各科室、中心、队:
《威海市统计局信息网络安全管理制度》已经第十五次局长办公会议研究通过,现印发给你们,请遵照执行。
附件:《威海市统计局信息网络安全管理制度》
威海市统计局
2020年7月30日
威海市统计局信息网络安全管理制度
为进一步规范单位网络安全工作,坚决防范网络安全重大风险,营造良好网络生态,切实加强单位网络的安全防护水平,结合内部管理的需要,特制定本制度。
一、范围
信息网络安全包括网络线路、网络设备、安全设备等软硬件系统安全,网站等各类信息应用系统安全,终端设备及用户安全。
二、职责
局信息网络安全领导小组领导全局信息网络安全工作。负责健全安全管理体制,开展等级保护和风险评估,完善安全保障体系,强化安全应急处理能力,提高安全管理水平。
领导小组下设办公室,设在信息技术管理中心(以下简称信管中心)负责信息网络安全日常工作。
三、网络连接与运维安全
(一)全局连接网络目前包括统计专网、政务外网行政区域和政务外网公共区域,任何人员未经批准不得私自建立与其他外部网络的连接,包括不得私自建立与互联网的连接,不得私自建立与第三方网络的连接,不得私自搭建无线网络等。
(二)统计专网的IP地址由信管中心负责管理,统一分配设置,不得私自更改。
(三)政务外网行政区域和政务外网公共区域认证账号由市大数据中心统一设置,信管中心负责申请、分配,不得私自更改。
(四) 局技术人员、软硬件供应商、第三方技术提供商准许从事技术维护服务时,必须进行维修登记备案,实施严格的访问控制机制,并按最小权限原则进行使用授权。
四、信息应用系统安全
(一)信息应用系统安全的目标是保证全局各业务应用系统开发过程以及最终产品的安全性,安全建设必须与应用系统建设同步进行。
(二)信息应用系统在设计实现阶段,应全面评估系统的安全风险,分析潜在安全威胁,根据信息资源的等级保护和内控安全策略,确立系统的访问控制、身份认证、信息加密、审计跟踪等安全需求,确立信息应用系统的安全策略。
(三)信息应用系统建设完成后,需经过一定时间的试运行。信管中心负责执行试运行期间的网络安全维护和管理工作,并根据试运行阶段发现的问题及时调整网络系统的部署和配置。
(四)信息应用系统试运行期间,信管中心负责联系网安部门进行等级保护备案,确定系统等保级别,委托专业机构对该系统进行风险评估和等级保护测评。
(五)等保测评和风险评估不合格的信息应用系统应按要求进行整改,整改完成后重新组织等保测评和风险评估。等保测评和风险评估合格的信息应用系统,允许正式上线使用。
五、用户安全
(一)保护单位信息网络安全是大家共同的责任。工作人员需对自己使用的办公操作系统、网站后台管理系统、联网直报系统、邮件系统以及其他业务应用系统的账号、口令妥善保管,对所进行的一切网络活动和行为负责。
(二)用户使用的系统账号口令的设置应满足长度和复杂度要求,即必须是大、小写字母、数字和特殊字符的组合,且不少于8位。
(三)工作人员办公电脑应设置带密码的屏幕保护措施,并设置屏保启用时间在10分钟以内,确保因事离开办公电脑的工作数据安全。
(四)所有接入统计专网计算机必须安装统一指定的终端安全管理软件和防病毒软件。任何人不得以任何理由关闭或删除系统内的病毒软件,以免计算机系统感染病毒,影响网络安全和日常工作。
(五)工作人员严禁在办公计算机安装与工作无关软件或未经授权盗版软件,避免带来安全隐患。
(六)工作人员在互联网下履行公务需收发公务邮件的,必须使用全省统一的公务安全邮箱,严禁使用私人申请的其他电子邮箱。通过门户网站、事项公开、办事指南等媒体、材料上对外宣传和联络的电子邮箱联系方式也必须使用全省统一的公务安全邮箱。
(七)各类工作终端、服务器及网络设备的内部地址、配置以及相关的系统设置信息属于“重要信息”,未经授权,不得对外透露,不得擅自更改。
(八)工作人员必须遵守国家有关法律法规,不得利用网络从事违反中华人民共和国法律法规的活动,不得发表违法言论,不得泄露国家机密,不得从事任何破坏国家安全的活动。
(九)工作人员要自觉维护全局信息网络安全,不得从事破坏网络安全的活动。不得企图获取别人的口令或其它认证方式,不得攻击内部网络或企图侵入无权限的系统。一经发现,严肃查处,并追究当事人责任。
(十)工作人员离职或退休前,应交还手中持有的与信息应用系统相关的文档、物品,应交接其负责的工作。同时,办公室应及时通知信管中心,注销为其分配的合法账户。
(十一)每年由信管中心牵头组织对全局工作人员开展至少一次信息网络安全知识培训,纳入全局年度培训计划。
六、信息网络安全检查评估
(一)由信管中心落实季度定期检查和平时日常抽查机制,重点对单位网站、信息应用系统、办公计算机等进行网络安全检查,及时发现并解决安全隐患。
(二)出现重大网络安全事件时,根据《网络安全重大事件判定指南》进行评估,采取有效措施进行现场妥善处置,必要时应立即通知网信、网安等部门现场处置。
七、责任追究
(一)违反本管理制度,由局信息网络安全领导小组视情节严重程度给予相应的批评教育、通报或行政处分。
(二)违反本管理制度,触犯国家有关法律法规的,依照有关法律法规的规定予以处罚。
(三)违反本管理制度,构成犯罪的,将依法追究刑事责任。