第一章總則

為落實(shí)網(wǎng)絡(luò )安全工作責任制，規范應急管理廳系統網(wǎng)絡(luò )安全工作，保障應急管理廳系統網(wǎng)絡(luò )安全，依據《中華人民共和國網(wǎng)絡(luò )安全法》《應急管理部網(wǎng)絡(luò )安全管理規定》，制定本規定。

應急管理廳機關(guān)各處室及所屬單位（以下統稱(chēng)各單位）建設、運維、使用網(wǎng)絡(luò )和信息系統以及開(kāi)展網(wǎng)絡(luò )安全監督管理工作，適用本規定。

本規定所稱(chēng)網(wǎng)絡(luò )和信息系統，是指各單位使用的非涉密計算機網(wǎng)絡(luò )以及運行的軟硬件和存儲數據等。

網(wǎng)絡(luò )安全管理工作堅持建設、運維、使用分工負責的原則，做到統一領(lǐng)導、統一規劃、分級管理、保障應用。

第二章網(wǎng)絡(luò )安全職責

省應急管理科技信息化工作領(lǐng)導小組負責網(wǎng)絡(luò )和信息系統安全管理的重大事項決策和議事協(xié)調等工作。

廳辦公室負責協(xié)調并參與監督、檢查應急管理廳系統網(wǎng)絡(luò )安全工作；履行廳保密委員會(huì )辦公室職責，指導所屬單位保密、政務(wù)信息工作，負責機關(guān)涉密網(wǎng)、公文傳輸管理。

科技和信息化處負責網(wǎng)絡(luò )和信息系統的綜合管理工作，落實(shí)網(wǎng)絡(luò )安全相關(guān)法律法規和標準規范，建立健全安全保障體系；審核網(wǎng)絡(luò )安全建設方案，組織開(kāi)展安全違規事件調查工作。

新聞宣傳和教育培訓處負責廳門(mén)戶(hù)網(wǎng)站和新媒體的管理工作及網(wǎng)絡(luò )信息安全。

救援中心負責廳機關(guān)網(wǎng)絡(luò )、信息系統和關(guān)鍵信息基礎設施的維護升級、監測監控、預警處置等安全運維工作；組織開(kāi)展網(wǎng)絡(luò )和信息安全教育培訓，開(kāi)展網(wǎng)絡(luò )和信息系統安全風(fēng)險評估和相關(guān)處置工作。

廳所屬單位是網(wǎng)絡(luò )安全工作的責任單位，應當建立網(wǎng)絡(luò )安全責任制，明確單位主要負責人是網(wǎng)絡(luò )安全工作第一責任人，各主管網(wǎng)絡(luò )安全的領(lǐng)導班子成員是直接責任人。各單位負責本單位網(wǎng)絡(luò )和信息系統的監測監控、預警處置等安全運維工作。

各單位應當指定網(wǎng)絡(luò )安全管理工作機構和信息安全員，承擔網(wǎng)絡(luò )安全管理職責，指導、協(xié)調、監督、檢查本單位網(wǎng)絡(luò )安全管理工作。

各單位負責本單位網(wǎng)絡(luò )和信息系統日常安全管理工作，組織開(kāi)展網(wǎng)絡(luò )和信息系統定級、備案、安全建設和整改、等級測評、安全檢查等工作。

第三章 網(wǎng)絡(luò )和信息系統建設安全

各單位應當嚴格執行國家網(wǎng)絡(luò )安全等級保護制度及相關(guān)標準規范，網(wǎng)絡(luò )和信息系統安全防護、密碼保護和保密措施與信息化建設同步規劃、同步建設、同步運行，不斷健全網(wǎng)絡(luò )安全防護體系，保障網(wǎng)絡(luò )和信息系統安全，防止發(fā)生網(wǎng)絡(luò )安全事件。

網(wǎng)絡(luò )和信息系統項目單位為網(wǎng)絡(luò )安全責任單位，應當明確網(wǎng)絡(luò )安全責任人，組織開(kāi)展網(wǎng)絡(luò )安全相關(guān)工作。

網(wǎng)絡(luò )和信息系統建設應當按照統一的安全策略和標準規范，開(kāi)展物理和環(huán)境、邊界和接入、網(wǎng)絡(luò )和通信、計算和設備、應用和數據、監督管理等安全建設。

信息系統應當具備統一用戶(hù)管理、權限管理、日志審計等安全功能，不得留有后門(mén)程序，不得脫離安全管控。軟件源代碼應當留存備案。

網(wǎng)絡(luò )和信息系統中的數據資源應當根據分級分類(lèi)的管理要求授權使用，實(shí)施不同的安全保護策略和安全技術(shù)措施，著(zhù)重加強重要數據和個(gè)人信息安全防護。應當建立數據備份機制，對重要數據和應用系統進(jìn)行備份。

第四章網(wǎng)絡(luò )和信息系統運維安全

網(wǎng)絡(luò )和信息系統建設完成后應當經(jīng)過(guò)等級保護測評并完成安全整改，確保安全后方可上線(xiàn)運行。

上線(xiàn)運行的信息系統應當在首頁(yè)底端標明網(wǎng)絡(luò )安全責任單位、運維單位及聯(lián)系方式，其中在互聯(lián)網(wǎng)運行的網(wǎng)站類(lèi)信息系統還應當在首頁(yè)底端鏈接（標明）黨政機關(guān)事業(yè)單位網(wǎng)站標識、ICP備案號、國際聯(lián)網(wǎng)備案號。

網(wǎng)絡(luò )和信息系統中各類(lèi)軟硬件設備在上線(xiàn)運行時(shí)應當注冊登記；維修時(shí)應當有本單位運維人員在場(chǎng)，并確保數據安全；退網(wǎng)時(shí)應當申報注銷(xiāo)，并進(jìn)行安全處理。

上線(xiàn)運行的軟硬件設備應當定期進(jìn)行系統加固、補丁升級、漏洞修復、病毒查殺等安全維護工作。

網(wǎng)絡(luò )和信息系統應當具備安全審計功能，記錄訪(fǎng)問(wèn)行為和軟硬件設備的運行狀態(tài)，安全審計日志應當完整、真實(shí)、可溯源。

在應急指揮信息網(wǎng)、電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)上開(kāi)展安全攻防測試必須報廳辦公室批準，并接受廳科技和信息化處指導。

各單位網(wǎng)絡(luò )安全運維機構應當加強網(wǎng)絡(luò )安全監測與預警，采取有效措施，堵塞安全漏洞，嚴防網(wǎng)絡(luò )安全事件發(fā)生。

各單位應當對網(wǎng)絡(luò )和信息系統建設項目的承建單位、運維單位、外包服務(wù)單位及相關(guān)人員進(jìn)行資格審查，簽訂安全責任書(shū)、保密協(xié)議，開(kāi)展安全教育，督促落實(shí)安全管理措施，對其工作進(jìn)行全程監督。

網(wǎng)絡(luò )和信息系統所需軟硬件產(chǎn)品應當符合國家關(guān)于安全可靠的要求，關(guān)系國家安全和公共利益的信息系統使用的重要網(wǎng)絡(luò )產(chǎn)品和服務(wù)，應當經(jīng)過(guò)網(wǎng)絡(luò )安全審查。

網(wǎng)絡(luò )和信息系統確定為關(guān)鍵信息基礎設施的，應當嚴格落實(shí)《網(wǎng)絡(luò )安全法》及關(guān)鍵信息基礎設施相關(guān)法律法規有關(guān)要求，采取有效措施，確保安全。

未經(jīng)網(wǎng)絡(luò )和信息系統網(wǎng)絡(luò )安全責任部門(mén)、運維部門(mén)同意，不得私自從數據庫中拷貝數據。

擬報廢的網(wǎng)絡(luò )和信息系統，應當采取措施做好數據備份、數據刪除等工作，防止數據泄露。

第五章網(wǎng)絡(luò )和信息系統使用安全

信息系統應當實(shí)行以數字證書(shū)為主要載體的實(shí)名制身份認證和授權訪(fǎng)問(wèn)，并實(shí)行網(wǎng)絡(luò )行為監測和安全審計。用戶(hù)不得使用他人數字證書(shū)。

網(wǎng)絡(luò )和信息系統之間應當保持相對獨立。

用戶(hù)不得擅自?huà)呙?、探測、入侵、攻防測試網(wǎng)絡(luò )和信息系統，不得違規干擾、屏蔽、卸載、拆除安全監控程序或者監測設備，不得越權訪(fǎng)問(wèn)、查詢(xún)、下載網(wǎng)絡(luò )和信息系統數據資源，不得擅自篡改應急管理信息資源或者審計信息，不得泄露網(wǎng)絡(luò )和信息系統中不宜對外公開(kāi)的數據，不得對抗安全檢查或者阻撓、妨礙安全事件調查。

傳輸、處理和存儲個(gè)人信息的網(wǎng)絡(luò )和信息系統，應當符合國家有關(guān)個(gè)人信息保護的法律法規要求。任何組織和個(gè)人不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

第六章終端設備安全管理

各單位應當建立計算機終端臺賬，對計算機終端進(jìn)行全周期管理。

計算機終端、外設及辦公軟件應當按照財務(wù)有關(guān)制度要求，納入資產(chǎn)管理范圍，統一采購、統一編號、統一標識、統一發(fā)放、統一報廢。

計算機終端及外設應當按照國家有關(guān)要求采購安全可靠產(chǎn)品，安裝使用正版操作系統、辦公軟件及防病毒軟件。

計算機終端及外設應當遵循“誰(shuí)使用，誰(shuí)負責”的原則，明確安全責任人，落實(shí)安全責任。

涉密計算機終端和存儲介質(zhì)嚴禁接入非涉密網(wǎng)絡(luò )。

計算機終端應當交運維部門(mén)統一維修，不得私自帶離辦公區域。需送外維修時(shí)，應當采取數據備份、數據清除等措施，確保重要數據安全。重新聯(lián)入辦公網(wǎng)絡(luò )前，應當進(jìn)行安全性檢查。

        移動(dòng)存儲介質(zhì)應當定期清理、整理，不得長(cháng)期、大量存儲信息。

計算機終端、移動(dòng)存儲介質(zhì)報廢應當交運維部門(mén)統一處置，報廢前應當做好數據備份和清除，必要時(shí)應當拆除硬盤(pán)、存儲卡等數據存儲介質(zhì)并交保密部門(mén)銷(xiāo)毀，同時(shí)從計算機終端卸載軟件。

第七章使用人員安全管理

各單位應當加強網(wǎng)絡(luò )和信息系統使用人員管理，嚴把入口關(guān)，嚴格權限分配，及時(shí)清理離崗離職人員訪(fǎng)問(wèn)賬戶(hù)及權限。

各單位應當著(zhù)力提高工作人員網(wǎng)絡(luò )安全意識，持續開(kāi)展網(wǎng)絡(luò )安全宣傳教育，注重宣傳教育效果。在國家網(wǎng)絡(luò )安全宣傳周活動(dòng)期間，應當舉行或參加網(wǎng)絡(luò )安全宣傳活動(dòng)。

各單位應當注重提高工作人員網(wǎng)絡(luò )安全技能，開(kāi)展網(wǎng)絡(luò )安全教育培訓，對網(wǎng)絡(luò )使用人員、安全管理人員、安全技術(shù)人員進(jìn)行培訓。

網(wǎng)絡(luò )安全管理培訓應當包含網(wǎng)絡(luò )安全政策、安全標準規范、網(wǎng)絡(luò )安全檢查、風(fēng)險管理、應急處置、災備管理等內容。網(wǎng)絡(luò )安全技術(shù)培訓應當包括網(wǎng)絡(luò )、信息系統、關(guān)鍵信息基礎設施、數據等安全防護內容。

第八章網(wǎng)絡(luò )安全檢查

各單位應當制定年度網(wǎng)絡(luò )安全檢查計劃，每年至少開(kāi)展一次網(wǎng)絡(luò )安全普查，專(zhuān)項檢查可根據實(shí)際隨時(shí)開(kāi)展，檢查報告應當報送科信處。

開(kāi)展網(wǎng)絡(luò )安全檢查應當制定檢查方案，明確檢查工作機構、檢查范圍、檢查內容、檢查進(jìn)度安排等。定期匯總檢查結果、分析風(fēng)險隱患，針對存在的問(wèn)題應當制定整改方案，及時(shí)整改報送本單位網(wǎng)絡(luò )安全管理部門(mén)。

第九章網(wǎng)絡(luò )安全事件應急處置

廳所屬各單位應當依據《國家網(wǎng)絡(luò )安全事件應急預案》編制本單位網(wǎng)絡(luò )安全事件應急預案并及時(shí)修訂，每年組織開(kāi)展應急演練，及時(shí)處置系統漏洞、計算機病毒、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入、數據泄露等安全風(fēng)險。

發(fā)生網(wǎng)絡(luò )安全事件后，各單位應當立即啟動(dòng)應急預案，采取有效處置措施，并在24小時(shí)內將有關(guān)情況報送廳辦公室。廳辦公室應當將網(wǎng)絡(luò )安全事件相關(guān)情況及時(shí)報送省網(wǎng)絡(luò )安全主管部門(mén)。

第十章保障和處罰措施

各單位應當建立網(wǎng)絡(luò )安全責任制考評制度，將網(wǎng)絡(luò )安全管理納入年度工作績(jì)效考核評價(jià)。

各單位應當將網(wǎng)絡(luò )和信息系統安全防護設施的建設、運維及安全檢查、測評、整改等費用列入年度經(jīng)費預算。

各單位應當將網(wǎng)絡(luò )和信息系統安全管理宣傳、教育和培訓，列入人員晉升和專(zhuān)業(yè)訓練規劃。

對擾亂網(wǎng)絡(luò )和信息系統正常運行秩序或者妨礙安全管理的相關(guān)責任人員按照國家和應急管理廳有關(guān)規定予以處分；構成犯罪的，依法追究刑事責任。

第十一章附 則

本規定由科信處負責解釋?zhuān)杂“l(fā)之日起施行。