| 阳泉市工商局关于印发《阳泉市工商局网络信息安全管理制度》的通知 |
| 2017-11-28 11:24 市局办公室 |
|
阳工商办字[2017]223号 各分局,市局各科(室)、队、局属各事业单位: 为了深入贯彻《网络安全法》,规范阳泉市工商局网络信息安全管理工作,加强网络、信息系统的安全风险控制、风险防范,我局特制定《阳泉市工商局网络信息安全管理制度》,以保证信息网络、信息系统的安全性、可控性。望各单位按照制度规定,加强内部管理,严格遵照执行。 2017年10月12日 阳泉市工商局网络信息安全管理制度 1总则第1条 为规范阳泉市工商局网络信息安全管理工作,加强网络安全风险控制和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。 1.2适用范围第2条 本制度适用于阳泉市工商局网络信息安全整体工作。在全局范围内给予执行,由安全管理领导组对该项工作的落实和执行进行监督,由局机关各相关业务部门配合安全管理领导组对本案的有效性进行持续改进。 1.3管理对象第3条 管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、项目与工程安全控制、安全检查与审计等。 1.4原则第4条 以谁主管谁负责为原则,以分级保护、技术与管理并重、全员参与、持续改进为原则。 1.5安全框架第5条 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 2安全制度要求第6条 所有员工都受本制度的约束,各部门负责人有责任确保其部门已实施足够的安全控制措施,以保护信息安全。 第7条 各部门的负责人有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。 3组织方面 3.1组织构成第8条 市工商局成立网络信息安全领导小组,领导小组是市工商局信息安全管理的决策机构,由分管网络信息工作的领导担任组长,各科、室、中心、协(学)会及下辖各分局负责人领导小组成员,委员会下设办公室,办公室设在信息中心。 第9条 信息安全员由网络信息安全管理委员会认定,一般应由各部门成员选派一名精通计算机信息方面的人员担任,每个部门至少有1名信息安全员。 3.2工作职责 3.2.1 安全管理职责第10条 阳泉市工商局网络信息安全领导小组会作为一个常设机构,积极地支持信息安全工作,主要工作包括以下几方面: (一)确保信息安全控制措施及网络信息安全相关制度在本单位内被有效的执行; (二)提供信息安全体系运作所需要的资源; (三)为信息安全在本单位执行定义明确的角色和职责; (四)确定信息安全推广和培训的计划和程序,执照每年应各个岗位的人员进行安全技能及安全认知的考核。 第11条 网络信息安全领导小组需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在本单位内执行的结果。 第12条 定期举行信息安全工作会议,定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订,会议成员包网络安全领导小组成员、信息安全员和其他相关的人员,会议讨论和审批信息安全相关事宜。 3.2.2信息中心安全管理职责第13条 信息中心作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要职责: (一)负责本单位信息安全管理和指导; (二)牵头制订市工商局信息安全体系规范、标准和检查指引,参与本单位信息系统建设的安全规划; (三)组织全局进行网络信息安全检查; (四)配合领导小组进行安全审计工作的开展; (五)牵头组织本单位网络信息安全管理培训; (六)负责推荐本单位信息安全产品的选型、购置; (七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略; (八)负责网络信息设备的日常维护和管理。 4信息资产与人员安全 4.1资产的清单 第14条 单位配置的信息产品属于国有资产,按照行政单位国有资产管理的相关规定,由办公室纳入部门资产管理系统。 第15条 应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并及时维护更新。这些资产包括但不限于∶ 1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息、采购合同、采购票据、授权文书等。 2)软件:应用软件、系统软件、及实用工具等。 3)实体:计算机设备(处理器、显示器、笔记本电脑、调制解调器等)、通讯设备(路由器、程控电话交换机、传真机等)、存储设备、磁介质(磁带和磁盘等)、其它技术设备(电源、空调器等)、机房等。 第16条 资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后,资产清单必须更新。 第17条 实体资产需要贴上适当的标签。 4.2资产的合理使用第18条 必须识别信息系统、相关设备的使用准则,形成文件并实施。使用准则应包括: 1)使用范围 2)角色和权限 3)使用者应负的责任 4)与其他系统交互的要求 第19条 所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。本单位的所有信息处理设备(包括个人电脑)只能被使用于工作相关的活动,不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。 4.3资产归还及资产报废第20条 在员工离岗时,所有员工及第三方人员必须归还所使用的全部公司资产。需要归还的资产包括但不限于: 1) 帐号和访问权限 2) 市工商局的电子或纸质文档 3) 市局购买的硬件和软件资产 4)应取回各种单位内部身份证件、钥匙、徽章等以及单位提供的软硬件设备; 4) 市局购买的其他设备 第21条 如果在非市工商局资产上保存有市工商局的资产,必须在带出本单位前归还或删除本单位的资产。 第22条 如果信息资产达到出现下列情形,可以向办公室提出申请报废: 1)已达到最低使用年限,且无法继续使用的; 2)未达到规定的最低使用年限,因技术进步等原因无法继续使用的; 3)未达到规定的最低使用年限,因计算机硬件报废,预装的操作系统无法使用的。 信息资产报废,应当经信息中心鉴定后,严格履行资产处置报批手续。 4.4删除访问权限第23条 在员工离岗或者岗位调整时,相关部门应及时通知信息中心删除该员工员工对原信息和信息系统的访问权限,或根据变更进行相应的调整。所有删除和调整操作必须在最后上班日之前完成。 5机房管理 5.1机房进入须知第24条 所有外来人员需要进入机房的来宾都必须提前申请。机房管理人员必须维护和及时更新来宾记录,以掌握来宾进入机房的详细情况。记录中应详细说明来宾的姓名、进入与离开的日期与时间,申请者以及进入的原因。机房来宾记录至少保存一年。来宾必须得到明确许可后,在专人陪同下才能进入机房。 第25条 机房的保护应在专家的指导下进行,必须安装合适的安全防护和检测装置。机房内严禁吸烟、饮食、打闹。 5.2机房操作日志第26条 必须记录机房管理员的操作行为,以便其行为可以追踪。操作记录必须备份和维护并妥善保管,防止被破坏。 5.3设备的安置及保护第27条 必须对设备实施安全控制,以减少环境危害和非法的访问。应该考虑的因素包括但不限于: 1) 水、火 2) 烟雾、灰尘 3) 震动 4) 化学效应 5) 电源干扰、电磁辐射 5.4设备维护第28条 所有网络信息设备必须有足够的维护保障,核心设备必须定期进行预防性维护。只有经过批准的、受过专业培训的工作人员才能进行维护工作。设备的所有维护工作都应该记录归档。如果设备需要搬离本单位进行修理,必须获得批准并卸载其存储介质。 第29条 必须建立设备故障报告流程。对于需要进行重大维修的设备,流程还应该包含设备检修的报告,及换用备用设备的流程。 5.5机房灾难应对第30条 办公场所和机房的设计和建设必须充分考虑火灾、洪水、地震、爆炸、骚乱等天灾或人为灾难,并采取额外的控制措施加以保护。 机房必须增加额外的物理控制,选取的场地应尽量安全,并尽可能避免受到灾害的影响。机房必须有防火、防潮、防尘、防盗、防磁、防鼠等设施。 6信息安全 6.1信息备份第31条 所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。 第32条 备份管理办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查,以确保没有发生未授权或意外的更改。 第33条 应该保留多于1个备份周期的备份,但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。 6.2网络管理第34条 网络管理和操作系统管理的职责应该彼此分离,并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。 第35条 必须建立相应的控制机制,保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。 第36条 进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。任何准备接进网络的新设备,在进网前都必须通过协议兼容性的评估和安全检查。 第37条 必须对网络进行监控和管理。所有网络故障都必须向上级报告。 第38条 必须建立互联网的访问管理办法。除非得到授权,否则禁止访问外部网络的服务。 第39条 严禁私人的信息处理设备来处理本单位业务信息或使用本单位信息资源,如经分管领导许可,须在信息中心备案登记,并统一分配IP地址后方可接入。 6.3病毒防范管理第40条 严格控制光驱、软驱和U盘等移动设备的使用;由专人在专机对所使用的介质盘片进行病毒检查,确保所使用的介质盘片没有病毒,才能上机、入网。 第41条 用机人员每天用机时自动运行一次计算机病毒检查,发现病毒要即时自行清除杀毒。 第42条 经远程通信传送的程序和数据,必须经过检测确认无病毒后方可使用;如发现有病毒应立即杀毒,并及时通知上传方进行杀毒。 第43条 应及时升级病毒库和相关的升级包,做到防患于未然,确保设备正常运行。 第44条 外网杀毒软件要每月升级一次;内网杀毒软件要每半个月升级一次。 6.4介质的管理 6.4.1可移动介质的管理第45条 可移动计算机存储介质(比如磁带、光盘等)必须有适当的访问控制。存储介质上必须设置标签,以标识其类型和用途。标签应使用代码,以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。 第46条 必须建立和维护介质清单,并对介质的借用和归还进行记录。应确保备有足够的存储介质,以备使用。 第47条 存放在存储介质内的绝密和机密信息必须受到妥善保护。 第48条 存储介质的存放环境必须满足介质要求的环境条件(比如温度、湿度、空气质量等)。 第49条 备份介质必须妥善保存。应该对介质的寿命进行管理,在介质寿命结束前一年,将信息拷贝到新的介质中。 6.4.2介质的销毁第50条 应建立存储介质的报废规范,包括但不限于: 1)纸质文档 2)语音资料及其他录音带 3)复写纸 4)磁带 5)磁盘 6)光存储介质 第51条 所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。 第52条 所有报废及过期的存储介质必须妥善销毁。 6.5信息安全事件报告第53条 必须对员工明确说明需要报告的安全事件。员工有责任报告安全事件。 第54条 必须制定安全事件的分类、识别方法及建立相关的报告程序,以便安全事件得到及时的报告和处理。 第55条 员工一旦发现重要信息可能或正在遭受破坏,必须立即按照相关的报告程序通知本单位相关工作人员。如果可能的话,还应采取适当的措施来监控并保护这些重要信息。 第56条 当外界对本单位发生的安全事件进行询问和调查时,员工必须将这类请求转交给本单位的对外宣传部门进行处理,严禁私自回应。 第57条 当安全事件发生时,应当成立安全事件调查组,并明确其职责;其成员应具备相应的处理技能。 7信息产品采购、外包方面 7.1信息产品的采购第58条 信息产品的采购应当按照《中华人民共和国政府采购法》规定执行,应当符合党政机关计算机系统安全和保密管理的有关规定 第59条 新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。 第60条 新设备在部署和使用之前,必须明确其用途和使用范围,并获得网络信息安全领导小组的批准。必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。 7.2服务外包第61条 所有信息相关外包的服务,必须签定正式的合同,合同内容包括但不限于: 1)确定产品或服务的范围和数量 2)明确相关设备产权的归属 3)有权对设备、软件进行审计 4)软件、硬件维护要求 第62条 外包产品在正式使用前,必须经过病毒检测和充分测试。 8惩戒第63条 违反市工商局安全管理制度、标准和程序的员工将受到纪律处分。在对信息安全事件调查结束后,必须对事件中的相关人员根据公司的惩戒规定进行处罚。纪律处分包括但不限于: 1) 通报批评 2) 警告 3) 记过 4) 解除劳动合同 5) 法律诉讼 第64条 当员工在接受可能涉及离职或解除劳动合同和法律诉讼的违规调查时,其直接领导应暂停受调查员工的工作职务和其访问权限,包括物理访问、系统应用访问和网络访问等。员工在接受调查时可以陈述观点,提出异议,并有进一步申诉的权力。 9附则第65条 本制度对市工商局网络信息安全管理工作的指导是基础和根本性的,其它所有相关制度都应与本制度保持一致。 第66条 本制度由网络信息安全领导小组负责解释 第67条 本制度自印发之日起生效。 |
