理范圍,統(tǒng)一采購、統(tǒng)一編號、統(tǒng)一標(biāo)識、統(tǒng)一發(fā)放、統(tǒng)一報廢。
計算機終端及外設(shè)應(yīng)當(dāng)按照國家有關(guān)要求采購安全可靠產(chǎn)品,安裝使用正版操作系統(tǒng)、辦公軟件及防病毒軟件。
計算機終端及外設(shè)應(yīng)當(dāng)遵循“誰使用,誰負(fù)責(zé)”的原則,明確安全責(zé)任人,落實安全責(zé)任。
涉密計算機終端和存儲介質(zhì)嚴(yán)禁接入非涉密網(wǎng)絡(luò)。
計算機終端應(yīng)當(dāng)交運維部門統(tǒng)一維修,不得私自帶離辦公區(qū)域。需送外維修時,應(yīng)當(dāng)采取數(shù)據(jù)備份、數(shù)據(jù)清除等措施,確保重要數(shù)據(jù)安全。重新聯(lián)入辦公網(wǎng)絡(luò)前,應(yīng)當(dāng)進行安全性檢查。
移動存儲介質(zhì)應(yīng)當(dāng)定期清理、整理,不得長期、大量存儲信息。
計算機終端、移動存儲介質(zhì)報廢應(yīng)當(dāng)交運維部門統(tǒng)一處置,報廢前應(yīng)當(dāng)做好數(shù)據(jù)備份和清除,必要時應(yīng)當(dāng)拆除硬盤、存儲卡等數(shù)據(jù)存儲介質(zhì)并交保密部門銷毀,同時從計算機終端卸載軟件。
第七章使用人員安全管理
各單位應(yīng)當(dāng)加強網(wǎng)絡(luò)和信息系統(tǒng)使用人員管理,嚴(yán)把入口關(guān),嚴(yán)格權(quán)限分配,及時清理離崗離職人員訪問賬戶及權(quán)限。
各單位應(yīng)當(dāng)著力提高工作人員網(wǎng)絡(luò)安全意識,持續(xù)開展網(wǎng)絡(luò)安全宣傳教育,注重宣傳教育效果。在國家網(wǎng)絡(luò)安全宣傳周活動期間,應(yīng)當(dāng)舉行或參加網(wǎng)絡(luò)安全宣傳活動。
各單位應(yīng)當(dāng)注重提高工作人員網(wǎng)絡(luò)安全技能,開展網(wǎng)絡(luò)安全教育培訓(xùn),對網(wǎng)絡(luò)使用人員、安全管理人員、安全技術(shù)人員進行培訓(xùn)。
網(wǎng)絡(luò)安全管理培訓(xùn)應(yīng)當(dāng)包含網(wǎng)絡(luò)安全政策、安全標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)安全檢查、風(fēng)險管理、應(yīng)急處置、災(zāi)備管理等內(nèi)容。網(wǎng)絡(luò)安全技術(shù)培訓(xùn)應(yīng)當(dāng)包括網(wǎng)絡(luò)、信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)等安全防護內(nèi)容。
第八章網(wǎng)絡(luò)安全檢查
各單位應(yīng)當(dāng)制定年度網(wǎng)絡(luò)安全檢查計劃,每年至少開展一次網(wǎng)絡(luò)安全普查,專項檢查可根據(jù)實際隨時開展,檢查報告應(yīng)當(dāng)報送科信處。
開展網(wǎng)絡(luò)安全檢查應(yīng)當(dāng)制定檢查方案,明確檢查工作機構(gòu)、檢查范圍、檢查內(nèi)容、檢查進度安排等。定期匯總檢查結(jié)果、分析風(fēng)險隱患,針對存在的問題應(yīng)當(dāng)制定整改方案,及時整改報送本單位網(wǎng)絡(luò)安全管理部門。
第九章網(wǎng)絡(luò)安全事件應(yīng)急處置
廳所屬各單位應(yīng)當(dāng)依據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》編制本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并及時修訂,每年組織開展應(yīng)急演練,及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、數(shù)據(jù)泄露等安全風(fēng)險。
發(fā)生網(wǎng)絡(luò)安全事件后,各單位應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案,采取有效處置措施,并在24小時內(nèi)將有關(guān)情況報送廳辦公室。廳辦公室應(yīng)當(dāng)將網(wǎng)絡(luò)安全事件相關(guān)情況及時報送省網(wǎng)絡(luò)安全主管部門。
第十章保障和處罰措施
各單位應(yīng)當(dāng)建立網(wǎng)絡(luò)安全責(zé)任制考評制度,將網(wǎng)絡(luò)安全管理納入年度工作績效考核評價。
各單位應(yīng)當(dāng)將網(wǎng)絡(luò)和信息系統(tǒng)安全防護設(shè)施的建設(shè)、運維及安全檢查、測評、整改等費用列入年度經(jīng)費預(yù)算。
各單位應(yīng)當(dāng)將網(wǎng)絡(luò)和信息系統(tǒng)安全管理宣傳、教育和培訓(xùn),列入人員晉升和專業(yè)訓(xùn)練規(guī)劃。
對擾亂網(wǎng)絡(luò)和信息系統(tǒng)正常運行秩序或者妨礙安全管理的相關(guān)責(zé)任人員按照國家和應(yīng)急管理廳有關(guān)規(guī)定予以處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十一章附 則
本規(guī)定由科信處負(fù)責(zé)解釋,自印發(fā)之日起施行。