社中央機關各部門:
《九三學社中央信息網(wǎng)絡管理規(guī)定》已經(jīng)社第十四屆中央委員會第六十五次主席辦公會議審議通過?,F(xiàn)予印發(fā),請遵照執(zhí)行。
九三學社中央辦公廳
2022年4月22日
九三學社中央信息網(wǎng)絡管理規(guī)定
(2022年4月1日九三學社第十四屆中央委員會第六十五次主席辦公會議通過)
第一章 總則
第一條 為規(guī)范社中央信息網(wǎng)絡管理工作,明確工作職責,規(guī)范工作流程,提高工作效率,確保信息網(wǎng)絡安全、穩(wěn)定、高效運行,根據(jù)《中華人民共和國網(wǎng)絡安全法》等有關法律法規(guī),制定本規(guī)定。
第二條 社中央成立網(wǎng)絡安全與信息化領導小組(以下簡稱網(wǎng)信領導小組),由社中央常務副主席任組長、分管網(wǎng)絡安全與信息化建設工作的副主席為副組長,機關各部門主要負責人和網(wǎng)絡安全與信息化建設分管負責人為成員。社中央網(wǎng)信領導小組在主席辦公會議統(tǒng)一領導下負責領導和管理社中央網(wǎng)絡安全與信息化建設和軟件正版化等工作。
第二章 網(wǎng)絡信息安全
第三條 九三學社中央機關法定代表人為社中央機關網(wǎng)絡安全第一責任人,機關各部門主要負責人為本部門網(wǎng)絡安全第一責任人。
第四條 機關網(wǎng)絡和信息系統(tǒng)依法實行網(wǎng)絡安全等級保護制度。
第五條 計算機終端數(shù)據(jù)信息安全原則為“誰使用,誰負責”;信息系統(tǒng)數(shù)據(jù)信息安全原則為“誰主管,誰負責”。
第六條 社中央機關應采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施。
第七條 社中央機關應采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施,并按照規(guī)定留存相關的網(wǎng)絡日志不少于6個月。
第八條 機關工作人員不得利用機關網(wǎng)絡進行任何干擾網(wǎng)絡用戶、私自竊取他人計算機信息、破壞網(wǎng)絡服務和網(wǎng)絡設備的活動。
第九條 機關工作人員不得通過機關網(wǎng)絡制造、散布、傳播謠言,發(fā)布不真實的信息或散布計算機病毒,不得查閱、復制和傳播有礙社會治安和淫穢、色情的信息。
第十條 機關工作人員嚴禁利用非涉密計算機及其信息系統(tǒng)存儲、處理涉密信息。
第十一條 違反規(guī)定的行為,視情節(jié)和后果輕重,給予教育、批評、行政處分等;違反法律的,依法追究法律責任。
第三章 計算機使用
第十二條 本規(guī)定所稱“計算機”,主要指社中央機關為機關工作人員配備辦公用非涉密臺式計算機、便攜式計算機。涉密計算機的管理與使用,按照《九三學社中央機關保密工作規(guī)定》執(zhí)行。
第十三條 計算機由領用部門指定專人管理,使用人應妥善保管所領用計算機。
第十四條 計算機的放置和使用應遠離磁性物質(zhì)、水源、熱源、塵埃等。使用人下班后應關閉計算機并切斷電源。
第十五條 使用人不得自行打開設備外殼,私自拆換零配件,不得安裝非正版軟件。
第十六條 使用人在上班時間不得利用計算機從事與工作無關的活動。
第十七條 使用人不得將計算機交由非機關工作人員或非機關指定的專業(yè)維護人員操作使用。
第十八條 計算機統(tǒng)一安裝防病毒軟件,使用人不得擅自停止運行或卸載防病毒軟件。
第十九條 使用人禁止使用計算機制造任何形式的惡意代碼。
第二十條 使用人必須定期進行業(yè)務數(shù)據(jù)備份。在計算機數(shù)據(jù)備份前,必須對存放備份數(shù)據(jù)的物理介質(zhì)進行計算機病毒檢查,確保無病毒后,方可使用。
第二十一條 使用人攜帶計算機外出使用網(wǎng)絡時,應確保接入安全的網(wǎng)絡。
第四章 機關辦公網(wǎng)絡
第二十二條 本規(guī)定所稱的“機關辦公網(wǎng)絡”是指社中央機關辦公使用的有線局域網(wǎng)絡和無線局域網(wǎng)絡。
第二十三條 機關辦公網(wǎng)絡為非涉密網(wǎng)絡。不得將涉密計算機及設備和未安裝殺毒軟件的個人計算機接入機關辦公網(wǎng)絡,不得在機關辦公網(wǎng)絡處理和存儲涉密信息。
第二十四條 接入機關辦公網(wǎng)絡的計算機不得通過其它方式另行接入互聯(lián)網(wǎng)。
第二十五條 計算機接入機關有線局域網(wǎng)絡時,使用統(tǒng)一分配的局域網(wǎng)靜態(tài)IP地址,靜態(tài)IP地址與計算機MAC地址綁定。
第二十六條 機關無線網(wǎng)絡覆蓋區(qū)域為機關辦公樓辦公區(qū)域。設置“93wifi”和“93wifi-guest”兩個SSID無線網(wǎng)絡。
第二十七條 機關工作人員的無線設備,可通過統(tǒng)一設置的無線網(wǎng)絡賬號接入“93wifi”。機關工作人員應妥善保管用戶名和密碼等個人信息,不得將用戶名和密碼轉(zhuǎn)給他人,因個人密碼泄漏導致的相關安全問題和責任,由用戶自行承擔。
機關訪客的無線設備可接入“93wifi-guest”,由機關受訪人員掃描二維碼進行審批,網(wǎng)絡安全責任由審批人負責。
第二十八條 任何用戶不得擅自修改接入機關辦公網(wǎng)絡計算機的連接關系、運行狀態(tài)和系統(tǒng)網(wǎng)絡配置。
第二十九條 不得在機關辦公網(wǎng)絡擅自架設網(wǎng)絡設備,不得在連接機關辦公網(wǎng)絡的計算機上設置無線熱點。對因擅自安裝個人設備造成網(wǎng)絡安全事故的,依法追究當事人的責任。
第五章 信息系統(tǒng)建設與管理
第三十條 本規(guī)定所稱的“信息系統(tǒng)”是指社中央根據(jù)業(yè)務、管理等需要而購置、研發(fā)和部署的非涉密信息系統(tǒng)。涉密信息系統(tǒng)的管理使用,按照《九三學社中央機關保密工作規(guī)定》執(zhí)行。
第三十一條 宣傳部為業(yè)務主管部門,負責主管社中央機關信息系統(tǒng)建設、運維、監(jiān)管,負責信息系統(tǒng)的規(guī)劃、建設、運行維護和技術支持。機關各部門為應用主管部門,負責分管相關信息系統(tǒng)的應用,負責信息系統(tǒng)的需求提出與完善、培訓和應用管理。
第一節(jié) 信息系統(tǒng)建設
第三十二條 機關各部門根據(jù)業(yè)務需要提出信息系統(tǒng)建設需求,宣傳部對建設需求進行匯總、初審,報網(wǎng)信領導小組批準。
第三十三條 宣傳部與需求提出部門共同成立項目工作組,負責確定信息系統(tǒng)項目建設的內(nèi)容、范圍、技術參數(shù)和實施周期,編寫需求說明,編制招標文件,組織招投標活動,確定項目實施單位,對信息系統(tǒng)進行網(wǎng)絡安全等級保護定級和備案工作。
第三十四條 項目實施單位須向項目工作組提交系統(tǒng)建設方案和實施方案及保密協(xié)議,實施方案包括:實施計劃、人員職責、崗位職責、行為準則、進度控制、責任和權利等條款。
第三十五條 明確項目實施單位的數(shù)據(jù)安全責任,建立數(shù)據(jù)安全事前審核、事中留痕、事后追溯機制,確保安全事件可定責,可追溯。
第三十六條 對于數(shù)據(jù)安全保護程度高的項目,應委托有關方面,對參與項目建設的關鍵數(shù)據(jù)崗位人員開展必要的安全背景審查。
第三十七條 信息系統(tǒng)中的軟件開發(fā)項目須遵照軟件開發(fā)管理規(guī)范進行開發(fā)。信息數(shù)據(jù)必須符合國家電子政務相關技術標準。所開發(fā)的軟件產(chǎn)權歸社中央所有。
第三十八條 定制開發(fā)或版本升級及需要大量培訓的信息系統(tǒng)須部署測試環(huán)境。系統(tǒng)開發(fā)調(diào)試、用戶使用培訓等在測試環(huán)境中進行。
第三十九條 信息系統(tǒng)安裝部署完成后,項目實施單位應在驗收前進行功能、性能和安全測試,出具檢測報告。信息系統(tǒng)須通過網(wǎng)絡安全等級保護測評后,方可進入試運行期。
第四十條 項目實施完畢,應按照合同要求進行驗收。項目工作組應對信息系統(tǒng)的部署實施、性能、安全性和功能及應用情況進行確認。
第四十一條 信息系統(tǒng)全部實施文檔、技術資料、源程序交付宣傳部歸檔,使用手冊等文檔交付應用主管部門。項目工作組成員和項目實施單位成員不得泄露信息系統(tǒng)的技術資料、源程序和加密措施等。
第二節(jié) 信息系統(tǒng)應用
第四十二條 信息系統(tǒng)應用主管部門應指定專人擔任信息系統(tǒng)業(yè)務管理員,負責管理信息系統(tǒng)業(yè)務應用、推廣及用戶操作指導;信息系統(tǒng)使用部門和單位應指定專人擔任信息系統(tǒng)操作人員,負責管理、開展相關業(yè)務工作。
第四十三條 應用主管部門應積極引導和促進信息系統(tǒng)的使用。應用主管部門須在系統(tǒng)上線運行3個月內(nèi),組織各級管理員和普通操作人員進行使用培訓。
第四十四條 應用主管部門應根據(jù)業(yè)務需要和信息系統(tǒng)的實際情況,及時提出修改和完善業(yè)務工作流程需求。
第四十五條 業(yè)務管理員和操作人員應熟練掌握信息系統(tǒng)的使用方法,根據(jù)業(yè)務要求及時處理相關業(yè)務信息數(shù)據(jù),并根據(jù)情況及時更新業(yè)務數(shù)據(jù)信息。
第四十六條 信息系統(tǒng)用戶采用實名制管理。信息系統(tǒng)帳號為各操作節(jié)點人員認證的唯一憑證。帳號擁有者應重視帳號安全,不得轉(zhuǎn)借他人。信息系統(tǒng)中任何登錄帳號所進行的操作,均視為帳號擁有者本人操作,出現(xiàn)的任何責任由帳號擁有者承擔。業(yè)務管理員應及時變更離職或調(diào)職人員的信息系統(tǒng)管理使用權限。
第四十七條 用戶密碼更換周期不得超過6個月,不得使用弱口令。原則上用戶初始密碼不能用于業(yè)務實現(xiàn)。
第四十八條 未經(jīng)授權,任何人不得通過打印、拷貝、截屏等方式泄露各信息系統(tǒng)中的信息數(shù)據(jù)等給非授權人員。
第四十九條 因工作人員個人原因?qū)е滦畔⑾到y(tǒng)信息泄露等安全事故并造成重大損失的,按照國家有關法律法規(guī)處理。
第三節(jié) 信息系統(tǒng)運維
第五十條 信息系統(tǒng)運維工作包含基礎環(huán)境、安全性、可用性、功能性管理保障和數(shù)據(jù)運維等。
第五十一條 信息系統(tǒng)基礎環(huán)境運維:
(一)服務器管理、虛擬機管理、應用服務器須建立安裝、配置、安全掃描、升級、補丁修復、日志記錄與歸檔、異常檢測等操作規(guī)程。
(二)承載重要應用的操作系統(tǒng),須建立密碼定期更換機制。
(三)承載重要應用的系統(tǒng)環(huán)境,須根據(jù)實際情況建立定期巡檢、掃描、分析機制。
第五十二條 信息系統(tǒng)安全性運維:
(一)應定期對信息系統(tǒng)進行安全掃描,對潛在的系統(tǒng)漏洞與安全漏洞進行定期檢測。
(二)應定期對信息系統(tǒng)的賬戶、密碼、權限進行統(tǒng)計清理;重要系統(tǒng)的賬戶登錄、權限分配應進行行為審計。
(三)具有內(nèi)容交互式功能的信息系統(tǒng),應建立敏感關鍵字監(jiān)測機制,并定期對關鍵字進行更新維護。
(四)定制開發(fā)系統(tǒng)及采購的成品系統(tǒng)存在安全隱患的,應及時向宣傳部負責人匯報和系統(tǒng)業(yè)務主管部門反饋。
第五十三條 信息系統(tǒng)可用性運維:
(一)因網(wǎng)絡原因?qū)е滦畔⑾到y(tǒng)不可用時,由運維管理員及時排查處理網(wǎng)絡故障。
(二)因服務器或網(wǎng)絡硬件故障等原因?qū)е滦畔⑾到y(tǒng)不可用時,由運維管理員及時重啟或更換備件。
(三)因操作系統(tǒng)、應用軟件故障導致信息系統(tǒng)不可用時,由應用主管部門管理員協(xié)調(diào)項目技術支持單位進行處理。
第五十四條 信息系統(tǒng)功能性運維:
(一)因為業(yè)務變動,需要對信息系統(tǒng)的流程進行調(diào)整、新增或變更功能模塊、進行結(jié)構性改動的,由應用主管部門提出版本升級需求,按照信息系統(tǒng)建設處理。
(二)信息系統(tǒng)功能模塊出現(xiàn)缺陷需要修復或存在安全性隱患需要調(diào)整,且不存在結(jié)構性改動的,由項目工作組協(xié)調(diào)項目實施單位按照合同約定進行功能性維護。
(三)賬戶、權限調(diào)整的功能性維護,由信息系統(tǒng)業(yè)務主管部門負責。
第五十五條 信息系統(tǒng)數(shù)據(jù)運維:
(一)數(shù)據(jù)管理權不得向企業(yè)轉(zhuǎn)讓。信息系統(tǒng)維護單位要履行數(shù)據(jù)安全保護義務,不得擅自留存、使用、泄露或向他人提供數(shù)據(jù),不得商用,不得擅自向境外提供。
(二)數(shù)據(jù)中敏感個人信息要進行脫敏處理和加密保護。
(三)網(wǎng)絡安全等級保護等級定級為第三級的信息系統(tǒng)至少每日執(zhí)行一次全備,備份保留期不得低于7天。
(四)網(wǎng)絡安全等級保護等級定級為第二級的信息系統(tǒng)至少每周執(zhí)行一次全備,每日執(zhí)行一次差異備份或者增量備份,備份保留期不得低于30天。
(五)網(wǎng)絡安全等級保護等級定級為第二級以下的信息系統(tǒng)至少每月執(zhí)行一次全備,每周執(zhí)行一次差異備份或者增量備份,備份保留期不得低于60天。
(六)備份數(shù)據(jù)一般應做異機備份,重要數(shù)據(jù)要做異地備份。
(七)備份數(shù)據(jù)使用應按照信息系統(tǒng)數(shù)據(jù)恢復規(guī)程操作。
第六章 應急處理
第五十六條 當社中央機關網(wǎng)絡和信息系統(tǒng)遭受不可預知的外力破壞、毀損或故障,造成系統(tǒng)中斷、設備損壞、數(shù)據(jù)丟失等,以及發(fā)生對工作造成嚴重危害的網(wǎng)絡與信息安全事件,宣傳部應啟動應急預案處置。
第一節(jié) 安全事件分級
第五十七條 重大網(wǎng)絡與信息安全事件。指社中央業(yè)務數(shù)據(jù)信息丟失或泄露,或者網(wǎng)站首頁被篡改出現(xiàn)有害信息及鏈接,或者信息系統(tǒng)業(yè)務中斷一天以上的信息安全事件。
第五十八條 較大網(wǎng)絡與信息安全事件。指非業(yè)務數(shù)據(jù)信息丟失或泄露,或者網(wǎng)站內(nèi)頁被篡改出現(xiàn)有害信息及鏈接,或者信息系統(tǒng)業(yè)務中斷一天以內(nèi)兩個小時以上的信息安全事件。
第五十九條 一般網(wǎng)絡與信息安全事件。指信息系統(tǒng)業(yè)務中斷兩個小時以內(nèi)的信息安全事件。
第二節(jié) 應急處置
第六十條 堅持預防為主的原則,加強網(wǎng)絡與信息安全監(jiān)測,及時收集、分析、研判監(jiān)測信息,發(fā)現(xiàn)網(wǎng)絡與信息安全事件傾向或苗頭,迅速采取有效措施加以防范,及早消除安全隱患。
第六十一條 當重大網(wǎng)絡與信息安全事件和較大網(wǎng)絡與信息安全事件發(fā)生或?qū)⒁l(fā)生時,經(jīng)網(wǎng)信領導小組批準,啟動網(wǎng)絡與信息安全應急處置預案。
第六十二條 當發(fā)生網(wǎng)絡與信息安全事件時,應當區(qū)分事件性質(zhì)為自然災害事件或人為破壞事件,分別采用不同處置流程。
第六十三條 應根據(jù)發(fā)生的網(wǎng)絡與信息安全事件嚴重程度采取相應的具體處置辦法。對有害信息應及時屏蔽刪除,對黑客和病毒入侵應及時隔離,對軟件系統(tǒng)故障及時處理修復,對硬件故障應及時更換,對物理環(huán)境破壞應及時保修等。
第三節(jié) 善后處理
第六十四條 應急處置工作結(jié)束后,要迅速組織搶修受損設施,減少損失,盡快恢復正常工作。
第六十五條 對事件造成的損失和影響進行分析評估;調(diào)查事故原因,制定恢復重建計劃并組織實施。
第六十六條 消除有害信息,防止進一步傳播,將事件的影響降到最低。
第六十七條 在處置有害信息的過程中,任何部門和個人不得保留、貯存、散布、傳播所發(fā)現(xiàn)的有害信息。
第四節(jié) 應急保障
第六十八條 宣傳部應制定并實施相應培訓和演練計劃,提高應對網(wǎng)絡與信息安全事件的能力。
第六十九條 根據(jù)應急保障工作需要,應及時采購應急處置工作必需的設備或工具軟件。
第七十條 加強應急處置工具及設備維護調(diào)試,保證其隨時處于可用狀態(tài)。
第七十一條 重要信息系統(tǒng)應當建立備份系統(tǒng)和相關工作機制,保證重要數(shù)據(jù)受到破壞后可緊急恢復。
第七章 軟件正版化
第七十二條 本規(guī)定所指的軟件是指操作系統(tǒng)、辦公軟件、殺毒軟件和其他具有專業(yè)用途的軟件。
第七十三條 宣傳部根據(jù)各部門需求制定年度正版軟件的采購計劃,并將軟件采購經(jīng)費納入年度預算,確保軟件正版化工作資金到位、措施到位、管理到位。
第七十四條 宣傳部負責正版軟件的安裝、使用、保管、升級、版權保護及軟件的日常臺賬備案,負責監(jiān)督檢查軟件正版化工作的開展與執(zhí)行情況。
第七十五條 計算機使用人不得擅自更改操作系統(tǒng)、辦公軟件、殺毒軟件及有關專用軟件。
第七十六條 因使用非正版軟件而引起糾紛或訴訟,損害國家機關形象,造成不良影響,致使單位承擔法律責任的,按“誰使用誰負責”原則,追究相關人員的責任。
第七十七條 宣傳部按年度對辦公計算機進行檢查,對非統(tǒng)一安裝的操作系統(tǒng)、辦公軟件、殺毒軟件和專用軟件進行更換。
第八章 附則
第七十八條 本規(guī)定自社中央主席辦公會議通過之日起施行。