👋 欢迎来到 律咖网
连接海外本地律师与出海创业者
【始于2015 | 11年持续经营 | 经营年限全国同行前10%】
企业信用良好 | 数据来源:芝麻企业信用
合作微信:lvga2015
关于印发《克州政府机关网络环境与网络信息安全保密管理暂行办法》(试行)的通知
关于印发《克州政府机关网络环境与网络信息安全保密管理暂行办法》(试行)的通知 颁布单位:新疆维吾尔自治区克孜勒苏柯尔克孜自治州人民政府办公室 | 文号:克政办发〔2009〕65号 ---|--- 颁布日期:2009-09-03 | 失效日期: 效力级别:地方政府规范性文件 | 关于印发《克州政府机关网络环境与网络信息安
关于印发《克州政府机关网络环境与网络信息安全保密管理暂行办法》(试行)的通知
| 颁布单位:新疆维吾尔自治区克孜勒苏柯尔克孜自治州人民政府办公室 | 文号:克政办发〔2009〕65号 |
|---|---|
| 颁布日期:2009-09-03 | 失效日期: |
| 效力级别:地方政府规范性文件 |
关于印发《克州政府机关网络环境与网络信息安全保密管理暂行办法》(试行)的通知
克政办发〔2009〕65号
各县(市)人民政府,克州人民政府各部门、各直属机构:
为了加强克州政府机关网络环境与网络信息安全的建设与管理,经克州人民政府同意,现将《克州政府机关网络环境与网络信息安全保密管理暂行办法》(试行)印发,请结合本单位情况认真贯彻执行。
二〇〇九年九月三日
克孜勒苏柯尔克孜自治州政府机关网络环境与网络信息安全保密管理暂行办法
(试行)
第一章总则
第一条为了加强克孜勒苏柯尔克孜自治州(以下简称克州)政府机关网络环境与网络信息安全管理,保障网络运行的各类信息的安全,确保网络安全稳定运行,根据《中华人民共和国保密法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《克州网络信息安全应急预案》等有关法律法规,结合实际,制定本办法。
第二条各网络的定义:
(一)国际互联网:简称互联网,也称因特网。
(二)电子政务内网:是指政府机关的办公内网,主要用于传送电子公文、以及不适合通过外网传输的信息。通过在政务内网上配备核心密码设备或普通密码设备构建政府加密内网。电子政务内网与互联网是物理隔离。
(三)电子政务外网:是指州、县(市)人民政府、及其所属部门、乡镇的业务专网和资源共享专网,凡不需要在政务内网上运行的业务系统可接入政务外网;政务外网同时对互联网公众提供服务。电子政务外网与互联网是逻辑隔离。
(四)部门业务专网:是指在电子政务外网或内网上,连接本系统内部的自治区、州、县(市)相关部门的纵向业务网络。根据部门业务专网的应用需要,业务应用系统是面向社会和公众的,而且处理的数据是不涉密的,则专网与互联网进行逻辑隔离;业务应用系统是处理涉密或是内部敏感的数据,则专网与互联网进行物理隔离。
克州人民政府各部门使用的协同办公系统在电子政务内网上运行。
本《办法》适用于互联网、外网、内网、专网(以下简称各网络)内的所有接入单位,县(市)电子政务办公室依据本《办法》,对县(市)网络与信息的安全情况进行检查、考核。
第三条网络环境与网络信息安全工作的基本任务是保障网络的环境安全、应用系统安全和信息安全,保证网络正常运行。
第四条由克州信息化办公室(州电子政务办公室)、州保密局、州公安局、州安全局等单位组成克州网络信息安全领导小组,领导小组办公室设在州信息化办公室,负责制定全州网络信息安全策略和工作规范;建立全州网络信息安全风险评估体系;督促联网单位建立健全安全保护管理制度;监督、检查网络安全保护管理以及技术措施的落实情况。
第五条克州信息化办公室负责组织协调全州网络信息安全技术保障工作;州公安局负责全州政务网络的安全监督;州国家安全局、州保密局等有关部门按职责做好政务信息及网络安全管理的相关工作。
第六条克州信息化办公室负责政府机关网络环境与网络信息安全保护,电子政务内、外网的安全监控和运行。各网络接入单位应当建立协调合作管理机制,共同做好网络环境与网络信息安全保护管理工作。
第七条网络环境与网络信息安全保护工作,坚持“积极防御、综合防范”的方针,坚持安全技术与规范化管理相结合的原则,坚持“专网专用”、“专机专用”、“安全接入”的原则,实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制。逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。
第八条各网络使用单位和个人,都有保护网络环境与网络信息安全的责任和义务,不得利用各网络从事危害国家利益、集体利益和公民合法利益的活动,不得危害各网络的网络环境与网络信息的安全。
第二章各网络接入单位的管理机构与职责
第九条各网络接入单位应当成立网络信息安全领导小组,设立专门的网络安全管理岗位,负责和协调本单位网络信息安全保护工作及应急事件处理,制定本单位网络信息安全应急预案,每年与克州信息化办公室签订网络安全管理目标责任书。
第十条各接入单位网络信息的安全管理实行领导负责制,由本单位分管领导负责本单位的各网络的安全工作,指定有关机构和人员具体承办,并建立网络信息安全责任制。
第十一条各单位应当履行下列网络信息安全保护职责:
(一)负责本单位网络信息安全保护管理工作,建立健全网络信息安全保护管理制度,成立网络信息安全领导小组,每月进行网络信息安全性能检测。
(二)组织实施本单位的网络信息安全保障体系总体方案及相应的安全策略;组织制定本单位网络信息安全应急预案,建立应急响应机制;指导和监督本单位的网络信息安全管理工作。
(三)负责本单位的各网的网络设备、网络终端、移动存储设备的维护和管理,落实安全保护技术措施,保障各网的运行安全和信息安全;负责收集、整理本单位的网络拓扑结构及信息系统的其他相关技术资料。
(四)建立各网络保密管理制度和信息发布审核制度,对在各网络上发布信息的单位和个人进行登记,并对所提供的信息内容进行审核,负责所发布信息的合法性、真实性、准确性和安全性。
(五)配合克州信息化办公室采取各种技术措施,保护网络环境与网络信息的安全;配合克州信息化办公室监督、检查、分析网络与信息安全运行情况,及时排除安全隐患;配合克州信息化办公室对信息安全事(案)件进行技术调查,协助有关单位做好处理工作;发生安全事故或违法犯罪案件时,应立即向克州信息化办公室报告,并采取妥善措施保护现场,避免危害的扩大。
(六)负责对本单位用户的网络信息安全保密教育和培训。
第十二条各单位保密委员会应加强对本单位各网络系统的保密检查,一旦发现泄密问题,应立即组织查处,督促采取补救措施,并向克州保密局报告。
第十三条各接入单位应明确1-2名网络安全管理人员(有应用系统的接入单位必须确定专(兼)职人员、专用计算机),并将名单及联系方式报克州信息化办公室备案。如有变动,应在2个工作日内将变动情况报克州信息化办公室。
第十四条各接入单位的网络安全管理人员应熟悉、掌握本单位的主要网络与信息的资源配置、人员构成及安全管理等情况,并进行详细登记,报克州信息化办公室备案。
第十五条网络安全管理人员应当具备政治可靠、技术合格、工作责任心强等基本素质。对调离网络安全管理岗位的人员,应当及时上报克州信息化办公室,履行相应的手续,并由新上任的网络安全管理人员更换其使用的系统账号和口令。
第三章网络安全防范措施
第十六条任何单位和个人未经批准,不得从事下列危害各网络安全的活动:
(一)对接入各网络设备的参数配置进行修改;
(二)对各网功能进行增加、删除或者修改;
(三)对各网中存储、处理或者传输的数据和应用程序进行增加、删除或者修改。
第十七条任何单位和个人不得故意制作、传播、安装计算机病毒及木马等破坏性程序以及其他危害各网安全的行为。
第十八条各单位要统一管理与国际互联网联接的各网络出口,接入各网络的终端、设备和网络,不得再通过其他线路联接国际互联网或其他外部网络。
第十九条各单位在建设各网络的同时,必须同步设计和实施各网的网络信息安全系统。
第二十条接入内网的各单位用户IP地址统一由克州信息化办公室分配,并建立登记制度。用户的IP地址不得随意更改,如确需更改,应及时报克州信息化办公室同意并备案。接入互联网的各网络由本单位网络安全管理机构负责管理。
第二十一条各单位从事网络信息安全的工作人员应通过信息网络安全培训并取得考试合格证书后才能从事相关工作。
第二十二条各单位应当对各网络的设备定期进行检查,并记录系统日志,发现异常情况及时向克州信息化办公室报告。
第二十三条各单位应当对各网络运行的重要文件、数据、操作系统及应用系统定期进行备份。
第二十四条各单位的各网络应用系统要建立数据信息的存取访问控制机制,按数据信息的重要程度进行分类,划分访问和存储等级,设立访问和存储权限,防止越权存取数据信息。
第二十五条各单位应当建立本单位的网络信息安全应急预案,并报克州信息化办公室进行备案。
第二十六条定期更改网络设备和服务器密码,并建立密码档案,防止非法入侵和泄密。
第二十七条做好送外单位维修的计算机重要数据备份工作,拆除硬盘和内存后再送检修,如有必要清除其硬盘数据后再送检修。带有保密信息的网络载体报废处理前,需经保密部门确认。
第二十八条各单位必须确保上网信息的安全,在各网络发布信息,须经本单位主管领导审批(并保存审批手续)。不得利用各网的信息系统发布与工作无关的信息。
第二十九条为规范各单位各网络建设和维护工作,由克州信息化办公室指定的网络运营商或建设维护企业进行管理维护,各位单位必须与指定的网络运营商或建设维护企业签定网络信息安全技术维护与保密协议。
第四章终端用户的安全管理
第三十条各单位接入各网络的终端应当使用正版软件,安装防毒软件并及时更新,定期进行系统补丁升级和病毒检查。使用新机、新盘,移动存储设备、拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。发现计算机病毒或“黑客”袭击时,应立即断开网络连接,停止使用,并做好记录,及时向克州信息化办公室报告。
第三十一条非经计算机安全监察部门认定的病毒防治工具,不得使用。
第三十二条禁止下列违规操作行为:
(一)不准非法侵入他人计算机信息系统和联网设备操作系统。未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行。
(二)不准将非业务用计算机或网络擅自接入内网,将业务用计算机或网络接入互联网或其他非政府机关的网络;在内网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接内网和其它网络。
(三)不准将涉密信息系统接入国际互联网及公共信息网;将存有涉密信息的计算机擅自连接国际互联网或其他公共网络。
(四)不准将移动存储设备在专网、内网、外网计算机终端设备上交叉使用,在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备;涉密计算机、涉密移动存储设备与非涉密计算机,非涉密移动存储设备混用;在没有防护措施的情况下将国家互联网等公共信息网络上的数据拷贝到涉密信息系统。
(五)不准使用具有无线互联功能的设备处理涉密信息。
(六)不准故意制作、传播计算机病毒等破坏程序;发布危害国家安全利益、集体利益和公民合法利益,淫秽色情等有害信息。
(七)不准擅自在内网上开设与工作无关的网络服务;擅自对政务网计算机信息系统和网络进行扫描;擅自修改计算机IP或MAC地址。
(八)不准对网络信息安全事(案)件或重大安全隐患隐瞒不报。
第五章应急处理
第三十三条针对各网络出现的紧急事件,应当按照《克州网络信息安全应急预案》进行处置。
第三十四条在发生紧急事件时,为避免造成更大损失和影响,克州信息化办公室有权或者要求有关部门采取以下措施:
(一)拆除可能影响安全或有安全隐患的设备或部件。
(二)隔离相关的终端、服务器或网络。
(三)关闭相关的终端、服务器或网络。
第六章安全监督
第四十一条各网络接入单位在建设网络及应用系统项目前应当将设计方案报克州信息化办公室进行审核。
第四十二条各网络接入单位在项目实施中,采用的关键安全技术设备应当接受克州信息化办公室的监督和检查。
第四十三条各网络接入单位项目施工完成后,应当进行安全验收并报克州信息化办公室备案。未通过验收的项目,不得投入运行。
第四十四条克州信息化办公室定期对全州范围的网络信息系统和使用单位进行安全检查,各网络接入单位也应定期对本单位范围的网络信息系统进行安全检查。
各单位应当接受克州信息化办公室的安全监督、检查和指导,如实提供有关网络信息安全保护的信息、资料及数据文件,协助公安部门查处网络的违法犯罪行为。
第七章安全产品管理
第四十五条各网络接入单位的网络及应用系统使用的安全产品必须通过国家有关部门的认证和许可,符合相关等级保护要求。
第四十六条各单位建设的网络及应用系统凡属涉密网络,按保密部门有关规定执行。
第四十七条各网络接入单位网络及应用系统使用的安全产品必须报克州信息化办公室备案。
第八章罚则
第五十条对违反本《办法》,存在网络信息安全隐患的单位,由克州信息化办公室发出整改通知,并限期整改。整改不力的,克州信息化办公室可以视情节轻重予以暂停该单位的网络联接,并进行全州通报。
第五十一条对违反本《办法》,发生重大安全案件或事故的单位,追究网络接入单位领导责任,对违反国家法律、法规的行为,依法追究法律责任。
第九章附则
第五十二条本《办法》自发布之日起实施。
延伸阅读