关于印发《北仑区政府投资项目评审中心网络安全管理制度》的通知

北仑区政府投资项目评审中心

网络安全管理制度

第一章  范围及职责

第一条  本制度适用于网络安全管理，包括：网络系统安全管理、账号管理、病毒防治管理、网络事件报告和查处。

第二条  中心综合部(以下简称综合部)主要负责网络安全管理制度的制定和修订；网络管理员负责网络维护。

第三条  安全管理制度发布后，如有必要，综合部应召集相关人员学习安全策略，详细讲解规章制度的内容并解答疑问。

第四条  安全管理制度修订后需要以正式文件的形式重新发布施行，修订后的策略也需相应层次的管理部门审批。

第五条  签署发布的规章制度必须标明该规章制度的施行日期。

第六条  安全管理制度修改与废止必须定期对安全策略进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。

当现行安全管理制度与策略有下列情形之一时，必须及时修改：

1.当发生重大安全事件，暴露出安全策略存在漏洞和缺陷时；

2.组织机构或实际运行环境进行重大调整和变更后；

3.同一事项在两个规章制度中规定不一致；

4.与省、市、区制定的安全策略相抵触；

5.其它需要修改安全策略的情形。

第七条  当现行安全管理制度与策略有下列情形之一时，必须及时予以废止：

1.因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，或与省、市、区现行安全策略相抵触；

2.因已规定的事项已经执行完毕，没有存在必要；

3.已被新的规章制度所替代。

第八条  安全管理制度发布实施后，各部门应贯彻执行，对执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将意见和建议及时反馈综合部。

第九条  为保障各项信息安全管理制度的贯彻落实，综合部必须定期检查安全管理制度的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。

第二章  网络管理

第十条  应在信息系统内外网网络边界部署防火墙等安全设备；对内部网络进行区域隔离、保护。重要的业务应用服务器区部署单独的防火墙进行保护。

第十一条  内外网网络之间要实行逻辑隔离。

第十二条  采用技术手段对网络接入进行控制。外部人员如需接入网络，需由部门分管领导批准，再由网络管理员提供临时接入服务。

第十三条  在未经许可的情况下，任何人不得进入计算机系统更改系统信息和用户数据。

第十四条  任何人不得利用计算机技术侵害用户合法利益，不得制作和传播有害信息。

第三章  运维管理

第十五条  对信息系统核心设备采取冗余措施(包括线路及设备冗余)，确保网络正常运行。

第十六条  对网络、安全设备进行管理时须采用安全的方式（如加密、SSH等），并严格控制可访问该设备的地址和网段。

第十七条  定期对网络系统(服务器、网络设备)进行漏洞扫描，并及时修补已发现的安全漏洞。

第十八条  根据设备厂商提供的更新软件对网络设备和安全设备进行升级，在升级之前要注意对重要文件的配置进行备份。

第十九条  定期对重要的网络、安全设备进行巡检，确保重要设施工作正常，并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。

第二十条  定期对重要系统服务器和相关业务数据进行备份，备份数据应一式两份，分别进行保存管理。

第四章  账号管理

第二十一条  对网络管理员、安全审计员等不同用户建立不同的账号，并对资源管理权限进行划分，以便于审计。

第二十二条  网络账号、密码设计必须满足长度、复杂度要求，用户须定期更改密码以保障网络账户安全。

第二十三条  指定专人对服务器和网络设备的账号、密码进行统一登记，一式两份存档管理。管理员须严守职业道德和职业纪律，不得将任何账号、密码等信息泄露出去。

第五章  恶意代码管理

第二十四条  不得制造和传播任何计算机病毒。

第二十五条  网络服务器的病毒防治由网络管理员负责，网络管理员负责对各部门计算机的病毒防治工作进行指导和协助。

第二十六条  及时更新网络系统服务器病毒库，定期对服务器进行全盘扫描杀毒。

第二十七条  提高自身的恶意代码防范意识，在接收文件或邮件之前，必须先进行恶意代码检查。

第二十八条  已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。

第六章  恶意事件处理

第二十九条  发现制造病毒、故意传播病毒等行为，须立即通知综合部，并协助有关部门进行调查。

第三十条  发现恶意网络攻击行为，须立即通知综合部，并协助有关部门进行调查。

第七章  附则

第三十一条  本制度由北仑区政府投资项目评审中心负责解释。

第三十二条  本制度自发布之日起生效执行。