当前位置:
舟山市人民政府外事办公室> 法定主动公开内容> 规章行政规范性文件> 其他文件> 部门文件>
索引号 001008009005027/2020-135224
组配分类 部门文件 发布机构 市外办
生成日期 2020-07-28 公开方式 主动公开
舟外侨〔2017〕12号关于印发网络与信息安全管理工作制度的通知
发布日期: 2017- 07- 03 来源: 市外办 访问次数:     字号:[ ]

本办各处室(中心):

按照国家有关网络和信息安全的政策要求,现将本办网络与信息安全管理各项规章制度予以印发,请在实际工作中予以落实。

附件:1.存储介质管理制度

2.计算机设备及网络管理制度

3.网络信息安全人员管理制度

4.网络信息安全责任追究制度

5.信息安全检测、事件应急处置和报告制度

6.信息系统建设安全管理制度

7.信息系统运行维护管理制度

舟山市外侨办

2017年7月3日

附件 1

存储介质管理制度

第一条 为进一步加强单位移动存储介质的管理,确保信息信息的安全,根据《中华人民共和国保守国家秘密法》和《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理规定》,结合我办实际,制定出《舟山市外侨办移动存储介质管理规定》。

第二条 本规定所称移动存储介质,是指用于存储本单位保密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。

第三条 本单位移动存储设备要进行编号,不得借于他人使用,若需借于他人的,必须征得科室同意,并进行借还时间、借用人、审批人等详细登记。

第四条 新购计算机、移动存储等设备,要先进行保密标识和登记,再发放使用。

第五条 如使用移动设备转移存储保密数据,需在使用前格式化,并在使用后立即删除保密数据。

第六条 使用光盘备份的保密数据要登记编号,分类存放。

第七条 非本单位的移动存储设备一律不得和涉密计算机连接。

第八条 单位的涉密移动存储设备处理办法如下:

涉密和非涉密移动存储介质禁止交叉混用,即涉密移动存储介质不得在非涉密计算机中使用,非涉密移动存储介质不得在涉密计算机中使用。

存储过涉密信息的移动存储介质,不得与存储普通信息的移动存储介质混用;新启用存储涉密信息的移动存储介质或使用移动存储介质,必须进行安全检查和查杀病毒处理。

移动存储介质需要送外维修时,必须到指定的单位进行维修;涉密移动存储介质在淘汰和报废前,应到保密部门进行消磁和粉碎处理。严禁将涉密移动存储介质作为废品出售。


附件 2

计算机设备及网络管理制度

第一章 网络与信息安全管理

第一条禁止移动存储介质(包括移动硬盘、U盘等移动存储介质)未经处理在内、外网之间交叉使用;外网向内网复制数据必须通过刻录光盘单向导入或到信息中心专用机上进行数据交换。

第二条禁止在外网上处理和存放内部文件资料。

第三条内外网要实现物理隔离,禁止用插头转换方式切换内外网。严禁使用内网办公用的计算机(包括台式机和非移动办公用便携机)连接互联网。

第四条非工作用笔记本电脑不准接入内网。

第五条不准使用个人U盘交换工作文件。

第六条非机要岗位工作人员未经许可不准使用保密网络。

第七条所有工作用机必须设置开机口令,且口令长度不得少于8位。

第八条所有工作用机必须安装正版杀毒软件和桌面防护系统。

第二章 计算机类设备管理

第九条    计算机类设备使用部门在以下情况下可向办

公室(信息技术主管部门)申请调配设备:

(一)有新录用人员、上挂(或下派)锻炼结束回本部门工作(离开本部门前已上缴设备)的人员的;

(二)配备的计算机类设备已超过规定报废年限,不能满足工作需要的;

(三)配备的计算机类设备虽未达到使用年限,但因故障较多或技术落后、损坏、无零配件或维修费用过高,经技术鉴定确需报废更新的。

第十条    领用、更换设备,应填写计算机类设备更换(领用)申请审批表(附表一),由领用、更换部门负责人、主管局长和设备管理部门主管局长签字后,交设备管理部门负责人派单,由设备管理岗办理领用、更换设备事项。

第十一条    临时项目和临时工作需要借用计算机类设

备的,借用人需填写《计算机类设备借用申请表》(附表四),分别交所在部门和办公室(信息技术主管部门)领导审批,审批通过的到办公室(信息技术主管部门)设备日常管理岗办理借用事宜。台式机、打印机借期一般不超过三个月,便携机借期一般不超过一个月,到期后必须按时归还,若因特殊情况需要延长借用时间的,应办理续借手续。

第十二条    计算机类设备使用中,使用人应遵守以下规定:

  1. 计算机类设备使用管理责任到人,使用者为设备

    用管理责任人,所在单位共用设备责任人为单位负责人。使用者应爱护设备,妥善保管,避免因人为因素造成的设备损坏。

    (二)严格遵守操作规程。未经批准,不得随意更改设备的软硬件配置;不得更新操作系统和安装其他与工作无关的软件;不得卸载网络杀病毒软件及其它必须安装的病毒、安全防护系统;若有特殊情况确实需要更改硬件或安装软件,应征得信息中心许可。

    (三)设备使用人员调离单位的,必须主动将所使用设备交回办公室。

    第十三条    严格执行信息安全规定,设备报废、在用设备重新调配、设备捐赠等之前,应删除其上数据。未经设备管理部门批准,任何外来设备不得接入税务系统内部网络和互联网。

    第三章 计算机设备的日常维护与保养

    第十四条    计算机设备开机顺序:先开电源、打印机、扫描仪、显示器等外设,再开主机;关机顺序相反,不得强

    行开/关机。

    第十五条       计算机连接有打印机、刻录机、扫描仪、光驱等外部设备时,应首先在关机状态(关掉所有设备电源)下将计算机及外设连接好,禁止带电连接或去掉计算机外部设备。

    第十六条       计算机外部设备不使用时,应关掉外部设备的电源。禁止长期打开不使用的外部设备电源,显示器应设置节能模式,要求做到人走机关,下班时关机。

    第十七条       及时按正确方法清洁和保养设备,保证设备干净整洁,设备监管部门将不定期对设备卫生情况进行抽查。

    第十八条       打雷闪电时应暂时关闭电脑系统及周边设备,防止出现雷击现象。

    第十九条       不得私自拆卸、更换或计算机配件。不得随意增加、删改计算机主要设备的驱动程序。

    第二十条       电脑出现故障时要及时向设备管理部门报告,设备管理部门接到报告后尽快安排处理故障。  

    第二十一条    不得在电脑上安装各类游戏软件和与工作无关的各类软件。      


附件 3

网络信息安全人员管理制度

1.单位新录用人员应进行信息安全教育培训,学习信息安全保护相关法律法规及单位制定的信息安全等级保护规章制度。

2.机要岗位工作人员须与单位签署保密协议。

3.网络管理人员、网站管理人员应定期进行业务培训,增加安全意识,提高防范水平。

4.不得将内有涉密信息的便携式计算机、移动存贮介质等携至公共场所。

5.办公室内不得单独留置外来人员,未经主管领导允许,外来人员不得操作单位的计算机。

6.计算机送修时,使用者应遵照信息保密规定对涉密信息加以处理。

7.人员离岗后,要对其所用的计算机进行涉密检查,安全备份有关信息后,对计算机硬盘进行格式化处理。

8.对各部门信息安全等级保护状况进行定期考核。


附件 4

网络信息安全责任追究制度

  1. 网站信息作为网上信息的日常管理机构,对信息网

    站的建立和信息的发布具有管理权。局办公室办负责网站的规划、建设、应用开发、运行维护和用户管理。

    二、网络信息安全管理实施工作责任制和责任追究制。成立网络信息安全领导小组,办党组指定一名办领导为网站信息安全管理人,负责本单位网站信息安全管理工作。

    三、实行信息发布责任追究制度,所报送的一切信息必须是真实有效的,凡因虚假、等内容引起的一切后果均由报送者承担,如属个人因素影响信息发布工作的将追究责任。

    四、主管领导和负责人要认真履行职责,确保网站信息及时更新,做到安全、真实、可靠。

    五、结合保密要求,制定安全保密措施,坚持“谁主管、谁主办、谁负责”的原则,属于业务工作范围的信息在发布前必须由部门负责人审核,签署同意意见存档备案,然后由信息管理员在网站上发布。网站后台密码只有管理员知道,隔一段时间要更换密码。

    六、对盗用IP地址、转借账号、故意发布信息、传播计算机病毒等破坏性程序造成严重后果的网站负责人将给予警告、停止入网、注销账号等处理,情节严重的将依照相关法律、法规进行处理。

    七、违反以上规定,给个人、单位或者他人造成损失的,应当依法承担民事责任。

    八、本制度自发布之日起执行。


附件 5

信息安全检测、事件应急处置和报告制度

为预防和和及时处置信息安全突发事件,保证网络信息安全,特制定信息安全突发事件应急处置预案。

一、在办信息安全领导小组的统一部署下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息安全等级保护管理办法》等相关法律规定,坚持预防在前、综合防范的方针,预防和控制风险,在发生信息安全事件时能最大程度地减少损失,维护稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保护工作。

二、信息网络安全事件定义

1.网站受到黑客攻击,主页被恶意篡改,交互式栏目发表煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言、淫秽色情、暴力、凶杀、恐怖;发送危害国家安全、宣扬宗教极端势力的信息;破坏社会稳定的信息及有损政府、单位声誉和稳定的谣言。

2.内网的网络服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除、发生泄密事件。

3.在网站上发布的内容违反国家的法律法规、侵犯知识产权等,已经造成严重后果。

三、加大培训和宣传力度,加强和完善网络安全管理,设置专门管理部门,统一管理体制,落实负责人。各部门要建立健全内部信息安全保护制度,按照“谁主管、谁负责”、“谁使用、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,加强信息的审查和备案工作,确保网络和信息安全。

四、加强网站信息检查工作,若发现主页被恶意篡改,应立即停止主页服务并恢复正确内容,同时检查分析事故原因,采取针对措施。各级各类服务器提供信息服务,必须事先登记、审批,建立使用规范,落实责任人,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等),进行网络设备日志分析,及时收集信息,排查不安全因素。加强交互式栏目的专人各类,交互式栏目内容发布实行审核制度。建立有效的网络防病毒工作机制,及时做好防病毒软件的升级,保证病毒库及时更新。

五、日常信息安全检测实施值班责任制,由信息安全管理员随时检测网络信息,必要时在特殊时段施行24小时值班制度。网管人员应定期对网络设备进行状态检查,对用户上网进行监控,若发现有异常行为应立即关闭该用户的网络连接,及时记录在案,并对其警告和批评教育,严重违法行为立即上报有关部门。

六、加强对突发事件的快速反应。网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发信息安全事件启动应急预案:

⑴及时发现、及时报告。一经发现,立即向主管领导或部门报告。

⑵保护现场,立即与网络隔离,防止影响扩大。

⑶及时取证,分析、查找原因。

⑷消除有害信息,阻止进一步传播。处置过程中,任何部门和个人不得保留、贮存、散布、传播所发现的有害信息。

⑸及时向公安机关报案,协助调查取证。

⑹确认安全事件已得到妥善处置后,方能恢复系统运行。

七、及时整顿,加强防范。各部门要积极配合上级信息安全管理部门的例行检查,并接受其技术指导。针对网络存在的安全隐患和出现的问题,提出整改方案并具体落实到位,完善信息安全机制,防范信息安全事故再度发生。逐步建立信息安全管理长效工作机制,创造良好的信息安全环境,保证各部门信息安全。

八、在重要、敏感时期,加大信息安全教育宣传力度,加强工作人员的法律意识和安全意识教育,提高其安全意识和防范能力;及时收集信息,排查不安定因素;实行24小时值班制度,开通值班电话,保证与上级主管部门、电信部门和公安机关的联系,积极做好预防工作,发现问题及时处理,防患于未然。

九、做好机房的防火、防盗、防雷等工作。若发生事故,应立即组织人员自救,并报警。

十、信息安全事件报告与处置

事件发生并得到确认后,有关人员启动应急预案同时立即将情况报告给局信息安全领导小组,由领导小组统一部署处理措施,并及时向公安机关报案并向市等级保护办报告。

发生信息安全事件,必须严肃追究相关责任。根据实际情况提出口头警告、书面警告等,情节严重和后果影响较大者,提交上级行政部门和国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。


附件 6

信息系统建设安全管理制度

1.凡需要规划、设计、建设的信息系统涉及等级保护的,必须选择具有相应等级保护建设资质的单位来承建。

2.承接涉及等级保护信息系统的建设单位不得将工程以任何形式转包给无资质的单位。

3.涉及等级保护的信息系统的建设单位必须与承建单位签订安全保密合同,制定安全保密措施,保证信息系统安全保密,并对参与工程规划、设计、建设人员的有关资料进行审查备案。

4.建设单位在涉及等级保护的信息系统建设实施过程中,应配专人负责监督工程中相关保密措施的落实。

5.工程竣工验收交付时,应按照有关规定规范验收,尤其对有可能影响信息系统安全的部分,严格按照设计要求进行验收,必要时委托专业信息安全测评机构进行评测。

6.涉及等级保护信息系统建设外包,承包单位必须具有相应等级保护建设资质。


附件 7

信息系统运行维护管理制度

第一章 范围及职责

第一条 本制度适用于信息系统的运行维护管理,包括:业务系统运维管理、备份和恢复、口令和权限管理、恶意代码防范管理以及系统补丁管理。

第二条 委托单位信息中心负责信息系统运行维护管理制度的制定和修订;系统管理员负责信息系统的运行维护。

第二章 业务系统运维管理

第三条 对运行关键业务的系统进行监控。监控系统关键性能参数(如启动参数)、工作状态、占用资源和容量使用情况等内容。

第四条 不得随意重启业务系统服务器、相关网络设备和安全设备,尽量少安装业务无关的与其它软件。

第五条 定期对系统日志进行审计、备份。

第六条 对主机系统上开放的网络服务和端口进行检查,发现不需要开放的网络服务和端口时及时通知相关管理员进行关闭。

第七条 对系统运行情况进行记录,每月对记录结果进行分析、统计,并形成分析报告向上级汇报。

第八条 开办交互式栏目的信息系统必须配备关键字过滤措施,防止出现有害信息和非法言论。

第九条 不同的业务系统应采取不同的保护措施,达到等级保护二级以上标准时应向网监部门提交备案申请并取得备案编号。

第十条  已在网监部门备案的信息系统要根据等级保护国标和上级主管部门的工作要求开展测评和整改工作。

第十一条 所有在互联网发布的信息系统都必须在公安部门进行备案登记。已备案信息系统应注意前次备案的有效期限,应在备案失效前再次向公安部门报送材料进行备案,保证信息系统备案状态的持续性。

第三章 备份与恢复管理

第十二条 按照业务数据的重要性,采取不同介质进行备份,如:专业存储阵列、磁带、硬盘、光盘等;备份介质要标注内容、日期、操作员和状态。

第十三条 备份介质(磁带、硬盘和光盘)要按照时间顺序保存。

第十四条 备份介质必须异地存放,存放环境要满足介质存储的安全要求。

第十五条 当介质超出有效使用期时,即使还能使用也要强制报废。

第十六条 按照备份策略,对不同业务数据采用不同备份方式,灵活运用完全备份、增量备份和差异备份等方式进行备份,保证信息系统出现故障时,能够满足数据恢复的时间点和速度要求。

第十七条 每次备份必须进行备份记录,对备份介质类型、备份的频率、数据量、数据属性等有明确描述,并及时检查备份的状态和日志,确保备份是成功的。

第十八条 定期对介质做恢复测试,至少一年两次。

第四章  口令、权限管理

第十九条 口令安全是保护信息安全的重要措施之一。口令规范如下:

1、保守口令的秘密性,除非有正式批准授权,禁止把口令提供给其他人使用;

2、避免记录口令(例如在纸上记录),除非使用了安全的保管方式(如保险柜)并得到了批准;

3、提高安全意识,当信息系统或账户状态出现异常情况时(如怀疑被入侵),应考虑立即更改口令;

4、设置高质量的口令并定期进行修改,禁止循环使用旧口令;

5、用户在第一次登录的时候,须立即修改初始口令;

6、不能在任何登录程序中保存口令或启用自动登录,如在宏或功能键中存储口令;

7、网络设备或服务器、桌面系统的口令安全设置,必须遵守系统安全策略中的相关要求。

第五章  恶意代码防范管理

第二十条 所有计算机必须安装防病毒软件并实时运行。

第二十一条 及时更新防病毒软件和病毒特征库。严禁制造、引入或传播恶意软件(例如病毒、蠕虫、木马、邮件炸弹等)。

第二十二条 非本单位计算机严禁擅自接入规定业务以外的其他网络,如因工作需要接入的,须经信息中心批准和确认。

第二十三条 及时对计算机操作系统补丁进行更新。

第二十四条 新购置的、借入的或维修返还的计算机或存储介质,在使用前必须进行恶意代码检查,确保无恶意代码之后才能正式投入使用。

第二十五条 U盘、光盘以及其它移动存储介质在使用前必须进行恶意代码检测,严禁使用任何未经恶意代码检测过的存储介质。

第二十六条 计算机软件以及从其它渠道获得的电子文件,在安装使用前必须进行恶意代码检测,禁止安装或使用未经恶意代码检测的计算机软件和电子文件。

第二十七条 文件拷入计算机之前必须经过恶意代码扫描,文件拷贝的途径包括但不限于网络共享文件的拷贝、通过光盘、U盘等移动存储媒介的拷贝、从Internet下载文件、下载邮件等。

第二十八条 邮件的附件在打开之前必须进行病毒检测。收到来历不明的邮件时不要打开附件,应确认文件安全或直接删除。

第六章  系统补丁管理

第二十九条 定期对信息系统进行漏洞扫描,对发现的信息系统漏洞和风险进行及时的修补。

第三十条 每季度对信息系统设备(包括:主机、网络设备、数据库等)至少进行一次漏洞扫描,并对扫描报告进行分析和归类存档。

第三十一条 定期检查信息系统的各种补丁状态,并及时更新。

第三十二条 在安装信息系统各类补丁前须对补丁的兼容性和安全性进行评估和检测,确保新补丁不影响信息系统的正常运行。

第三十三条 当出现应对高危漏洞的信息系统补丁时,应在第一时间组织补丁的测试工作,并对漏洞进行修补。

每月根据收集情况安排补丁分发,如遇紧急更新,第一时间进行分发。

第七章 附则

第三十四条 本制度自发布之日起生效执行。