應(yīng)急管理廳網(wǎng)絡(luò)安全管理辦法

應(yīng)急管理廳網(wǎng)絡(luò)安全管理辦法

第一章

總則第一條

為規(guī)范XX省應(yīng)急管理廳（以下簡稱省應(yīng)急廳）網(wǎng)絡(luò)和信息系統(tǒng)安全工作，保障省應(yīng)急廳網(wǎng)絡(luò)和信息系統(tǒng)安全，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級保護管理辦法》等有關(guān)法律法規(guī)及制度，制定本辦法。第二條

省應(yīng)急廳機關(guān)及直屬事業(yè)單位建設(shè)、運維、使用網(wǎng)絡(luò)和信息系統(tǒng)以及開展網(wǎng)絡(luò)安全監(jiān)督管理工作，適用本辦法。第三條

網(wǎng)絡(luò)安全工作遵循“誰主管、誰負責，誰建設(shè)、誰負責，誰運行、誰負責，誰使用、誰負責”的原則。做到統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一策略、分級管理、保障應(yīng)用。第四條

本辦法適用于非涉密網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)、運行與管理。本規(guī)定所稱網(wǎng)絡(luò)和信息系統(tǒng)，是指省應(yīng)急廳及直屬事業(yè)單位使用的非涉密計算機網(wǎng)絡(luò)以及運行的軟硬件和存儲數(shù)據(jù)等，不得存儲、傳輸和處理涉及國家秘密和敏感事項的數(shù)據(jù)。涉及國家秘密的網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)、運行與管理嚴格按照國家保密有關(guān)規(guī)定執(zhí)行。

第二章

機構(gòu)職責第五條

省應(yīng)急廳網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組）是省應(yīng)急廳網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機構(gòu)，負責貫徹落實國家和省關(guān)于網(wǎng)絡(luò)安全戰(zhàn)略部署和有關(guān)重大事項決策。領(lǐng)導(dǎo)小組下設(shè)辦公室（以下簡稱廳網(wǎng)信辦），具體承擔領(lǐng)導(dǎo)小組日常工作，負責網(wǎng)絡(luò)和信息系統(tǒng)的綜合管理，協(xié)調(diào)、監(jiān)督、檢查、考核本系統(tǒng)網(wǎng)絡(luò)安全工作，組織開展網(wǎng)絡(luò)和信息安全教育培訓工作；負責落實網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和標準規(guī)范，建立健全安全保障體系，審核并監(jiān)督信息化建設(shè)工作中網(wǎng)絡(luò)安全同步規(guī)范、同步建設(shè)、同步運行執(zhí)行情況，組織指導(dǎo)網(wǎng)絡(luò)和信息系統(tǒng)安全風險監(jiān)控、安全違規(guī)案事件調(diào)查進行監(jiān)督管理；負責廳機關(guān)網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)測監(jiān)控、預(yù)警處置等安全運維工作。網(wǎng)信辦設(shè)置在科技和信息化處。第六條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當建立網(wǎng)絡(luò)安全責任制度。省應(yīng)急廳及直屬事業(yè)單位黨委（黨組、黨總支）對本單位網(wǎng)絡(luò)安全工作負總責，單位領(lǐng)導(dǎo)班子主要負責人是網(wǎng)絡(luò)安全工作的第一責任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責任人。省應(yīng)急廳及直屬事業(yè)單位領(lǐng)導(dǎo)班子主要負責人應(yīng)加強網(wǎng)絡(luò)安全工作的統(tǒng)籌管理，把網(wǎng)絡(luò)安全工作納入重要議事日程，定期開展網(wǎng)絡(luò)安全會議，研究議定重大事項，組織落實機構(gòu)、人員和經(jīng)費等必要條件保障。第七條

省應(yīng)急廳機關(guān)各處室及各直屬事業(yè)單位應(yīng)當指定一名網(wǎng)絡(luò)信息安全員，承擔本單位網(wǎng)絡(luò)安全管理工作，指導(dǎo)、督促、檢查及協(xié)調(diào)應(yīng)急處置等工作。第八條

省應(yīng)急廳及直屬事業(yè)單位負責本單位建設(shè)、使用的網(wǎng)絡(luò)和信息系統(tǒng)日常安全管理工作，組織開展網(wǎng)絡(luò)和信息系統(tǒng)定級備案、安全建設(shè)、等級測評、安全整改和自查整改等工作。第三章

網(wǎng)絡(luò)和信息系統(tǒng)安全保護第九條

省應(yīng)急廳機關(guān)各處室及各直屬事業(yè)單位應(yīng)當嚴格執(zhí)行國家網(wǎng)絡(luò)安全等級保護制度及相關(guān)標準規(guī)范，網(wǎng)絡(luò)和信息系統(tǒng)安全防護、密碼保護和保密措施、安全自主可靠可控與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行，不斷健全網(wǎng)絡(luò)安全防護體系，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全、數(shù)據(jù)安全和信息安全，避免發(fā)生網(wǎng)絡(luò)安全事件。第十條

網(wǎng)絡(luò)和信息系統(tǒng)項目單位為網(wǎng)絡(luò)安全責任單位，應(yīng)當明確網(wǎng)絡(luò)安全責任人，組織開展網(wǎng)絡(luò)定級備案、安全建設(shè)整改、等級測評和自查整改等工作。網(wǎng)絡(luò)等級保護評測、備案等經(jīng)費納入項目建設(shè)中項目預(yù)算固定專項費用列支。網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)當在規(guī)劃階段明確安全保護等級，對等級保護二級及以上網(wǎng)絡(luò)和信息系統(tǒng)，應(yīng)根據(jù)國家相關(guān)規(guī)定，經(jīng)測評合格后才能上線運行。第十一條

網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)應(yīng)該按照統(tǒng)一的安全策略和標準規(guī)范，建設(shè)網(wǎng)絡(luò)的物理和環(huán)境安全、邊界和接入安全、網(wǎng)絡(luò)和通信安全、計算和設(shè)備安全、應(yīng)用和數(shù)據(jù)安全、監(jiān)督管理等技術(shù)防護手段。第十二條

信息系統(tǒng)應(yīng)當具備統(tǒng)一用戶管理、權(quán)限管理、日志審計等安全功能，不得留有后門程序或者繞過安全機制。必要時，將軟件源代碼留存?zhèn)浒?。第十三條

網(wǎng)絡(luò)和信息系統(tǒng)中的數(shù)據(jù)資源應(yīng)當根據(jù)分級分類的管理要求授權(quán)使用，實施不同的安全保護策略和安全技術(shù)措施，采取措施著重加強重要數(shù)據(jù)和個人信息安全防護。應(yīng)當建立數(shù)據(jù)備份機制，對重要數(shù)據(jù)和應(yīng)用系統(tǒng)進行備份。第十四條

網(wǎng)信辦應(yīng)當制定合理安全策略，加強監(jiān)測監(jiān)控，堵塞網(wǎng)絡(luò)和信息系統(tǒng)安全漏洞，有效防范網(wǎng)絡(luò)和信息系統(tǒng)安全風險。第十五條

網(wǎng)絡(luò)和信息系統(tǒng)使用的軟硬件產(chǎn)品須符合安全、自主、可控、可靠原則，原則只采購、使用國產(chǎn)化產(chǎn)品。因特殊原因需使用非國產(chǎn)化產(chǎn)品時，需向網(wǎng)信辦提出書面申請闡明使用原因，經(jīng)研究批復(fù)后方可采購、使用非國產(chǎn)化產(chǎn)品。關(guān)系社會公共安全利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當經(jīng)過相關(guān)部門網(wǎng)絡(luò)安全審查。第十二條

網(wǎng)絡(luò)和信息系統(tǒng)確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)當嚴格落實《中華人民共和國網(wǎng)絡(luò)安全法》及關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法律法規(guī)有關(guān)要求，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全。第四章網(wǎng)絡(luò)和信息系統(tǒng)運維安全第十三條

網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)完成后須經(jīng)過等級保護測評并完XX全整改，確保安全后方可上線運行。第十四條

上線運行的信息系統(tǒng)應(yīng)當在首頁底端標明網(wǎng)絡(luò)安全責任單位、運維單位及，其中在互聯(lián)網(wǎng)運行的網(wǎng)站類信息系統(tǒng)還應(yīng)當在首頁底端鏈接（標明）黨政機關(guān)事業(yè)單位網(wǎng)站標識、ICP備案號、國際聯(lián)網(wǎng)備案號。第十五條

網(wǎng)絡(luò)和信息系統(tǒng)中各類軟硬件設(shè)備在上線運行時應(yīng)當注冊登記；維修時應(yīng)當有本單位運維人員在場，并確保數(shù)據(jù)安全；退網(wǎng)時應(yīng)當申報注銷，并進行安全處理。第十六條

上線運行的軟硬件設(shè)備應(yīng)當定期進行系統(tǒng)加固、補丁升級、漏洞修復(fù)、病毒查殺等安全維護工作。第十七條

網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)當具備安全審計功能，記錄訪問行為和軟硬件設(shè)備的運行狀態(tài)，安全審計日志應(yīng)當完整、真實、可溯源。第十八條

在應(yīng)急指揮信息網(wǎng)、電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)上開展安全攻防測試必須報網(wǎng)信辦批準，必要時需提前向應(yīng)急管理部、省委網(wǎng)信辦和省大數(shù)據(jù)局申報，并接受指導(dǎo)。第十九條

省應(yīng)急廳及直屬事業(yè)單位網(wǎng)絡(luò)安全運維機構(gòu)應(yīng)當制定合理安全策略，加強監(jiān)測監(jiān)控，采取可行措施，堵塞網(wǎng)絡(luò)信息系統(tǒng)安全漏洞，有效防范網(wǎng)絡(luò)安全風險。第二十一條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當對網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)項目的承建單位、運維單位、外包服務(wù)承擔單位及相關(guān)人員進行資格審查，簽訂安全責任書，開展安全教育，督促落實安全監(jiān)管措施，對其操作行全程監(jiān)督、嚴格審計。第二十二條

網(wǎng)絡(luò)和信息系統(tǒng)確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)當嚴格落實《網(wǎng)絡(luò)安全法》及關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法律法規(guī)有關(guān)要求，采取有效措施，保障安全。第二十三條

未經(jīng)網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全責任部門、運維部門同意，不得私自從數(shù)據(jù)庫中拷貝數(shù)據(jù)。第二十四條

擬報廢的網(wǎng)絡(luò)和信息系統(tǒng)，應(yīng)當做好數(shù)據(jù)備份、數(shù)據(jù)刪除等工作后方可報廢數(shù)據(jù)存儲設(shè)施。

第五章網(wǎng)絡(luò)和信息系統(tǒng)使用安全第二十五條

省應(yīng)急廳及直屬事業(yè)單位開發(fā)的信息系統(tǒng)應(yīng)實行以數(shù)字證書為主要載體的實名制身份認證和授權(quán)訪問，并實行網(wǎng)絡(luò)行為監(jiān)測和安全審計。用戶不得使用他人數(shù)字證書。第二十六條

省應(yīng)急廳及直屬事業(yè)單位的網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)當保持相對獨立，未經(jīng)允許，不得將網(wǎng)絡(luò)和信息系統(tǒng)延伸到其他單位。第二十七條

用戶不得擅自掃描、探測、入侵、攻防測試網(wǎng)絡(luò)和信息系統(tǒng)，不得違規(guī)干擾、屏蔽、卸載、拆除安全監(jiān)控程序或者監(jiān)測設(shè)備，不得越權(quán)訪問、查詢、下載網(wǎng)絡(luò)和信息系統(tǒng)數(shù)據(jù)資源，不得擅自篡改應(yīng)急管理信息資源或者審計信息，不得泄露網(wǎng)絡(luò)和信息系統(tǒng)中不宜對外公開的數(shù)據(jù)，不得對抗安全檢查或者阻撓、妨礙安全事件調(diào)查。第二十八條

傳輸、處理和存儲個人信息的網(wǎng)絡(luò)和信息系統(tǒng)，應(yīng)當符合國家有關(guān)個人信息保護的法律法規(guī)要求。任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。第六章

終端安全管理第二十九條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當建立計算機終端及外設(shè)臺賬，臺賬內(nèi)容要包括：計算機類：使用人信息、計算機型號、硬盤序列號、網(wǎng)卡MAC地址、操作系統(tǒng)版本號；打印機（一體機、掃描儀等輸入、輸出設(shè)備）類：使用人（或責任人）信息、品牌型號；移動存儲類：使用人信息、品牌型號、設(shè)備序列號。將計算機終端列為網(wǎng)絡(luò)安全防控重點，進行全生命周期管理，如有變更要及時修改相關(guān)臺賬。第三十條

計算機終端及所需辦公軟件應(yīng)當按照財務(wù)有關(guān)制度要求，納入資產(chǎn)管理范圍，統(tǒng)一采購、統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放、統(tǒng)一報廢。計算機終端及外設(shè)應(yīng)當按照國家有關(guān)要求采購國產(chǎn)安全可靠的產(chǎn)品，安裝使用正版操作系統(tǒng)、辦公軟件及安全防護軟件。第三十一條

計算機終端及外設(shè)應(yīng)當遵循“誰使用、誰負責”的原則，明確安全責任人，接受統(tǒng)一管理。定期開展針對終端的弱口令檢查、病毒查殺、漏洞補丁審計、移動存儲介質(zhì)接入管理、操作行為管理和安全審計等工作。嚴格辦公區(qū)域無線網(wǎng)絡(luò)管理，嚴格控制非授權(quán)終端的網(wǎng)絡(luò)接入行為。第三十二條

便攜式計算機原則上不接入電子政務(wù)網(wǎng)和指揮信息網(wǎng)，確需接入的，須經(jīng)網(wǎng)信辦在技術(shù)上確保安全后方可接入。含有涉密信息的計算機終端和存儲介質(zhì)不得接入非涉密網(wǎng)絡(luò)。第三十三條

計算機終端及外設(shè)進行維修，應(yīng)當采取數(shù)據(jù)備份、清除等措施，確保重要數(shù)據(jù)安全。重新聯(lián)入辦公網(wǎng)絡(luò)，應(yīng)當進行安全性檢查。移動存儲介質(zhì)應(yīng)當定期清理，不得長期、大量存儲信息。移動存儲介質(zhì)應(yīng)當定期清理、整理，不得長期、大量存儲信息。第三十四條

計算機終端、移動存儲介質(zhì)報廢應(yīng)當統(tǒng)一處置，報廢前做好數(shù)據(jù)備份、清除等工作，必要時應(yīng)當拆除硬盤、存儲卡等，同時從計算機終端卸載軟件。第七章使用人員安全管理第三十五條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當加強網(wǎng)絡(luò)和信息系統(tǒng)使用人員管理，嚴把入口關(guān)，嚴格權(quán)限分配，及時清理離崗離職人員訪問賬戶及權(quán)限。第三十六條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當著力提高工作人員網(wǎng)絡(luò)安全意識，持續(xù)開展網(wǎng)絡(luò)安全宣傳，注重宣傳效果。第三十七條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當注重提高工作人員網(wǎng)絡(luò)安全技能，開展網(wǎng)絡(luò)安全教育培訓，對網(wǎng)絡(luò)使用人員、安全管理人員、安全技術(shù)人員進行培訓。網(wǎng)絡(luò)安全管理培訓應(yīng)當包括網(wǎng)絡(luò)安全政策、安全標準規(guī)范、網(wǎng)絡(luò)安全檢查、風險管理、應(yīng)急處置、災(zāi)備管理等內(nèi)容。網(wǎng)絡(luò)安全技術(shù)培訓應(yīng)當包括網(wǎng)絡(luò)、信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施、數(shù)據(jù)等方面的安全防護技術(shù)。第八章

網(wǎng)絡(luò)安全檢查第三十五條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當制定年度網(wǎng)絡(luò)安全檢查計劃，每年至少開展一次網(wǎng)絡(luò)安全普查，并根據(jù)工作需要開展專項檢查。第三十六條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當制定網(wǎng)絡(luò)安全檢查應(yīng)當制定檢查方案，明確檢查工作機構(gòu)、檢查范圍、檢查內(nèi)容、檢查進度安排等。定期匯總檢查結(jié)果、分析問題隱患，針對存在的問題應(yīng)當確定整改方案與措施，并將整改結(jié)果報廳網(wǎng)信辦。第九章

網(wǎng)絡(luò)安全宣傳教育培訓第三十七條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當加強網(wǎng)絡(luò)安全宣傳，著力提高工作人員網(wǎng)絡(luò)安全意識。在國家網(wǎng)絡(luò)安全宣傳周要組織開展相應(yīng)宣傳教育活動，活動方案及策劃由網(wǎng)信辦牽頭、宣傳教育處配合，財務(wù)處提供活動經(jīng)費保障。第十章

網(wǎng)絡(luò)和信息系統(tǒng)安全事件應(yīng)急處置第三十八條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當根據(jù)國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案編制本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置網(wǎng)絡(luò)安全風險。每年要根據(jù)預(yù)案開展應(yīng)急演練，根據(jù)演練結(jié)果修訂應(yīng)急預(yù)案。第三十九條

省應(yīng)急廳及直屬事業(yè)單位應(yīng)當加強網(wǎng)絡(luò)安全監(jiān)測與預(yù)警，開展網(wǎng)絡(luò)和信息系統(tǒng)安全監(jiān)測工作，嚴防網(wǎng)絡(luò)安全事件發(fā)生。網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等。第四十條

突發(fā)網(wǎng)絡(luò)安全事件時，省應(yīng)急廳及直屬事業(yè)單位應(yīng)立即啟動相應(yīng)的應(yīng)急預(yù)案，根據(jù)不同等級的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，第一時間快速、有效的實施處置，最大程度減少損失和危害，并根據(jù)應(yīng)急預(yù)案規(guī)定，同時做好信息報送工作。第十一章

數(shù)據(jù)和個人信息安全第四十一條

省應(yīng)急廳及直屬事業(yè)單位開發(fā)網(wǎng)絡(luò)和信息系統(tǒng)，應(yīng)當采取措施加強重要數(shù)據(jù)和個人信息安全保護，必要時采取加密處理。第四十二條

存儲個人信息的信息系統(tǒng)，應(yīng)當符合國家有關(guān)個人信息保護的法律法規(guī)。任何個人和組織不得竊取或者以非法方式獲取個人信息，不得非法出售或向他人非法提供個人信息。第十二章

網(wǎng)絡(luò)安全考核評價第四十三條

省應(yīng)急廳及