--县人民政府网络安全管理制度

**县人民政府网络安全管理制度**县人民政府网络安全管理系统简介：**县人民政府网络安全管理制度2018年8月修订前言本文档制定了信息系统的总体方针和策略，是网络信息安全工作的最高层的安全文件，是所有网络安全行为的指导方针，规范信息系统生命周期相关活动的安全管理制度则以安全方针政策为指导。该文档阐明了机构信息安全工作的使命和意愿、定义信息安全的总体目标、规定信息安**县人民政府网络安全管理制度本文内容：**县人民政府网络安全管理制度2018年8月修订前言本文档制定了信息系统的总体方针和策略，是网络信息安全工作的最高层的安全文件，是所有网络安全行为的指导方针，规范信息系统生命周期相关活动的安全管理制度则以安全方针政策为指导。该文档阐明了机构信息安全工作的使命和意愿、定义信息安全的总体目标、规定信息安全责任机构和职责、建立信息安全工作运行模式等，以保证信息安全工作的正确执行，也是建立完整的安全体系最根本的基础。本文档的编制参照了以下国家、中心的标准和文件：?（一）《中华人民共和国计算机信息系统安全保护条例》?（二）《关于信息安全等级保护建设的实施指导意见》（信息运安〔2009〕27?号）?（三）《信息安全技术?信息系统安全等级保护基本要求》（GB/T?22239-2008）?（四）《信息安全技术信息系统安全管理要求》（GB/T?20269—2006）?（五）《信息系统等级保护?安全建设技术方案设计要求》（报批稿）?（六）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）?目录系统安全管理制度··································1附件一：计算机信息系统安全管理员工作职责··········6网络安全管理制度··································8附表二：系统(设备)变更登记表······················12机房管理制度·························13附表三：出入机房申请/登记表·······················18账户及口令管理制度·······························19附件四：信息中心系统用户责任与义务···············26附件五：系统管理员责任与义务·····················27网络安全故障应急预案·····························28网络安全相关工作流程图···························35系统安全管理制度一、总则为保障计算机系统、网络系统安全、稳定、有效运行，提高计算机系统、网络系统安全运行管理的科学化、规范化水平，特制定本办法。1、本办法所涉及的范围包括：办公网内的所有计算机（包括服务器、网络设备、办公电脑、笔记本电脑）及所涉及到的所有网络。2、**县人民政府信息中心（以下简称“信息中心”）负责本单位的信息系统、网络系统的安全管理工作。任何部门和个人，未经有关领导或信息中心同意，不得擅自安装、拆卸或改变信息中心信息设备及网络结构。3、外来设备（计算机、存储等）严禁接入业务网，如有需要接入，应由信息中心提供接入设备（计算机、存储等）。4、信息中心员工必须严格遵守本办法。二、基本要求1、**县人民政府网络只供政府机关内部使用，任何内部使用的数据传输，未经过信息中心批准，不得进入信息中心的网络。2、任何人不得以各种手段破坏、阻碍、修改或窃取信息中心网络正常传输的数据，不得对信息中心的各种网络设备和系统软件进行攻击和非法侵入。3、任何人不得利用本信息中心网络从事违反国家法律法规和信息中心有关规章制度的活动，严禁在互联网上散布反动、煽动、误导等言论，不得登陆非法、反动等政府禁止的网站。4、依据“谁主管，谁负责”、“谁使用，谁负责”的原则明确安全责任。三、网络及服务器管理1、信息中心网络的拓扑结构和设备接入由信息中心负责，任何部门、个人未经信息中心批准，不得随意增加、减少和更改网络及设备的接入点和接入方式，管理员职责见附表一。2、信息中心网络IP地址的分配由信息中心统一规划并登记，任何人不得随意更改。3、所有服务器、网络设备等要设置登陆密码，删除不需要的用户，在满足运行需要的前提下，采用最小化用户权限分配原则，禁用不必要的系统服务。4、严禁在工作时间内修改服务器或网络设备的配置，或是进行系统升级、线路切换等可能影响工作的操作。5、严禁在服务器上运行无关的软件程序。四、计算机及存储设备管理1、信息中心遵循权限最小原则为个人计算机设置用户权限。超级用户权限由信息中心统一使用。2、外来计算机原则上不允许接入办公网。对于需要接入办公网络的计算机，经信息中心批准后，信息中心首先进行严格的安全检查，确认不存在安全隐患后，由专人负责接入。3、由信息中心人员每周不定时抽查部分部门的计算机安全情况，并形成记录。4、外来计算机要在信息中心人员的安排下，在指定的地点使用，使用的时候要由专人陪同。5、外来计算机必须装有有效的杀毒软件和防火墙。6、外来存储设备使用前必须进行严格的病毒检测，确认不存在安全隐患方可使用。7、新购进或送出维修后的计算机及其设备，须经信息中心检测后，方可安装运行，防止病毒的侵害。8、禁止在信息中心办公网计算机上使用来历不明、可能导致病毒传染的软件。使用类似软件需经信息中心安全管理员认可，在使用前应对其进行病毒扫描。9、办公网用户应谨慎接收电子邮件，从网络上接受电子邮件时要进行病毒查杀。10、对员工使用的办公或个人电脑应该符合下列要求：（1）禁止同一计算机既接入生产网又接入互联网。（2）接入生产网的设备需设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗。（3）安装正版杀毒防护软件，并及时进行升级，及时更新操作系统补丁程序。（4）未经信息中心或信息中心允许，不得修改个人上网IP地址、网关、DNS服务器等设置。（5）禁止将办公计算机带到与工作无关的场所；确因工作需要携带有重要信息的电脑外出的，必须确保重要信息的安全。11、办公网内的个人计算机设备上360安全卫士，进行插件管理、木马查杀，以及进行其它Windows平台下软件更新与漏洞修复工作。12、办公网内的个人计算机设备统一从信息中心的杀毒服务器上安装受控杀毒软件客户端，由病毒服务器统一配置策略，设置为自动扫描、自动更新病毒库，并定于每周自动进行全盘扫描。13、若需安装其它杀毒软件，需经过信息中心负责人同意并由信息中心人员进行安装，同时应保证病毒库的及时更新。14、办公网内的个人计算机设备需开启Windows软件自动更新功能，以完成微软安全补丁程序的安装。不能自动更新时需人工安装，可通过360安全卫士的修复漏洞功能完成。15、办公计算机及相关设备报废时，应由信息中心拆除存储部件，由信息中心按有关要求统一销毁，同时作好备案登记。严禁各部门自行处理报废计算机。16、接入业务网的柜员机要避免使用移动存储设备进行数据拷贝。因工作需要必须使用的，要严格遵守设备专用的原则。用于拷贝数据的存储设备在写入、读取前必须进行病毒查杀，确保设备无安全隐患。五、违约责任与处罚1、违反本办法的规定，根据情节及后果的严重情况，对违规人员给予相应的处理。2、故意输入计算机病毒，造成信息中心网络故障的，信息中心将提交至相关管理部门。3、信息中心任何部门或个人违反本管理办法，给信息中心造成损失及不良影响的，均应承担责任，进行处理。附表一：计算机信息系统安全管理员工作职责附表一：计算机信息系统安全管理员工作职责一、为了加强对计算机信息系统的安全保护，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行条例》、《计算机信息网络国际联网安全保护管理办法》和其他法律行政法规的规定，特制定本制度。二、严格遵守信息安全保密制度，不得泄露操作系统、数据库的系统管理员帐号、密码，切实保障系统安全。合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。关闭与应用系统无关的所有网络端口，制定严格的网络安全策略机制，防止非法用户的侵入。及时安装正式发布的系统补丁，修补系统存在的安全漏洞，防止系统遭受各种恶意攻击。启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。三、加强口令密码、密钥安全管理。严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。严格按照安全保密机制对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）进行管理。密钥应作为绝密数据保管，必须通过机要渠道传递或采用加密通信方式网内分配。密钥必须定期更换，对已泄露或怀疑泄露的密钥应及时废除，旧密钥必须安全归档。密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。要有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。四、加强信息系统的安全监测。安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况，切实提高信息系统的安全效能。要协助业务操作人员审查业务处理结果，发现问题应及时查明原因。对不能确认的异常现象，必须向计算机安全管理部门报告。要对计算机信息系统安全运行的监测记录及其分析结果严格管理，未经相关领导许可不得对外发布或引用。五、重大安全事件和应急处理。确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。重大安全事件发生后，协助有关人员保护事件现场，积极协助安全事件的调查，做好善后处理工作。重大安全事件的处理情况，安全管理员必须形成书面材料，报告上级计算机安全主管部门。六、定期对信息安全工作进行巡检，并在其他业务管理员的协助下建立完整的安全巡检报告。要根据信息系统安全需求及网络系统建设的发展，提出网络系统安全整改意见和实施方案。网络安全管理制度一、总则为了确保信息中心计算机信息网络的安全、保密运行，根据《中华人民共和国信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》及保密工作的有关规定,结合我院计算机信息网络使用情况，特制定如下管理办法。二、适用范围适用于信息中心计算机网络方面的管理。三、计算机设备管理制度1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。设备用户变更时，须填写系统(设备)变更登记表（附表二）。3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。四、操作员安全管理制度1、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；2、系统管理操作代码的设置与管理（1）系统管理操作代码必须经过经营管理者授权取得；（2）系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；（3）系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；（4）系统管理员不得使用他人操作代码进行业务操作；（5）系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；3、一般操作代码的设置与管理（1）一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户代码设置。（2）操作员不得使用他人代码进行业务操作。（3）操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。4、密码与权限管理制度（1）密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安