- 索 引 号:QZ00110-0200-2017-00022
- 备注/文号:泉司办[2017]22号
- 发布机构:泉州市司法局
- 公文生成日期:2017-05-03
泉司办〔2017〕22号
泉州市司法局办公室关于印发《泉州市司法局网络与信息安全管理制度》的通知
局机关各科室、直属各事业单位:
《泉州市司法局网络与信息安全管理制度》已经局长办公会议研究通过,现印发给你们,请认真抓好贯彻落实。
泉州市司法局办公室
2017年5月3日
泉州市司法局网络与信息安全管理制度
第一章 总则
第一条 为了保护我局计算机网络信息系统的安全,防止计算机网络信息的泄密,根据《中华人民共和国计算机信息系统安全保护条例》等法规的规定,根据本单位实际,制定本制度。
第二条 本局网络信息安全管理坚持统一管理、分散使用、责任明确、严格监督、确保安全、促进工作的原则。
第三条 本制度所称的网络信息,是指由福建省司法行政系统政务内网、市政府政务内网、政务外网、泉州市司法局网站、办公室网络设备及网络服务器、办公室网络应用及服务的软硬件构成的系统。
第二章 管理机制
第四条 成立泉州市司法局网络与信息安全工作领导小组,局长任组长,其他局领导任副组长,成员由各科室、直属各单位负责人担任。领导小组负责局机关和直属单位网络安全管理的组织协调工作,局办公室为网络信息安全管理的牵头单位,负责本单位上传网络的信息资料是否涉密的甄别工作、网络信息安全管理提供技术保障和网络信息安全管理的督查和处理工作。
第五条 网络安全管理实行按级负责制,一级对一级负责,即工作人员对科长(直属单位负责人)负责,科长和直属单位负责人对分管局领导负责,分管局领导对局长负责。
第六条 网络安全工作经费根据需要纳入年度行政经费预算,实行实报实销。
第三章 保密和安全管理
第七条 各科室、各单位要强化保密意识和网络安全意识,严禁计算机在内外网络中交叉使用,严禁随意调换计算机所使用的网络,严禁擅自使用外来计算机接入内部网络。
第八条 凡各科室、各单位更换网络中计算机或新增计算机接入网络的,必须经办公室进行安全审查,由办公室安排专业技术人员处理并网事宜。各科室、各单位不得私自接入网络,不得私自连接集线器、交换机及三通等网络设备,不得擅自修改计算机的网络配置和IP地址。
第九条 各科室要爱护并保护好计算机设备,不准在计算机设备旁边堆放易燃、易爆、强磁、水杯、腐蚀性物品及其它可能危及设备安全的物品。
第十条 各科室不准随意修改计算机配置、改动、调整电缆连接线和所有网络设备,各种设备必须由管理员按操作规程正确操作使用。
第四章 日常管理和维护
第十一条 局办公室负责计算机设备管理、操作系统维护和防病毒工作。各科室、各单位要指定专人负责本科室单位计算机的管理使用,安排专人参加相关知识的培训,学习计算机及其辅助设备的维护、保养及安全知识,并协助办公室搞好系统维护和防病毒工作。
第十二条 各科室计算机和接入内网的单位计算机应安装正版软件,其中杀毒软件必须定期升级,不得随意在接入内网的计算机上安装应用软件。因业务需要确定安装的,应先报办公室进行安全测试后再进行安装。
第十三条 计算机如发生感染病毒、木马或其他原因不明的故障,必须马上拔掉网线,切断本机与网络的连接,及时通知办公室进行安全维护。
第十四条 对于移动存储设备中的重要资料,要妥善保管,定期清理,以防文件外泄。利用移动存储设备向接入内网的计算机拷贝数据的,必须先进行查杀病毒处理,确认安全后才能向内网传输数据。
第十五条 各科室、各单位在当天工作结束后都对计算中所有重要文件和数据进行备份,每年要定期对有价值的历史数据进行备份,确保数据安全保存。
第十六条 本局所有计算机及光盘等网络设备不许外借其它单位或个人使用,本局内部相互借用后应迅速归还,不得私自复制或对外提供。
第十六条 每日工作完毕后,必须关闭计算机及电源开关。严格管理计算机的用户名和密码,并定期更换,不得告知与业务无关的人员。涉密计算机操作人员在短时间离开时,要将计算机关闭或采取其他安全措施(如进行屏保加密)才能离开。原则上不得将办公用计算机交由外单位人员操作。
第十七条 各科室、各单位未经批准不得允许外单位人员将重要资料、数据复制下载。内网涉密电子文档必须进行加密或采取其他相应安全措施,不得公开或随意处理,防止泄密。
第十八条 各科室、各单位对计算机设备不得擅自进行无把握、不顾后果的操作。凡出现较大故障的,必须及时报告处理,不得擅自将计算机设备外送维修。凡需要外送维修的,必须报告办公室统一安排维修事宜,并进行设备维修登记,然后拆除硬盘或对硬盘中重要的信息进行加密处理。若是硬盘故障,应有专人陪同修复,防止硬盘中的各种信息和数据被非法窃取、更改和破坏。
第五章 网站信息安全管理制度
第十九条 网站应指定专人管理,定期开展安全检查,定期做好数据备份。
第二十条 网站公布的信息内容要及时准确,按规定的审批程序进行,不得擅自更改栏目和更新信息内容。任何单位和个人,发布的信息必须符合《计算机信息网络国际联网安全保护管理办法》中的规定。
第二十一条 实行“谁上网,谁负责”的审批制度,各科室上传外网的信息资料均须报经科室(单位)主要负责人和分管局领导签字同意,并将纸质文本留存建档备查,重要信息资料上传外网还需报局长同意,严防泄密。
第六章 信息安全保护措施
第二十二条 信息系统必须放置在环境安全的场所,具有良好的供电、消防、防盗等设施。
第二十三条 信息系统必须在防火墙的保护之下。并观察防火墙的状态和记录,发现问题及时解决。
第二十四条 信息系统和访问的计算机,必须安装杀毒软件,及时更新病毒库,下载操作系统补丁,完善各项安全设置。
第二十五条 信息系统及其访问用户的密码,应该具有十位以上的长度,采用字母、数字、特殊字符相结合的方法构成,不得采用“懒人”密码。密码应定期调整,以免他人破解。
第二十六条 对重要的信息,必须冗余存储或定期备份,以备信息遭到破坏后能够及时恢复。
第二十七条 对政府内网访问,与互联网络进行物理隔绝。对不提供外网访问的信息系统,必须放置在内网。
第七章 网络信息安全应急预案
第二十八条 网络信息安全应急预案所称突发事件,是指自然因素或人为活动引发的危害我局网络设施及信息安全等有关的灾害。指导思想是确保局机关有关计算机网络及信息的安全。工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。本预案适用于发生在局机关政务内网和外网(互联网)上的突发性事件应急工作。
第二十九条 处置措施。处置的基本措施分事件发生前与事件发生后两种情况:
(一)事件发生前,局办公室要预先对网络信息安全预警预报体系进行建设,建立日常监测预与预警网络。加强网络信息安全巡查,进行定期和不定期的检查,加强对重点部位的监测和防范,发现有不良险情时,要及时处理并向工作领导小组报告。建立健全网络信息安全突发事件速报制度,保障紧急信息报送渠道畅通。属于大型网络信息安全事件的,在向工作领导小组报告的同时,还应向市计算机信息中心报告。
(二)事件发生后,立即启动应急预案,采取应急处置程序,立即将情况向网络与信息安全领导小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第三十条 处置程序:
(一)发现情况
各科室、直属各单位要严格做好信息系统安全的日常巡查,以保障最先发现并及时处置此突发性事件。
(二)预案启动
一旦事件发生,应立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
(1)设备发生被盗或人为损害事件
1.发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告网络与信息安全工作领导小组办公室,同时保护好现场。
2.网络与信息安全工作领导小组办公室接报后,通知公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
3.事件当事人应当积极配合公安部门进行调查,并将有关情况向网络与信息安全工作领导小组办公室汇报。
4.网络与信息安全工作领导小组办公室召开会议研讨事态严重时,应向网络与信息安全工作领导小组报告,请示进一步处理的决策。
(2)通信网络故障
1.发生通信线路中断、路由故障、流量异常、域名系统故障后,应及时通知办公室和相关科室。
2.及时查清通信网络故障位置,告知相关通信网络运营商,要求查清原因,同时,隔离故障区域,切断故障区与服务器的网络联接。
3.会同相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
4.相关责任人负责写出故障分析报告,上报网络与信息安全工作领导小组办公室备查。
(3)不良信息和网络病毒事件
1.当发现不良信息或网络病毒时,信息管理员应立即断开网线,终止不良信息或网络病毒传播,并告知网络与信息安全工作领导小组办公室。
2.接到报告后,应立即通告各科室、各单位所有计算机用户防病毒方法,隔离网络,督促信息管理员进行杀毒处理,直至网络处于安全状态。
3.对不良信息要进一步追查来源,对未经相关领导同意,擅自发布信息,造成不良影响且触犯法律者,移交执法部门追究法律责任。
4.情况严重时,应立即向网络与信息安全工作领导小组报告,请求支援,作好应对措施;处置人员记录事件处理步骤和结果,汇总上报。
(4)黑客攻击事件
1.当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告网络与信息安全工作领导小组办公室。
2.接到报告后,网络与信息安全工作领导小组办公室立即联系技术人员关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
3.及时清理系统、恢复数据、程序,尽力将系统和网络恢复正常;情况严重的,应上报网络与信息安全工作领导小组,并请求支援。
(5)核心设备硬件故障
1.发生核心设备硬件故障后,网络与信息安全工作领导小组办公室立即确定故障设备及故障原因,并进行先期处置。
2.若故障设备在短时间内无法修复,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
3.故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(6)业务数据损坏
1.发生业务数据损坏时,网络与信息安全工作领导小组办公室应及时检查、备份业务系统当前数据。
2.调用备份服务器备份数据。
3.业务数据损坏事件超过2小时后,网络与信息安全工作领导小组办公室应及时通知科室以手工方式开展业务。
4.待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统管理员补录数据;重新备份数据,并写出故障分析报告。
(四)善后处置
应急处置工作结束后,网络与信息安全工作领导小组办公室组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患组织,恢复正常工作秩序。
第九章 责任查处
第三十一条 故意输入计算机病毒,造成危害政府信息网络稳定与安全的按《中华人民共和国计算机信息系统安全保护条例》的规定予以处罚。
第三十二条 违反本制度规定的,视情节轻重给与相应的行政纪律处分;造成重大影响和损失的,依法由个人承担相关责任。
第十章 附则
第三十三条 本制度如与上级有关规定相抵触,则以上级相关规定为准。
第三十四条 本制度自公布之日起施行。
附件:1.泉州市司法局网络与信息安全责任书
2.泉州市司法局信息安全检查工作责任书
3.泉州市司法局信息系统安全保护工作责任书
4.泉州市司法局安全管理员职责说明书
5.泉州市司法局信息审查员职责说明书
6.信息安全培训计划表
7.信息安全培训记录表
附件1
泉州市司法局网络与信息安全责任书
为贯彻落实上级有关网络精神,强化信息安全管理,提高信息安全防范意识,提升信息安全防护技能,有效遏制重、特大信息安全事故发生,本单位作为重要信息系统运营使用单位,承诺履行下列网络与信息安全管理责任:
一、遵守《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《信息安全等级保护管理办法》等网络与信息安全相关法律法规规定,认真做好本单位网络与信息安全工作,接受局网络与信息安全工作领导小组以及公安、安全、保密、密码管理和信息化主管等网络与信息安全监督检查部门的指导。
二、建立健全网络与信息安全责任制。指定本单位网络与信息安全主管领导和责任人,并落实相应职责。
三、建立健全网络与信息安全管理制度。建立并落实信息安全等级保护、保密管理、密码管理等网络与信息安全相关管理制度。
四、建立健全信息系统安全保护技术措施。建立并落实身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防攻击、防瘫痪、防泄密等技术措施。
五、严格遵照国务院办公厅信息安全“五禁止”要求,提升安全防范意识,防止国家秘密或内部信息泄露到互联网上。
责任单位:(盖章)
单位负责人签字:
年 月 日
附件2
泉州市司法局信息安全检查工作责任书
为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1.统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2.信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3.信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4.信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因为工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任人》自签约之日起生效。
责任人(签章):
年 月 日
附件3
泉州市司法局信息系统安全保护工作责任书
为了进一步落实我单位的网络信息安全与信息安全管理责任,确保网络安全与信息安全,做好机关信息系统保护工作,特制定本责任书。
一、总体目标
我单位信息系统按等级(分级)保护标准,分级别进行保护,突出重点、兼顾一般,科学规划、效费合理,信息系统内在确保重点部位、重要信息资源安全,实现多级防护,保障互联互通和信息共享。通过深入、详细、全面地检查单位信息系统的安全风险状况了解单位资产的安全状态,并进行相应整改。
二、责任要求
1.组织制定详细的信息系统安全等级(分级)保护工作计划和风险评估计划,确保信息系统安全保护工作顺利进行。
2.制定系统完整的信息安全保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。
3.按照等级(分级)保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。
4.根据已经确定的信息安全保护等级,按照等级(分级)保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
5.对单位信息系统进行全面的风险评估,做到无遗漏,发现问题及时上报,并制定响应整改计划,经主管部门审批同意后对其进行整改。
三、责任追究
如信息系统安全保护工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:)
年 月 日
附件4
泉州市司法局安全管理员职责说明书
为了进一步落实网络安全和信息安全管理责任、明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任:
1.负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。
2.负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。
3.负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。
4.根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。
5.定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。
6.负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。
7.若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。
附件5
泉州市司法局信息审查员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确信息审查员职责,确保无不良信息传播以及公文的规范性,信息审查员应落实如下责任:
1.负责审查网站信息以及内部公文。对网站信息中出现的不良信息(包括言论、图片、网站链接等)进行及时过滤
2.审查内部信息公文的格式及内容的规范性,判断有无涉及非授权信息。
3.负责审查发布信息中是否存在工作敏感信息和国家秘密信息。
4.制定网站规范有关规定,对不良信息进行明确划分。
5.若由于信息审查工作疏忽或失误而导致安全事故发生,信息审查员应承担相应责任。
附件6
|
信息安全培训计划表 填表日期: 年 月 日 |
||||
|
培训名称 |
|
|||
|
培训类别 |
□理论 □操作 |
|||
|
培训人数 |
|
培训地点 |
|
|
|
培训时间 |
年 月 日 至 年 月 日 |
|||
|
课时安排: |
||||
|
课程内容简介: |
||||
|
培训教师安排: |
||||
|
培训所用材料: |
||||
|
培训计划人 |
|
|||
附件7
|
信息安全培训记录表 填表日期: 年 月 日 |
||||||
|
培训名称 |
|
|||||
|
培训类别 |
□理论 □操作 |
|||||
|
培训人数 |
|
培训地点 |
|
|||
|
培训时间 |
年 月 日 至 年 月 日 |
|||||
|
培训教师 |
|
|||||
|
培训内容概要: |
||||||
|
参与培训人员签到 |
||||||
|
姓名 |
部门 |
姓名 |
部门 |
|||
|
|
|
|
|
|||
|
|
|
|
|
|||
|
|
|
|
|
|||
|
|
|
|
|
|||
|
培训考核形式 |
□笔试 □其他 |
|||||
|
培训考核合格率 |
|
|||||
泉州市司法局办公室 2017年5月3日印发
扫一扫在手机上查看当前页面
闽公网安备 35050302000398号
