江西省应急管理厅网络安全管理规定

网络和信息系统中各类软硬件设备在上线运行时应当注册登记;维修时应当有本单位运维人员在场,并确保数据安全;退网时应当申报注销,并进行安全处理。

上线运行的软硬件设备应当定期进行系统加固、补丁升级、漏洞修复、病毒查杀等安全维护工作。

网络和信息系统应当具备安全审计功能,记录访问行为和软硬件设备的运行状态,安全审计日志应当完整、真实、可溯源。

在应急指挥信息网、电子政务外网和互联网上开展安全攻防测试必须报厅办公室批准,并接受厅科技和信息化处指导。

各单位网络安全运维机构应当加强网络安全监测与预警,采取有效措施,堵塞安全漏洞,严防网络安全事件发生。

各单位应当对网络和信息系统建设项目的承建单位、运维单位、外包服务单位及相关人员进行资格审查,签订安全责任书、保密协议,开展安全教育,督促落实安全管理措施,对其工作进行全程监督。

网络和信息系统所需软硬件产品应当符合国家关于安全可靠的要求,关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。

网络和信息系统确定为关键信息基础设施的,应当严格落实《中华人民共和国网络安全法》及关键信息基础设施相关法律法规有关要求,采取有效措施,确保安全。

未经网络和信息系统网络安全责任部门、运维部门同意,不得私自从数据库中拷贝数据。

拟报废的网络和信息系统,应当采取措施做好数据备份、数据删除等工作,防止数据泄露。

第五章网络和信息系统使用安全

信息系统应当实行以数字证书为主要载体的实名制身份认证和授权访问,并实行网络行为监测和安全审计。用户不得使用他人数字证书。

网络和信息系统之间应当保持相对独立。

用户不得擅自扫描、探测、入侵、攻防测试网络和信息系统,不得违规干扰、屏蔽、卸载、拆除安全监控程序或者监测设备,不得越权访问、查询、下载网络和信息系统数据资源,不得擅自篡改应急管理信息资源或者审计信息,不得泄露网络和信息系统中不宜对外公开的数据,不得对抗安全检查或者阻挠、妨碍安全事件调查。

传输、处理和存储个人信息的网络和信息系统,应当符合国家有关个人信息保护的法律法规要求。任何组织和个人不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第六章终端设备安全管理

各单位应当建立计算机终端台账,对计算机终端进行全周期管理。

计算机终端、外设及办公软件应当按照财务有关制度要求,纳入资产管理范围,统一采购、统一编号、统一标识、统一发放、统一报废。

计算机终端及外设应当按照国家有关要求采购安全可靠产品,安装使用正版操作系统、办公软件及防病毒软件。

计算机终端及外设应当遵循“谁使用,谁负责”的原则,明确安全责任人,落实安全责任。

涉密计算机终端和存储介质严禁接入非涉密网络。

计算机终端应当交运维部门统一维修,不得私自带离办公区域。需送外维修时,应当采取数据备份、数据清除等措施,确保重要数据安全。重新联入办公网络前,应当进行安全性检查。

移动存储介质应当定期清理、整理,不得长期、大量存储信息。

计算机终端、移动存储介质报废应当交运维部门统一处置,报废前应当做好数据备份和清除,必要时应当拆除硬盘、存储卡等数据存储介质并交保密部门销毁,同时从计算机终端卸载软件。

第七章使用人员安全管理

各单位应当加强网络和信息系统使用人员管理,严把入口关,严格权限分配,及时清理离岗离职人员访问账户及权限。

各单位应当着力提高工作人员网络安全意识,持续开展网络安全宣传教育,注重宣传教育效果。在国家网络安全宣传周活动期间,应当举行或参加网络安全宣传活动。

各单位应当注重提高工作人员网络安全技能,开展网络安全教育培训,对网络使用人员、安全管理人员、安全技术人员进行培训。

网络安全管理培训应当包含网络安全政策、安全标准规范、网络安全检查、风险管理、应急处置、灾备管理等内容。网络安全技术培训应当包括网络、信息系统、关键信息基础设施、数据等安全防护内容。

第八章网络安全检查

各单位应当制定年度网络安全检查计划,每年至少开展一次网络安全普查,专项检查可根据实际随时开展,检查报告应当报送科信处。

开展网络安全检查应当制定检查方案,明确检查工作机构、检查范围、检查内容、检查进度安排等。定期汇总检查结果、分析风险隐患,针对存在的问题应当制定整改方案,及时整改报送本单位网络安全管理部门。

第九章网络安全事件应急处置

厅所属各单位应当依据《国家网络安全事件应急预案》编制本单位网络安全事件应急预案并及时修订,每年组织开展应急演练,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露等安全风险。

发生网络安全事件后,各单位应当立即启动应急预案,采取有效处置措施,并在24小时内将有关情况报送厅办公室。厅办公室应当将网络安全事件相关情况及时报送省网络安全主管部门。

第十章保障和处罚措施

各单位应当建立网络安全责任制考评制度,将网络安全管理纳入年度工作绩效考核评价。

各单位应当将网络和信息系统安全防护设施的建设、运维及安全检查、测评、整改等费用列入年度经费预算。

各单位应当将网络和信息系统安全管理宣传、教育和培训,列入人员晋升和专业训练规划。

对扰乱网络和信息系统正常运行秩序或者妨碍安全管理的相关责任人员按照国家和应急管理厅有关规定予以处分;构成犯罪的,依法追究刑事责任。

第十一章附则

本规定由科信处负责解释,自印发之日起施行。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
来说点什么吧!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容