序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全整改報(bào)告樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)���,請(qǐng)盡情閱讀。
第1篇
根據(jù)《網(wǎng)絡(luò)安全法》中維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的保密性的相關(guān)要求,我院結(jié)合實(shí)際情況���,組織開(kāi)展了自查。現(xiàn)將有關(guān)自查匯報(bào)如下:
我院領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全工作一直十分重視�,積極落實(shí)上級(jí)部門(mén)關(guān)于網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定,各方配合采取多種措施防范危害網(wǎng)絡(luò)安全的事件發(fā)生��,總體上看還是有成效的����。
一���、網(wǎng)絡(luò)安全管理措施
我院及14個(gè)村衛(wèi)生室的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)(外網(wǎng))與衛(wèi)生專網(wǎng)(內(nèi)網(wǎng)),外網(wǎng)與內(nèi)網(wǎng)兩網(wǎng)實(shí)行分離制度��,固定IP地址���、設(shè)置防火墻��,不能私自添加新IP,未經(jīng)允許分配IP做到專網(wǎng)專用�,確保兩網(wǎng)獨(dú)立��、安全�。
網(wǎng)絡(luò)主機(jī)專室存放���,專人維護(hù)�����,定期檢查�。內(nèi)網(wǎng)電腦主機(jī)禁止任何外接硬件���,禁止任何不明程序并配備有正規(guī)的防護(hù)程序��。
內(nèi)網(wǎng)主要運(yùn)行的his系統(tǒng)和藍(lán)星系統(tǒng)操作人員都經(jīng)過(guò)操作培訓(xùn)���,能夠較好的避免操作失誤帶來(lái)的相關(guān)風(fēng)險(xiǎn)���。
二、自查存在的不足及整改意見(jiàn)
我們?cè)诠芾磉^(guò)程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)�,今后我們還要在以下幾個(gè)方面進(jìn)行改進(jìn)。
1���、對(duì)于線路不整齊�、暴露的��、立即對(duì)線路進(jìn)行整改����。
2、加強(qiáng)設(shè)備維護(hù)���,及時(shí)更換和維護(hù)好設(shè)備�。
3��、自查中發(fā)現(xiàn)個(gè)別人計(jì)算機(jī)安全意識(shí)不強(qiáng)。
在以后的工作中����,我們將加強(qiáng)計(jì)算機(jī)安全意識(shí)和防范知識(shí)培訓(xùn),讓職工充分意識(shí)到網(wǎng)絡(luò)安全的重要性����。人防與技防結(jié)合,確保單位信息安全和網(wǎng)絡(luò)安全���。
第2篇
【 關(guān)鍵詞 】 中小商業(yè)銀行����;等級(jí)保護(hù)���;信息科技風(fēng)險(xiǎn)管理���;信息安全體系框架
1 中小銀行等級(jí)保護(hù)咨詢服務(wù)的背景
隨著信息技術(shù)的不斷進(jìn)步與發(fā)展,信息系統(tǒng)的安全建設(shè)顯得尤為重要����。2012年6月29日人民銀行下發(fā)了“銀發(fā)【2012】163號(hào)”文件���,為進(jìn)一步落實(shí)《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕 43號(hào)文印發(fā))��,加強(qiáng)對(duì)銀行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)�,結(jié)合近年來(lái)銀行業(yè)信息安全等級(jí)保護(hù)工作開(kāi)展情況,人民銀行給出了銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)的指導(dǎo)意見(jiàn)���,至此���,正式的拉開(kāi)了中小商業(yè)銀行等級(jí)保護(hù)建設(shè)和整改工作的序幕。
2 等級(jí)保護(hù)咨詢服務(wù)的項(xiàng)目目標(biāo)
國(guó)內(nèi)中小銀行在信息安全的發(fā)展程度��,大部分處于自我認(rèn)知的階段��,一邊忙于業(yè)務(wù)發(fā)展的保障需要����,一邊又要應(yīng)對(duì)上級(jí)監(jiān)管部門(mén)的監(jiān)督檢查,對(duì)于安全建設(shè)來(lái)說(shuō)�,大部分沒(méi)有納入到戰(zhàn)略的層面來(lái)考慮。因此�����,借助于等級(jí)保護(hù)咨詢服務(wù)來(lái)建立的這樣一套信息安全體系���,必須同時(shí)滿足公安部等級(jí)保護(hù)基本要求�����、人民銀行等級(jí)保護(hù)的測(cè)評(píng)要求和銀監(jiān)會(huì)關(guān)于IT風(fēng)險(xiǎn)管理的要求�。這些目標(biāo)相輔相承,互為補(bǔ)充�。只有將通用的要求、標(biāo)準(zhǔn)�����、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面���,建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的信息安全體系����,才能達(dá)到有效管理風(fēng)險(xiǎn)����、進(jìn)行IT治理的目的,并最終通過(guò)等級(jí)測(cè)評(píng)�。
3 等級(jí)保護(hù)咨詢服務(wù)的總體思路
中小銀行在咨詢服務(wù)項(xiàng)目需要主動(dòng)地全面的考量自身情況,綜合分析人民銀行��、銀監(jiān)會(huì)和等級(jí)保護(hù)的要求�����,在現(xiàn)有的安全工作基礎(chǔ)之上���,建立統(tǒng)一的信息安全體系��,同時(shí)滿足這些主要的監(jiān)管要求�����。這樣面臨檢查時(shí)��,只要客觀反映出當(dāng)前狀態(tài)就可以����,有效降低臨時(shí)的材料組織工作�����。
同時(shí)滿足三方面監(jiān)管要求的信息安全體系��,這個(gè)信息安全體系將以公安部的等級(jí)保護(hù)《基本要求》����、人民銀行的《等保測(cè)評(píng)指南》和銀監(jiān)會(huì)《管理指引》為主要依據(jù)來(lái)搭建起框架���,以各專項(xiàng)監(jiān)管指引為各個(gè)領(lǐng)域的具體工作指導(dǎo),以ISO27000為代表的國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)為補(bǔ)充��。
4 等級(jí)保護(hù)咨詢服務(wù)的內(nèi)容
等級(jí)保護(hù)的咨詢服務(wù)具體實(shí)施過(guò)程可參考公安部下發(fā)的《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》���,“指南”中將等級(jí)保護(hù)工作分為了定級(jí)備案�����、規(guī)劃設(shè)計(jì)���、建設(shè)整改和等級(jí)測(cè)評(píng)四大過(guò)程。
4.1 系統(tǒng)定級(jí)
系統(tǒng)定級(jí)階段需要完成的工作���。
1) 等級(jí)保護(hù)的導(dǎo)入培訓(xùn):在進(jìn)行咨詢服務(wù)之前����,需要對(duì)銀行相關(guān)科室信息人員進(jìn)行等級(jí)保護(hù)的內(nèi)容培訓(xùn)���。只要講清楚等保是什么��,需要各級(jí)人員配合的工作點(diǎn)是什么就可以了��。
2) 系統(tǒng)業(yè)務(wù)安全域劃分:這個(gè)階段需要進(jìn)行信息搜集和資產(chǎn)調(diào)研����。明確業(yè)務(wù)系統(tǒng)的范圍��、邊界����、功能、以及重要性等���。
3) 編寫(xiě)系統(tǒng)定級(jí)報(bào)告和備案表:定級(jí)報(bào)告和備案表都是按照公安部等保辦公室的通用模版來(lái)編寫(xiě)的��,內(nèi)容包含了系統(tǒng)功能描述����、網(wǎng)絡(luò)拓?fù)?�、定?jí)的理由和依據(jù)等��。
4) 召開(kāi)專家評(píng)審會(huì)���、獲得備案證明:召開(kāi)專家評(píng)審會(huì)并獲得備案證明可視為一個(gè)里程碑式的階段性成果���,因?yàn)槎?jí)和備案是等級(jí)保護(hù)工作開(kāi)展的前提�,如果級(jí)別定錯(cuò)了�,或者專家有不同的評(píng)審意見(jiàn),則后續(xù)的設(shè)計(jì)方案����、整改方案均無(wú)法執(zhí)行。同時(shí)��,對(duì)于銀行信息科技部門(mén)的領(lǐng)導(dǎo)而言�����,服務(wù)工作做的怎么樣無(wú)法量化��,但是備案證書(shū)是看的見(jiàn)��,摸的著的���,如果能在評(píng)審會(huì)現(xiàn)場(chǎng)當(dāng)場(chǎng)頒發(fā)����,則意義更加重大。
4.2 規(guī)劃與設(shè)計(jì)
規(guī)劃與設(shè)計(jì)階段的主要工作就是進(jìn)行等級(jí)差距分析和風(fēng)險(xiǎn)評(píng)估��。
1) 技術(shù)層面可直接參考人民銀行關(guān)于金融行業(yè)的“測(cè)評(píng)指南”來(lái)完成��,可操作性較強(qiáng)�。可分物理��、網(wǎng)絡(luò)����、主機(jī)���、應(yīng)用�����、數(shù)據(jù)五個(gè)層面進(jìn)行差距評(píng)估�����,同時(shí)對(duì)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)協(xié)議進(jìn)行簡(jiǎn)單的分析�,通過(guò)漏洞掃描設(shè)備��、配置核查設(shè)備、滲透工具等進(jìn)行風(fēng)險(xiǎn)分析���,輸出風(fēng)險(xiǎn)評(píng)估報(bào)告和技術(shù)層面的差距評(píng)估報(bào)告��。
2) 管理層面上�����,等保的管理要求相對(duì)薄弱��,集中體現(xiàn)在運(yùn)維管理等方面�����,如果要達(dá)到人民銀行和銀監(jiān)會(huì)的標(biāo)準(zhǔn)�,還有很多需要加強(qiáng)和補(bǔ)充的地方���,可以對(duì)現(xiàn)有的制度文檔進(jìn)行一個(gè)簡(jiǎn)單的梳理��,用最短的時(shí)間完成等保的管理制度調(diào)研�����。
4.3 實(shí)施與整改
實(shí)施與整改階段需要按照規(guī)劃階段的設(shè)計(jì)方案進(jìn)行實(shí)施�����,以滿足等級(jí)保護(hù)安全體系的建設(shè)要求���。
1) 組織體系整改:安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組����、具體信息安全職能部門(mén)負(fù)責(zé)日常工作的組織模式?�?蓞⒖家殉闪⒌摹兜缺nI(lǐng)導(dǎo)小組》設(shè)立模式,但應(yīng)具體到管理員崗位��。
2) 管理體系整改:按照等級(jí)保護(hù)的要求補(bǔ)充或重新制定管理制度,根據(jù)咨詢方提供的制度模版�����,銀行可根據(jù)自身的實(shí)際業(yè)務(wù)需求進(jìn)行修改,并經(jīng)內(nèi)部討論修訂后����,下文試運(yùn)行����。
3) 技術(shù)體系整改:技術(shù)體系整改應(yīng)從三個(gè)層面進(jìn)行考慮��。
制定技術(shù)規(guī)范:包括windows��、AIX���、Informix��、tuxedo、cisco等主流設(shè)備的安全配置規(guī)范�;可考慮聘請(qǐng)專業(yè)安全公司進(jìn)行咨詢服務(wù)���,制定適合銀行長(zhǎng)期發(fā)展的安全策略和技術(shù)安全規(guī)范�����。
安全配置加固:根據(jù)已制定的技術(shù)規(guī)范進(jìn)行主機(jī)���、服務(wù)器����、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備的全面的安全加固。
安全設(shè)備采購(gòu):在安全技術(shù)體系的具體實(shí)現(xiàn)過(guò)程中,需要落實(shí)安全技術(shù)詳細(xì)設(shè)計(jì)方案中的具體技術(shù)要求���,將先進(jìn)的信息安全技術(shù)落實(shí)到具體安全產(chǎn)品中���,形成合理�、有效�����、可靠的安全防護(hù)體系。
4.4 等級(jí)測(cè)評(píng)
根據(jù)人民銀行的《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》選擇具有資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng),一般當(dāng)?shù)毓矙C(jī)關(guān)會(huì)指定2-3家評(píng)估中心進(jìn)行等級(jí)測(cè)評(píng)�����,如果銀行自行聯(lián)系省外的測(cè)評(píng)機(jī)構(gòu)����,可能需要事先跟當(dāng)?shù)厥」矎d取得聯(lián)系�����,確保該測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)報(bào)告在本省是受到認(rèn)可的�����。
實(shí)際上做了咨詢服務(wù)之后�,等級(jí)測(cè)評(píng)的工作就變的非常簡(jiǎn)單,因?yàn)樽稍兎綍?huì)在規(guī)劃與設(shè)計(jì)階段就會(huì)與測(cè)評(píng)中心取得聯(lián)系�����,確保其設(shè)計(jì)方案和整改實(shí)施方案得到專家和測(cè)評(píng)中心的認(rèn)可���,保障其順利實(shí)施。所以在等級(jí)測(cè)評(píng)的時(shí)候�,測(cè)評(píng)師從進(jìn)場(chǎng)到出具評(píng)測(cè)報(bào)告大概只需一周左右的時(shí)間���。
5 結(jié)束語(yǔ)
關(guān)于金融業(yè)等級(jí)保護(hù)的建設(shè)工作�,是今后兩年的一個(gè)重點(diǎn)工作���,尤其是中小銀行可借助合規(guī)要求,由信息科技部門(mén)立項(xiàng),向行內(nèi)申請(qǐng)更多的資源來(lái)完善自身的安全體系建設(shè)工作�����。
參考文獻(xiàn)
[1] 武冬立.銀行業(yè)安全防范建設(shè)指南.長(zhǎng)安出版社��,2008-11-1.
[2]李宗怡. 中國(guó)銀行安全網(wǎng)構(gòu)建基礎(chǔ)研究.經(jīng)濟(jì)管理出版社��,2006-6-1.
[3] 劉志友.商業(yè)銀行安全問(wèn)題研究.中國(guó)金融出版社����, 2010-3-1.
[4] 曹子建���,趙宇峰���,容曉峰.網(wǎng)絡(luò)入侵檢測(cè)與防火墻聯(lián)動(dòng)平臺(tái)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2012�����,(09):12-14.
[5] 傅慧.動(dòng)態(tài)包過(guò)濾防火墻規(guī)則優(yōu)化研究[J].信息網(wǎng)絡(luò)安全����,2012,(12):12-14.
第3篇
第一章
總
則
第一條
為明確網(wǎng)絡(luò)安全事故責(zé)任主體(以下簡(jiǎn)稱“責(zé)任主體”)�,追究網(wǎng)絡(luò)安全事故的責(zé)任,結(jié)合醫(yī)院實(shí)際情況��,制定本制度���。責(zé)任主體的范圍包括科室或個(gè)人等�����。
第二條
負(fù)責(zé)追究責(zé)任主體事故責(zé)任的單位或個(gè)人統(tǒng)稱為責(zé)任追究主體��,主要為衛(wèi)計(jì)部門(mén)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和蒲窩鎮(zhèn)衛(wèi)生院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組�。
第三條
本制度適用于蒲窩鎮(zhèn)衛(wèi)生院所有科室,各科室根據(jù)本制度落實(shí)具體網(wǎng)絡(luò)安全工作�����。
第四條
網(wǎng)絡(luò)安全事故責(zé)任認(rèn)定實(shí)行“誰(shuí)主管誰(shuí)負(fù)責(zé)����、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則。
第五條
發(fā)生網(wǎng)絡(luò)安全事故后���,應(yīng)根據(jù)安全事件造成的影響及相關(guān)責(zé)任主體的態(tài)度���,作出如下處理:
(一)
批評(píng)教育。包括責(zé)令責(zé)任主體檢查��、誡勉談話等���;
(二)
書(shū)面檢查���。責(zé)令責(zé)任主體向主管領(lǐng)導(dǎo)作出書(shū)面檢查;
(三)
通報(bào)批評(píng)��。在衛(wèi)健系統(tǒng)范圍內(nèi)對(duì)責(zé)任主體發(fā)文通報(bào)�,責(zé)令整改;
(四)
一般處理。降低或扣除責(zé)任主體的月薪補(bǔ)貼��,將事故寫(xiě)入月度或年度考核中���;
(五)
嚴(yán)肅處理。追究網(wǎng)絡(luò)安全事故發(fā)生負(fù)有領(lǐng)導(dǎo)責(zé)任的負(fù)責(zé)人的管理責(zé)任�,發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事故的,對(duì)相關(guān)責(zé)任人處以罰款��、責(zé)令其賠償事故損失���、通報(bào)批評(píng)���、降職處理、直至開(kāi)除���。
(六)
報(bào)警處理���。嚴(yán)重?fù)p壞社會(huì)或國(guó)家利益的,上報(bào)當(dāng)?shù)毓膊块T(mén)處理�����。
第六條
責(zé)任追究應(yīng)當(dāng)堅(jiān)持公平公正、有責(zé)必究�、過(guò)罰相當(dāng)、教育與懲戒相結(jié)合的原則����。
第二章
責(zé)任追究范圍和適用
第七條
責(zé)任主體有下列行為之一者,應(yīng)對(duì)其進(jìn)行批評(píng)教育或責(zé)令作出書(shū)面檢查:
(一)
發(fā)生一般或較大安全事件��,未按要求上報(bào)的���;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范�����,且未導(dǎo)致安全事件發(fā)生的��;
(三)
發(fā)生重大安全事件后��,對(duì)調(diào)查工作配合不力的���。
第八條
責(zé)任主體有下列行為之一者,應(yīng)當(dāng)責(zé)令其作出書(shū)面檢查或通報(bào)批評(píng):
(一)
發(fā)生重大安全事件����,未按要求上報(bào)的��;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度技術(shù)規(guī)范�,導(dǎo)致一般或較大安全事件發(fā)生的��;
(三)
發(fā)生重大或特別重大安全事件�����,且發(fā)生安全事件后處理及時(shí)��,未對(duì)醫(yī)院財(cái)產(chǎn)或聲譽(yù)造成影響的��;
(四)
經(jīng)過(guò)批評(píng)教育或責(zé)令作出書(shū)面檢查后���,仍不按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范的;
(五)
發(fā)生特別重大安全事件后�����,對(duì)調(diào)查工作配合不力的�����。
第九條
責(zé)任主體有下列行為之一者��,應(yīng)當(dāng)予以通報(bào)批評(píng)或一般處理:
(一)
發(fā)生特別重大安全事件,未按要求上報(bào)的�;
(二)
發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理不及時(shí)�����,給醫(yī)院財(cái)產(chǎn)或聲譽(yù)帶來(lái)一定影響的�����;
(三)
發(fā)生特別重大安全事件后�,對(duì)調(diào)查工作不配合的。
第十條
責(zé)任主體有下列行為之一者�����,應(yīng)當(dāng)予嚴(yán)肅處理��,情況十分嚴(yán)重者應(yīng)報(bào)警處理:
(一)
發(fā)生重大或特別重大安全事件造成后果嚴(yán)重并刻意隱瞞或謊報(bào)�,造成惡劣影響的;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范導(dǎo)致發(fā)生重大或特別重大安全事件�����,且發(fā)生安全事件后處理不及時(shí)��,給醫(yī)院財(cái)產(chǎn)或聲譽(yù)帶來(lái)惡劣影響的;
(三)
發(fā)生安全事件后銷毀證據(jù)���、弄虛作假的��。
第十一條
對(duì)應(yīng)追究責(zé)任主體責(zé)任而敷衍結(jié)案����、弄虛作假的����,應(yīng)當(dāng)對(duì)責(zé)任追究主體通報(bào)批評(píng)。
第十二條
有下列情形之一者�����,不追究責(zé)任主體的責(zé)任:
(一)
因不可抗力導(dǎo)致發(fā)生的網(wǎng)絡(luò)安全事故�����;
(二)
有充分證據(jù)證明完全落實(shí)了相關(guān)安全要求���,由未知原因?qū)е戮W(wǎng)絡(luò)安全事故發(fā)生的。
第十三條
責(zé)任主體主動(dòng)承認(rèn)過(guò)錯(cuò)并及時(shí)修補(bǔ)管理或技術(shù)漏洞���,減少損失���、挽回影響���,態(tài)度非常好的,應(yīng)當(dāng)予以從輕或減輕責(zé)任追究��。
第三章
責(zé)任追究程序和實(shí)施
第十四條
責(zé)任追究過(guò)程采用層層負(fù)責(zé)制���,下級(jí)責(zé)任追究主體對(duì)上級(jí)責(zé)任追究主體負(fù)責(zé)��。
第十五條
責(zé)任追究程序包括調(diào)查�、對(duì)調(diào)查報(bào)告審核��、作出責(zé)任追究決定等�����。
第十六條
對(duì)網(wǎng)絡(luò)安全事故的調(diào)查和對(duì)事故責(zé)任的初步定性由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組及醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)���,并對(duì)調(diào)查報(bào)告進(jìn)行審核����。
第十七條
調(diào)查報(bào)告的審核重點(diǎn):
(一)
事故的事實(shí)是否清楚;
(二)
證據(jù)是否確實(shí)�����、充分���;
(三)
性質(zhì)認(rèn)定是否準(zhǔn)確�����;
(四)
責(zé)任劃分是否明確��。
第十八條
責(zé)任追究決定:
(一)
對(duì)責(zé)任主體作出批評(píng)教育��、責(zé)令作出書(shū)面檢查���、通報(bào)批評(píng)時(shí)��,由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組直接決定�����。
(二)
對(duì)責(zé)任主體作出一般處理�、嚴(yán)肅處理時(shí)���,由責(zé)任主體所在科室或上級(jí)部門(mén)網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組安全辦公室、人事����、主管部門(mén)共同作出決定,并報(bào)網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組審批通過(guò)后執(zhí)行�����。
第十九條
對(duì)責(zé)任主體的追究決定由人事����、財(cái)務(wù)、相對(duì)應(yīng)的主管部門(mén)���、網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室等職能部門(mén)分別負(fù)責(zé)實(shí)施��。
第四章
附
則
第二十條
本制度解釋權(quán)歸屬蒲窩鎮(zhèn)衛(wèi)生院醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室����。
第二十一條
本制度自之日起執(zhí)行���。
第4篇
當(dāng)前����,隨著生產(chǎn)智能化程度的不斷提高���,工業(yè)設(shè)備的深度互聯(lián)和信息基礎(chǔ)設(shè)施的廣泛應(yīng)用��,對(duì)信息安全提出了更高層的要求��,云計(jì)算�、移動(dòng)互聯(lián)、大數(shù)據(jù)����、工業(yè)控制和物聯(lián)網(wǎng)等新技術(shù)也為工業(yè)領(lǐng)域帶來(lái)了新的安全風(fēng)險(xiǎn)。從2010年到2015年期間��,一系列的安全事件陸續(xù)發(fā)生���,2010年震驚世界的Stuxnet病毒爆發(fā)��、2011年的“Duqu”病毒�����、2012年的Flame火焰病毒�����、2014年蜻蜓組織利用havex惡意程序?qū)W美地區(qū)千余家能源企業(yè)所進(jìn)行的攻擊���,以及2015年末的烏克蘭變電站被攻擊事件,都是典型的影響深遠(yuǎn)���、波及廣泛�、造成經(jīng)濟(jì)損失慘重和社會(huì)危害性極高的工控安全事件��。
據(jù)美國(guó)國(guó)家網(wǎng)絡(luò)安全和通信綜合中心(NCCIC)統(tǒng)計(jì)��,近5年來(lái)��,公開(kāi)安全漏洞數(shù)達(dá)1300多個(gè)���,其中2015年安全漏洞就有486個(gè)���,呈明顯增長(zhǎng)趨勢(shì)?����!?016工業(yè)控制系統(tǒng)漏洞趨勢(shì)報(bào)告》顯示,工業(yè)控制系統(tǒng)漏洞正在逐步增多�����,在2014到2015年之間存在著49%的高速增長(zhǎng)�����。
從國(guó)家相關(guān)政策頒布來(lái)看��,自從工業(yè)和信息化部451號(hào)文之后����,國(guó)內(nèi)各行各業(yè)對(duì)工控系統(tǒng)安全的認(rèn)識(shí)都達(dá)到了一個(gè)新的高度。電力��、石化���、制造和煙草等多個(gè)行業(yè)陸續(xù)制定了相應(yīng)的指導(dǎo)性文件���,來(lái)同步指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動(dòng)。由此看來(lái)�,保障工控系統(tǒng)網(wǎng)絡(luò)的安全性��,實(shí)現(xiàn)工控安全的國(guó)產(chǎn)化應(yīng)用是重中之重。
北京中科網(wǎng)威信息技術(shù)有限公司(以下簡(jiǎn)稱中科網(wǎng)威)是國(guó)內(nèi)最早從事工控安全研究的企業(yè)之一��,在自主可控工控安全方面有著專業(yè)��、深入的研究���。中科網(wǎng)威認(rèn)為���,工控網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全在工控網(wǎng)絡(luò)的延伸,指導(dǎo)工控安全建設(shè)的理念和方法論是相同的��,即所謂的“老套路”��。但工控系統(tǒng)又有別于傳統(tǒng)的信息系統(tǒng)��,具備一定的特殊性�,如資產(chǎn)變化小、資產(chǎn)訪問(wèn)關(guān)系清晰��、可靠性要求高���、通信協(xié)議安全性差等���。隨之也產(chǎn)生了一些新問(wèn)題���,傳統(tǒng)的安全防護(hù)手段是無(wú)法在工控現(xiàn)場(chǎng)環(huán)境中直接使用的,例如漏洞掃描��、攻擊測(cè)試等�。這些新的問(wèn)題只要采用新的方法和手段去解決即可,其整體的理念和方法論與傳統(tǒng)的是相同的�����。
結(jié)合我國(guó)傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展?fàn)顩r�����,中科網(wǎng)威提出了自主可控的工控安全理念�����。網(wǎng)絡(luò)安全產(chǎn)品自主化進(jìn)程經(jīng)歷了三個(gè)階段:無(wú)自主可控階段�、半自主可控階段和全自主可控階段。如今我國(guó)自主品牌的工控安全產(chǎn)品已經(jīng)完全具備了直接進(jìn)入第三階段的技術(shù)水平��,即不但軟件要自主��,處理器更要自主。
在愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)背景下����, 2013年初,中科網(wǎng)威在與申威處理器深度合作的基礎(chǔ)上���,打造了基于申威的自主可控品牌――中科神威,以中科神威的自主可控防火墻為例�����,它已經(jīng)成功替換了部分以國(guó)外x86芯片為技術(shù)核心的傳統(tǒng)防火墻�,并率先在黨政軍等行業(yè)的核心、敏感�����、要害部門(mén)有了批量應(yīng)用�����。
網(wǎng)絡(luò)安全產(chǎn)品采用自主可控的處理器�,也就意味著在信息化時(shí)代掌握了事關(guān)國(guó)家經(jīng)濟(jì)安全的重大技術(shù)話語(yǔ)權(quán)。專注網(wǎng)絡(luò)安全領(lǐng)域多年的中科網(wǎng)威���,不僅堅(jiān)信申威處理器的技術(shù)實(shí)力和發(fā)展?jié)摿?,而且敏銳地洞察到自主可控市場(chǎng)潛在的巨大發(fā)展空間,并迅速開(kāi)展了市場(chǎng)推廣工作����。
隨著自主可控網(wǎng)絡(luò)安全行業(yè)的不斷細(xì)分,用戶需要的不僅僅是單一的安全產(chǎn)品��,更是整體的解決方案與安全技術(shù)服務(wù)�����。在這個(gè)行業(yè)���,如果還是一味的銷售產(chǎn)品�����,不著眼于理念的革新�,那么企業(yè)將越做越難��,尤其是在國(guó)產(chǎn)化安全產(chǎn)品競(jìng)爭(zhēng)如此激烈的時(shí)代�����。為了推動(dòng)自主可控網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展,中科網(wǎng)威正與合作伙伴配合���,共同推出自主可控的網(wǎng)絡(luò)安全解決方案��,與合作伙伴合作共贏����,共同推動(dòng)中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展�。
中科網(wǎng)威作為網(wǎng)絡(luò)安全民營(yíng)企業(yè)��,擁有多項(xiàng)工業(yè)控制系統(tǒng)安全產(chǎn)品發(fā)明專利和核心技術(shù)�����。對(duì)于網(wǎng)絡(luò)安全行業(yè)的自主可控應(yīng)用�����,有著自己的見(jiàn)解和應(yīng)對(duì)之道��,并在業(yè)內(nèi)率先提出了“芯改變�����,更安全”的安全理念。正是憑借一系列的突破���,中科網(wǎng)威在國(guó)內(nèi)自主可控網(wǎng)絡(luò)安全領(lǐng)域中占據(jù)了領(lǐng)跑者的地位��。
第5篇
近年來(lái)��,隨著信息安全等級(jí)保護(hù)工作機(jī)制的不斷完善�����,主管部門(mén)監(jiān)督檢查力度的不斷加大��,信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的數(shù)量穩(wěn)步增長(zhǎng)�,測(cè)評(píng)覆蓋率顯著提升����。通過(guò)統(tǒng)計(jì)分析本單位近些年測(cè)評(píng)的數(shù)百個(gè)信息系統(tǒng)的數(shù)據(jù),可以得出以下結(jié)論:一是較早開(kāi)展等級(jí)測(cè)評(píng)的行業(yè)�����,經(jīng)過(guò)測(cè)評(píng)和整改建設(shè)��,測(cè)評(píng)符合率逐年提高;二是隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn),近期才開(kāi)展首次測(cè)評(píng)的行業(yè)特別是基層單位的信息安全工作基礎(chǔ)較薄弱���,測(cè)評(píng)得分明顯偏低���。通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全���、主機(jī)安全�、應(yīng)用安全����、數(shù)據(jù)安全、安全管理制度����、安全管理機(jī)構(gòu)���、人員安全管理�����、系統(tǒng)建設(shè)管理���、系統(tǒng)運(yùn)維管理等10個(gè)層面的測(cè)評(píng)結(jié)果進(jìn)行統(tǒng)計(jì)��,其中網(wǎng)絡(luò)安全�、主機(jī)安全��、應(yīng)用安全����、系統(tǒng)運(yùn)維管理等方面的不符合率相對(duì)較高,信息系統(tǒng)的建設(shè)���、使用��、運(yùn)維階段存在一些較普遍的問(wèn)題�。
信息系統(tǒng)安全保護(hù)措施落實(shí)情況分析
整體而言����,隨著等級(jí)測(cè)評(píng)工作的持續(xù)推進(jìn),黨政機(jī)關(guān)���、企事業(yè)單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的認(rèn)識(shí)和重視程度得到普遍提升�,在管理和技術(shù)兩方面主要采取了以下安全措施:
信息安全管理措施落實(shí)情況
在信息安全管理方面呈現(xiàn)出兩級(jí)分化的特點(diǎn)��。一些重點(diǎn)行業(yè)的業(yè)務(wù)信息化程度高、自身信息技術(shù)隊(duì)伍力量足���、信息安全投入經(jīng)費(fèi)有保障���,其安全管理措施一般也能得到有效落實(shí),在機(jī)構(gòu)���、人員���、制度、建設(shè)管理��、運(yùn)維管理等方面均能較好地符合相關(guān)標(biāo)準(zhǔn)的要求�����。這一類的典型包括銀行�、證券��、電力等行業(yè)主管部門(mén)對(duì)信息安全監(jiān)管嚴(yán)格的幾大行業(yè)���。相反���,部分對(duì)信息系統(tǒng)管控相對(duì)松散的單位如大專院校�����、在信息安全投入方面得不到充分保障的單位如基層政府部門(mén)����,其信息安全專業(yè)人員的配備達(dá)不到標(biāo)準(zhǔn)規(guī)范的要求���,安全責(zé)任部門(mén)地位偏低權(quán)限不足��,很難制定并有效貫徹落實(shí)結(jié)合本單位實(shí)際的信息安全管理制度���。
信息安全技術(shù)措施落實(shí)情況
多數(shù)單位通過(guò)部署邊界安全設(shè)備,強(qiáng)化入侵防范措施來(lái)提高網(wǎng)絡(luò)的安全性;通過(guò)加固操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全策略����,啟用安全審計(jì),安裝殺毒軟件等措施�,來(lái)提高主機(jī)安全防護(hù)水平;通過(guò)開(kāi)發(fā)應(yīng)用系統(tǒng)的安全模塊,從身份鑒別�����、訪問(wèn)控制、日志記錄等方面���,強(qiáng)化業(yè)務(wù)應(yīng)用的安全性;通過(guò)部署數(shù)據(jù)備份設(shè)備���、加密措施,加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)���。
信息系統(tǒng)常見(jiàn)安全問(wèn)題分析
隨著等級(jí)測(cè)評(píng)工作的覆蓋面進(jìn)一步擴(kuò)大��,近年來(lái)初次測(cè)評(píng)的單位和基層部門(mén)仍發(fā)現(xiàn)一些典型問(wèn)題��。
信息安全意識(shí)有待提高
很多單位對(duì)當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)認(rèn)識(shí)不足���,將信息安全工作視為被動(dòng)應(yīng)付上級(jí)檢查、被動(dòng)應(yīng)對(duì)安全事件的任務(wù)來(lái)消極對(duì)待�����。一些單位認(rèn)為取得“基本符合”的測(cè)評(píng)結(jié)論就高枕無(wú)憂���,完成測(cè)評(píng)備案就完成了等級(jí)保護(hù)���。由此造成對(duì)信息安全合規(guī)的落實(shí)不夠、資金和人員投入不足�、重建設(shè)輕運(yùn)維、有制度無(wú)執(zhí)行��、有預(yù)案不演練等問(wèn)題���,根源還是安全意識(shí)薄弱���。
信息安全管理有待加強(qiáng)
信息安全管理不到位主要表現(xiàn)在安全管理制度、系統(tǒng)建設(shè)管理���、系統(tǒng)運(yùn)維管理等方面���。
信息安全管理制度不完善?���;鶎訂挝恍畔踩芾碇贫炔蝗⑷藛T配備不足���、授權(quán)審批流于形式����、執(zhí)行記錄缺失等問(wèn)題較為常見(jiàn)。部分單位的信息安全管理制度照搬模版���,未結(jié)合本單位實(shí)際進(jìn)行修訂���,導(dǎo)致缺乏可操作性。
系統(tǒng)建設(shè)管理不到位�。系統(tǒng)建設(shè)過(guò)程中落實(shí)信息安全“同步建設(shè)”原則不到位。在軟件開(kāi)發(fā)階段較普遍未遵循安全編碼規(guī)范��,導(dǎo)致安全功能缺失�、應(yīng)用層漏洞頻現(xiàn)。在系統(tǒng)驗(yàn)收階段��,很多單位僅注重業(yè)務(wù)功能驗(yàn)收�,缺乏專門(mén)的安全性測(cè)試;電子政務(wù)類項(xiàng)目較普遍未按規(guī)定在項(xiàng)目驗(yàn)收環(huán)節(jié)完成“一證兩報(bào)告”(即等級(jí)測(cè)評(píng)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告和系統(tǒng)備案證明)���。
系統(tǒng)運(yùn)維管理不到位���。在系統(tǒng)運(yùn)維管理方面,部分單位運(yùn)維和開(kāi)發(fā)崗位不分����,職責(zé)不清�,存在一人身兼數(shù)職現(xiàn)象�����。很多單位在信息資產(chǎn)管理���、介質(zhì)管理、變更管理等方面缺乏操作規(guī)程和相關(guān)記錄��,數(shù)據(jù)備份策略不明�����,應(yīng)急預(yù)案不完善并缺乏演練��。
關(guān)鍵技術(shù)措施有待落實(shí)
分析近年來(lái)的測(cè)評(píng)結(jié)果��,安全技術(shù)措施不足問(wèn)題主要體現(xiàn)在以下幾個(gè)方面:
在物理安全方面���,隨著電子政務(wù)集約化建設(shè)的推進(jìn)�,大量信息系統(tǒng)已經(jīng)集中到高規(guī)格的專業(yè)機(jī)房���,但仍有部分單位自有機(jī)房條件簡(jiǎn)陋�����,位置選擇不規(guī)范��,出入管理較隨意���,防盜防破壞��、防雷防火防潮能力較差���,環(huán)境監(jiān)控措施不足。
在網(wǎng)絡(luò)安全方面�,常見(jiàn)網(wǎng)絡(luò)和安全設(shè)備的配置不到位,如未合理劃分區(qū)域�����、未精細(xì)配置訪問(wèn)控制策略����、未對(duì)重要設(shè)備做地址綁定等;較普遍缺少專業(yè)審計(jì)系統(tǒng)。部分單位設(shè)備老舊��,安全產(chǎn)品本身存在一定缺陷導(dǎo)致無(wú)法滿足等級(jí)保護(hù)要求。個(gè)別單位用于生產(chǎn)控制的重要信息系統(tǒng)在網(wǎng)絡(luò)層面未采取必要安全措施的同時(shí)�����,還違規(guī)接通互聯(lián)網(wǎng)��,存在極大的安全隱患���。
在主機(jī)安全方面,部分單位存在弱口令��、不啟用登錄失敗處理和安全審計(jì)功能��、不及時(shí)更新補(bǔ)丁���、不關(guān)閉非必要服務(wù)等問(wèn)題��。此外��,由于主流操作系統(tǒng)和數(shù)據(jù)庫(kù)很少支持強(qiáng)制訪問(wèn)控制機(jī)制���,相關(guān)要求普遍未落實(shí)。
在應(yīng)用安全方面��,很多應(yīng)用軟件安全功能不足,缺少身份鑒別�����、審計(jì)日志���、信息加密等能力���。由于很少進(jìn)行安全掃描、滲透測(cè)試���,相當(dāng)一部分系統(tǒng)存在高危風(fēng)險(xiǎn)���,如SQL注入、跨站腳本�����、文件上傳等漏洞���,以及弱口令�����、網(wǎng)頁(yè)木馬等問(wèn)題�。
在數(shù)據(jù)安全方面,較常見(jiàn)的是數(shù)據(jù)保密性和完整性措施薄弱���。此外��,部分信息系統(tǒng)的備份和恢復(fù)措施欠完善��,缺乏有效的災(zāi)難恢復(fù)手段�����。
針對(duì)新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)有待出臺(tái)
隨著浙江政務(wù)服務(wù)網(wǎng)的大力推進(jìn),省內(nèi)各級(jí)政務(wù)云平臺(tái)的建設(shè)使用已全面開(kāi)展���,有相當(dāng)數(shù)量的電子政務(wù)系統(tǒng)已遷移上云���。同時(shí)涉及城市公共設(shè)施、水電氣等工控系統(tǒng)密集的行業(yè)對(duì)等級(jí)保護(hù)工作越來(lái)越重視���,對(duì)云計(jì)算���、工控系統(tǒng)��、移動(dòng)APP等的測(cè)評(píng)需求不斷加大�����。但現(xiàn)有的《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》未涉及云計(jì)算����、工業(yè)控制�����、移動(dòng)互聯(lián)等領(lǐng)域���,在測(cè)評(píng)實(shí)踐中已遇到諸多不適應(yīng)情況�����。針對(duì)這些新技術(shù)新應(yīng)用的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)需求已非常迫切���。
重要信息系統(tǒng)安全保護(hù)對(duì)策建議
針對(duì)上述存在的問(wèn)題,本文提出以下對(duì)策建議����,以供參考��。
提高信息安全意識(shí)
提高全員信息安全意識(shí)是全面提升信息安全保障水平的根本解決之道����。要樹(shù)立全體人員的安全觀念���,加強(qiáng)信息安全培訓(xùn)�����。除了通過(guò)強(qiáng)化工作考核和安全檢查來(lái)督促信息安全工作的深入開(kāi)展��,還應(yīng)通過(guò)多種方式開(kāi)展信息安全政策解讀和信息安全標(biāo)準(zhǔn)宣貫�,強(qiáng)化對(duì)全員的安全意識(shí)教育和考查����。建議結(jié)合一些合適的安全職業(yè)技能培訓(xùn)���,落實(shí)信息安全相關(guān)崗位“持證上崗”的要求��。
加強(qiáng)信息安全管理
“三分技術(shù)��,七分管理”��,各單位應(yīng)轉(zhuǎn)變觀念����,將“信息安全”與“系統(tǒng)穩(wěn)定、功能正?�!蓖戎匾暺饋?lái)����,將安全管理要求與自身業(yè)務(wù)緊密結(jié)合,制訂完善的體系化的安全管理制度���。
在系統(tǒng)建設(shè)管理過(guò)程中����,應(yīng)要求開(kāi)發(fā)人員遵循安全編碼規(guī)范進(jìn)行開(kāi)發(fā);在系統(tǒng)驗(yàn)收環(huán)節(jié)��,應(yīng)認(rèn)真做好安全性驗(yàn)收測(cè)試�����。在電子政務(wù)領(lǐng)域應(yīng)落實(shí)國(guó)家對(duì)電子政務(wù)項(xiàng)目管理的制度要求,驗(yàn)收階段完成等級(jí)測(cè)評(píng)���,未通過(guò)測(cè)評(píng)的應(yīng)不予驗(yàn)收���。
在系統(tǒng)運(yùn)維管理方面,應(yīng)加強(qiáng)制定信息系統(tǒng)日常管理操作的詳細(xì)規(guī)范�,明確定義工作流程和操作步驟,使日常運(yùn)行管理制度化�����、規(guī)范化���。對(duì)信息資產(chǎn)按重要性進(jìn)行分類梳理���,建立完善應(yīng)急災(zāi)備措施,定期開(kāi)展演練�,確保備份的有效性。
落實(shí)關(guān)鍵技術(shù)措施
針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題�,各單位應(yīng)根據(jù)系統(tǒng)所定級(jí)別��,結(jié)合自身?xiàng)l件�����,綜合考慮問(wèn)題的影響范圍、嚴(yán)重程度���、整改難度等因素�,制定整改計(jì)劃��,有步驟地落實(shí)相關(guān)技術(shù)措施�����。對(duì)于策略配置類的問(wèn)題及時(shí)糾正;對(duì)于整改難度大���、需要添置硬件或修改代碼的問(wèn)題�,應(yīng)在充分測(cè)試和試運(yùn)行的基礎(chǔ)上實(shí)施整改��。對(duì)于強(qiáng)制訪問(wèn)控制����、敏感標(biāo)記、雙因子鑒別等難點(diǎn)問(wèn)題���,建議國(guó)家加強(qiáng)相關(guān)產(chǎn)業(yè)政策的引導(dǎo)��,促進(jìn)安全廠商研發(fā)技術(shù)�、推出產(chǎn)品��,解決市場(chǎng)供應(yīng)問(wèn)題�。各級(jí)主管部門(mén)應(yīng)通過(guò)測(cè)評(píng)���、整改�����、監(jiān)督檢查��、再測(cè)評(píng)的閉環(huán)管理��,督促關(guān)鍵技術(shù)措施的落實(shí)�����。
加快新技術(shù)的等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)編制工作
目前公安部信息安全等級(jí)保護(hù)評(píng)估中心在牽頭起草針對(duì)云計(jì)算安全的等級(jí)保護(hù)標(biāo)準(zhǔn)��,尚處于征求意見(jiàn)階段�。其余新技術(shù)領(lǐng)域的等級(jí)保護(hù)標(biāo)準(zhǔn)制定工作進(jìn)度更晚��,隨著智慧城市��、云計(jì)算��、大數(shù)據(jù)、移動(dòng)互聯(lián)��、工業(yè)控制等新技術(shù)的快速應(yīng)用���,安全標(biāo)準(zhǔn)相對(duì)滯后的問(wèn)題更加突出����,應(yīng)進(jìn)一步加快相關(guān)新標(biāo)準(zhǔn)的制定���。
第6篇
第一條為加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),維護(hù)公共秩序和社會(huì)穩(wěn)定,促進(jìn)信息化的健康發(fā)展,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》����、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等規(guī)定,結(jié)合本市實(shí)際,制定本辦法。
第二條本辦法所稱的計(jì)算機(jī)信息系統(tǒng),是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備����、設(shè)施(含有線、無(wú)線等網(wǎng)絡(luò),下同)構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集��、加工���、存儲(chǔ)���、傳輸���、檢索等處理的人機(jī)系統(tǒng),包括互聯(lián)網(wǎng)�、局域網(wǎng)���、移動(dòng)網(wǎng)等����。
第三條*市行政區(qū)域范圍內(nèi)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)管理,適用本辦法。
第四條*市公安局主管全市計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作����。
*市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局具體負(fù)責(zé)市區(qū)范圍內(nèi)(蕭山區(qū)�、余杭區(qū)除外)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作。
各縣(市)公安局和蕭山區(qū)��、余杭區(qū)公安分局負(fù)責(zé)本行政區(qū)域范圍內(nèi)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作���。
國(guó)家安全機(jī)關(guān)��、保密機(jī)關(guān)����、信息化行政主管部門(mén)及政府其他有關(guān)職能部門(mén),在各自職責(zé)范圍內(nèi)負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理的有關(guān)工作��。
第五條公安機(jī)關(guān)��、國(guó)家安全機(jī)關(guān)����、保密機(jī)關(guān)���、信息化行政主管部門(mén)及政府其他有關(guān)職能部門(mén),應(yīng)當(dāng)建立協(xié)調(diào)合作管理機(jī)制,共同做好計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作。
第六條公安機(jī)關(guān)�、國(guó)家安全機(jī)關(guān)、保密機(jī)關(guān)���、信息化行政主管部門(mén)及政府其他有關(guān)職能部門(mén)在履行管理職責(zé)過(guò)程中,應(yīng)當(dāng)保護(hù)計(jì)算機(jī)信息系統(tǒng)使用單位和個(gè)人的合法權(quán)益,保守其秘密����。
計(jì)算機(jī)信息系統(tǒng)使用單位和個(gè)人應(yīng)當(dāng)協(xié)助公安機(jī)關(guān)等有關(guān)職能部門(mén)做好計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)管理工作�。在公安機(jī)關(guān)等有關(guān)職能部門(mén)依法履行管理職責(zé)時(shí),使用單位和個(gè)人應(yīng)當(dāng)如實(shí)提供本單位計(jì)算機(jī)信息系統(tǒng)的技術(shù)資料。
第七條計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作,重點(diǎn)維護(hù)下列涉及國(guó)家事務(wù)����、公共利益、經(jīng)濟(jì)建設(shè)�����、尖端科學(xué)技術(shù)等重要領(lǐng)域和單位(以下簡(jiǎn)稱重點(diǎn)安全保護(hù)單位)的計(jì)算機(jī)信息系統(tǒng)的安全:
(一)各級(jí)國(guó)家機(jī)關(guān);
(二)金融���、證券��、保險(xiǎn)����、期貨、能源���、交通�、社會(huì)保障�����、郵電通信及其他公用事業(yè)單位;
(三)重點(diǎn)科研��、教育單位;
(四)有關(guān)國(guó)計(jì)民生的企業(yè);
(五)從事國(guó)際聯(lián)網(wǎng)的互聯(lián)單位���、接入單位及重點(diǎn)政務(wù)、商務(wù)���、新聞網(wǎng)站;
(六)向公眾提供上網(wǎng)服務(wù)的單位;
(七)互聯(lián)網(wǎng)絡(luò)游戲�、手機(jī)短信轉(zhuǎn)發(fā)���、各類聊天室等互動(dòng)欄目的開(kāi)發(fā)��、運(yùn)營(yíng)和維護(hù)單位;
(八)其他對(duì)社會(huì)公共利益有重大影響的計(jì)算機(jī)信息系統(tǒng)使用單位�。
第二章計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理
第八條計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)建立人員管理、機(jī)房管理���、設(shè)備設(shè)施管理���、數(shù)據(jù)管理、磁介質(zhì)管理���、輸入輸出控制管理和安全監(jiān)督等制度,健全計(jì)算機(jī)信息系統(tǒng)安全保障體系,保障本單位計(jì)算機(jī)信息系統(tǒng)安全���。
第九條計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)確定本單位的計(jì)算機(jī)信息系統(tǒng)安全管理責(zé)任人。安全管理責(zé)任人應(yīng)履行下列職責(zé):
(一)組織宣傳計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理方面的法律��、法規(guī)��、規(guī)章和有關(guān)政策;
(二)組織實(shí)施本單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施;
(三)組織本單位計(jì)算機(jī)從業(yè)人員的安全教育和培訓(xùn);
(四)定期組織檢查計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行情況,及時(shí)排除安全隱患�。
第十條計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)配備本單位的計(jì)算機(jī)信息系統(tǒng)安全技術(shù)人員。安全技術(shù)人員應(yīng)履行下列職責(zé):
(一)嚴(yán)格執(zhí)行本單位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)措施;
(二)對(duì)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行情況進(jìn)行檢查測(cè)試,及時(shí)排除安全隱患;
(三)計(jì)算機(jī)信息系統(tǒng)發(fā)生安全事故或違法犯罪案件時(shí),應(yīng)立即向本單位報(bào)告,并采取妥善措施保護(hù)現(xiàn)場(chǎng),避免危害的擴(kuò)大;
(四)負(fù)責(zé)收集本單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及信息系統(tǒng)的其他相關(guān)技術(shù)資料��。
第十一條重點(diǎn)安全保護(hù)單位應(yīng)當(dāng)建立并執(zhí)行以下安全保護(hù)管理制度:
(一)計(jì)算機(jī)機(jī)房安全管理制度;
(二)安全管理責(zé)任人�、安全技術(shù)人員的安全責(zé)任制度;
(三)網(wǎng)絡(luò)安全漏洞檢測(cè)和系統(tǒng)升級(jí)管理制度;
(四)操作權(quán)限管理制度;
(五)用戶登記制度;
(六)信息審查、登記�����、保存、清除和備份制度;
(七)信息保密制度;
(八)信息系統(tǒng)安全應(yīng)急處置制度;
(九)其他相關(guān)安全保護(hù)管理制度��。
第十二條重點(diǎn)安全保護(hù)單位應(yīng)當(dāng)落實(shí)以下安全保護(hù)技術(shù)措施:
(一)系統(tǒng)重要部分的冗余措施;
(二)重要信息的異地備份措施和保密措施;
(三)計(jì)算機(jī)病毒和有害數(shù)據(jù)防治措施;
(四)網(wǎng)絡(luò)攻擊防范和追蹤措施;
(五)安全審計(jì)和預(yù)警措施;
(六)信息群發(fā)限制措施;
(七)其他相關(guān)安全保護(hù)技術(shù)措施��。
第十三條重點(diǎn)安全保護(hù)單位的安全管理責(zé)任人和安全技術(shù)人員,應(yīng)當(dāng)經(jīng)過(guò)計(jì)算機(jī)信息系統(tǒng)安全知識(shí)培訓(xùn)��。
第十四條重點(diǎn)安全保護(hù)單位應(yīng)當(dāng)對(duì)其主服務(wù)器輸入輸出數(shù)據(jù)進(jìn)行24小時(shí)監(jiān)控,發(fā)現(xiàn)異常數(shù)據(jù)應(yīng)注意保護(hù)現(xiàn)場(chǎng),并同時(shí)報(bào)告公安機(jī)關(guān)等有關(guān)職能部門(mén)��。
第十五條使用和銷售計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品,必須是依法取得計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的產(chǎn)品����。
進(jìn)入本市銷售計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售單位,其銷售產(chǎn)品目錄應(yīng)報(bào)市公安局備案���。
市公安局應(yīng)定期通告,公布合格的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品目錄����。
保密技術(shù)專用產(chǎn)品的管理,按照國(guó)家和省���、市的有關(guān)規(guī)定執(zhí)行�。
第十六條計(jì)算機(jī)信息系統(tǒng)使用單位發(fā)現(xiàn)計(jì)算機(jī)信息系統(tǒng)中發(fā)生安全事故和違法犯罪案件時(shí),應(yīng)在24小時(shí)內(nèi)向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告,并做好運(yùn)行日志等原始記錄的現(xiàn)場(chǎng)保留工作���。涉及重大安全事故和違法犯罪案件的,未經(jīng)公安機(jī)關(guān)查勘或同意,使用單位不得擅自恢復(fù)���、刪除現(xiàn)場(chǎng)��。涉及其他管理部門(mén)法定職權(quán)的,公安機(jī)關(guān)應(yīng)當(dāng)在接到報(bào)告后及時(shí)通知有關(guān)部門(mén)��。
第十七條計(jì)算機(jī)信息系統(tǒng)發(fā)生突發(fā)性事件或存在安全隱患,可能危及公共安全或損害公共利益時(shí),公安機(jī)關(guān)等有關(guān)職能部門(mén)應(yīng)當(dāng)及時(shí)通知計(jì)算機(jī)信息系統(tǒng)使用單位采取安全保護(hù)措施,并有權(quán)對(duì)使用單位采取暫停聯(lián)網(wǎng)���、停機(jī)檢查、備份數(shù)據(jù)等應(yīng)急措施,計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)予以配合���。
突發(fā)性事件或安全隱患消除之后,公安機(jī)關(guān)等有關(guān)職能部門(mén)應(yīng)立即解除暫停聯(lián)網(wǎng)或停機(jī)檢查措施,恢復(fù)計(jì)算機(jī)信息系統(tǒng)的正常工作���。
第三章計(jì)算機(jī)信息系統(tǒng)安全檢測(cè)
第十八條重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)信息系統(tǒng)進(jìn)行新建、改建��、擴(kuò)建的,其安全保護(hù)設(shè)計(jì)方案應(yīng)報(bào)公安機(jī)關(guān)備案��。
系統(tǒng)建成后,重點(diǎn)安全保護(hù)單位應(yīng)進(jìn)行1至6個(gè)月的試運(yùn)行,并委托符合條件的檢測(cè)機(jī)構(gòu)對(duì)其系統(tǒng)進(jìn)行安全保障體系檢測(cè),檢測(cè)合格的,系統(tǒng)方能投入正式運(yùn)行�。重點(diǎn)安全保護(hù)單位應(yīng)將檢測(cè)合格報(bào)告書(shū)報(bào)公安機(jī)關(guān)備案。
計(jì)算機(jī)信息系統(tǒng)的建設(shè)���、檢測(cè)等按照國(guó)家和省�����、市的有關(guān)規(guī)定執(zhí)行�����。
第十九條計(jì)算機(jī)信息系統(tǒng)安全保障體系檢測(cè)包括以下內(nèi)容:
(一)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施的制定和執(zhí)行情況;
(二)計(jì)算機(jī)硬件性能和機(jī)房環(huán)境;
(三)計(jì)算機(jī)系統(tǒng)軟件和應(yīng)用軟件的可靠性;
(四)技術(shù)測(cè)試情況和其他相關(guān)情況���。
市公安局應(yīng)當(dāng)根據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的行業(yè)特點(diǎn),會(huì)同有關(guān)部門(mén)制定并公布重點(diǎn)行業(yè)計(jì)算機(jī)信息系統(tǒng)安全保障體系的安全要求規(guī)范����。
第二十條重點(diǎn)安全保護(hù)單位對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行設(shè)備更新或改造時(shí),對(duì)安全保障體系產(chǎn)生直接影響的,應(yīng)當(dāng)委托符合條件的檢測(cè)機(jī)構(gòu)對(duì)受影響的部分進(jìn)行檢測(cè),確保其符合該行業(yè)計(jì)算機(jī)信息系統(tǒng)安全保障體系的安全要求規(guī)范�����。
第二十一條重點(diǎn)安全保護(hù)單位應(yīng)加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù),定期委托符合條件的檢測(cè)機(jī)構(gòu)對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全保障體系檢測(cè),并將檢測(cè)合格報(bào)告書(shū)報(bào)公安機(jī)關(guān)備案��。對(duì)檢測(cè)不合格的,重點(diǎn)安全保護(hù)單位應(yīng)當(dāng)按照該行業(yè)計(jì)算機(jī)信息系統(tǒng)安全保障體系的安全要求規(guī)范進(jìn)行整改,整改后達(dá)到要求的,系統(tǒng)方能繼續(xù)運(yùn)行�。
第二十二條公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門(mén),按照國(guó)家有關(guān)規(guī)定和相關(guān)行業(yè)安全要求規(guī)范,對(duì)重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)信息系統(tǒng)安全保障體系進(jìn)行檢查����。檢查內(nèi)容包括:
(一)安全保護(hù)管理制度和安全保護(hù)技術(shù)措施的落實(shí)情況;
(二)計(jì)算機(jī)信息系統(tǒng)實(shí)體的安全;
(三)計(jì)算機(jī)網(wǎng)絡(luò)通訊和數(shù)據(jù)傳輸?shù)陌踩?
(四)計(jì)算機(jī)軟件和數(shù)據(jù)庫(kù)的安全;
(五)計(jì)算機(jī)信息系統(tǒng)安全審計(jì)狀況和安全事故應(yīng)急措施的執(zhí)行情況;
(六)其他計(jì)算機(jī)信息系統(tǒng)的安全情況。
第二十三條公安機(jī)關(guān)等有關(guān)職能部門(mén)發(fā)現(xiàn)重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)信息系統(tǒng)存在安全隱患、可能危及公共安全或損害公共利益的,可委托符合條件的檢測(cè)機(jī)構(gòu)對(duì)其安全保障體系進(jìn)行檢測(cè)����。經(jīng)檢測(cè)發(fā)現(xiàn)存在安全問(wèn)題的,重點(diǎn)安全保護(hù)單位應(yīng)當(dāng)立即予以整改。
第二十四條檢測(cè)機(jī)構(gòu)進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全檢測(cè)時(shí),應(yīng)保障被檢測(cè)單位各種活動(dòng)的正常進(jìn)行,并不得泄露其秘密��。
檢測(cè)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照國(guó)家有關(guān)規(guī)定和相關(guān)規(guī)范進(jìn)行檢測(cè),并對(duì)其出具的檢測(cè)報(bào)告承擔(dān)法律責(zé)任��。
第四章計(jì)算機(jī)信息網(wǎng)絡(luò)公共秩序管理
第二十五條互聯(lián)網(wǎng)絡(luò)接入單位以及申請(qǐng)從事互聯(lián)網(wǎng)信息服務(wù)的單位和個(gè)人,除應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定辦理相關(guān)手續(xù)外,還應(yīng)當(dāng)自網(wǎng)絡(luò)正式聯(lián)通之日起30日內(nèi)到公安機(jī)關(guān)辦理安全備案手續(xù)���。
第二十六條用戶在接入單位辦理入網(wǎng)手續(xù)時(shí),應(yīng)當(dāng)填寫(xiě)用戶備案表���。接入單位應(yīng)當(dāng)定期將接入本網(wǎng)絡(luò)的用戶情況報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。
第二十七條設(shè)立互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所,應(yīng)當(dāng)按照《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》的規(guī)定向公安機(jī)關(guān)申請(qǐng)信息網(wǎng)絡(luò)安全審核�����。經(jīng)公安機(jī)關(guān)審核合格,發(fā)給互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息網(wǎng)絡(luò)安全許可證明后,再向文化����、工商部門(mén)辦理有關(guān)審批手續(xù)。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位變更營(yíng)業(yè)場(chǎng)所地址或者對(duì)營(yíng)業(yè)場(chǎng)所進(jìn)行改建�����、擴(kuò)建,變更計(jì)算機(jī)數(shù)量或者其他重要事項(xiàng)的,應(yīng)當(dāng)經(jīng)原審核機(jī)關(guān)同意。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位變更名稱���、住所�����、法定代表人或者主要負(fù)責(zé)人����、注冊(cè)資本�、網(wǎng)絡(luò)地址或者終止經(jīng)營(yíng)活動(dòng)的,應(yīng)當(dāng)依法到工商行政管理部門(mén)辦理變更登記或者注銷登記,并到文化行政部門(mén)、公安機(jī)關(guān)辦理相關(guān)手續(xù)��。
第二十八條互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位必須使用固定的IP地址聯(lián)網(wǎng),并按規(guī)定落實(shí)安全保護(hù)技術(shù)措施���。
互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)單位應(yīng)按規(guī)定對(duì)上網(wǎng)人員進(jìn)行電子實(shí)名登記,登記內(nèi)容包括姓名��、身份證號(hào)碼��、上網(wǎng)起止時(shí)間,并應(yīng)記錄上網(wǎng)信息���。登記內(nèi)容和記錄備份保存時(shí)間不得少于60日,在保存期內(nèi)不得修改或者刪除�。
第二十九條任何單位和個(gè)人不得從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng):
(一)未經(jīng)授權(quán)查閱他人電子郵箱,或者以贏利和非正常使用為目的,未經(jīng)允許向第三方公開(kāi)他人電子郵箱地址;
(二)故意向他人發(fā)送垃圾郵件,或者冒用他人名義發(fā)送電子郵件;(三)利用計(jì)算機(jī)信息網(wǎng)絡(luò)傳播有害手機(jī)短信;
(四)侵犯他人隱私、竊取他人帳號(hào)、進(jìn)行網(wǎng)上詐騙活動(dòng);
(五)未經(jīng)計(jì)算機(jī)信息網(wǎng)絡(luò)所有者同意,掃描他人信息網(wǎng)絡(luò)漏洞;
(六)利用計(jì)算機(jī)信息網(wǎng)絡(luò)鼓動(dòng)公眾惡意評(píng)論他人或公開(kāi)他人隱私,或者暗示����、影射對(duì)他人進(jìn)行人身攻擊;
(七)其他危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的行為。
第三十條從事信息網(wǎng)絡(luò)經(jīng)營(yíng)��、服務(wù)的單位和個(gè)人應(yīng)當(dāng)遵守下列規(guī)定:
(一)制訂安全保護(hù)管理制度,對(duì)本網(wǎng)絡(luò)用戶進(jìn)行安全教育;
(二)落實(shí)安全保護(hù)技術(shù)措施,保障本網(wǎng)絡(luò)的運(yùn)行安全和其的信息安全;
(三)建立電子公告系統(tǒng)的信息審核制度,設(shè)立信息審核員,發(fā)現(xiàn)有害信息的,應(yīng)在做好數(shù)據(jù)保存工作后及時(shí)刪除;
(四)發(fā)現(xiàn)本辦法第二十九條中各類情況時(shí)應(yīng)保留有關(guān)稽核記錄,并立即向公安機(jī)關(guān)報(bào)告;
(五)落實(shí)信息群發(fā)限制��、匿名轉(zhuǎn)發(fā)限制和有害數(shù)據(jù)防治措施;
(六)落實(shí)系統(tǒng)運(yùn)行和上網(wǎng)用戶使用日志記錄措施;
(七)按公安機(jī)關(guān)要求報(bào)送各類接入狀況及基礎(chǔ)數(shù)據(jù)�����。
第三十一條發(fā)現(xiàn)計(jì)算機(jī)信息網(wǎng)絡(luò)傳播病毒����、轉(zhuǎn)發(fā)垃圾郵件、轉(zhuǎn)發(fā)有害手機(jī)短信或傳播有害信息的,信息網(wǎng)絡(luò)的經(jīng)營(yíng)��、服務(wù)單位和個(gè)人應(yīng)當(dāng)采取技術(shù)措施予以防護(hù)和制止,并在24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)告����。
對(duì)不采取技術(shù)措施予以防護(hù)和制止的信息網(wǎng)絡(luò)經(jīng)營(yíng)、服務(wù)單位和個(gè)人,公安機(jī)關(guān)有權(quán)責(zé)令其采取技術(shù)措施,或主動(dòng)采取有關(guān)技術(shù)措施予以防護(hù)和制止�。
第三十二條公安機(jī)關(guān)應(yīng)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全狀況、公共秩序狀況進(jìn)行經(jīng)常性監(jiān)測(cè),發(fā)現(xiàn)危害信息安全和危害公共秩序的事件應(yīng)及時(shí)進(jìn)行處理,并及時(shí)通知有關(guān)單位和個(gè)人予以整改���。
第五章法律責(zé)任
第三十三條違反本辦法規(guī)定,有下列行為之一的,給予警告,責(zé)令限期改正,并可處以1000元以上10000元以下罰款;情節(jié)嚴(yán)重的,可以給予6個(gè)月以內(nèi)停機(jī)整頓的處罰:
(一)計(jì)算機(jī)信息系統(tǒng)使用單位未建立安全保護(hù)管理制度或未落實(shí)安全保護(hù)技術(shù)措施,危害計(jì)算機(jī)信息系統(tǒng)安全的;
(二)計(jì)算機(jī)信息系統(tǒng)使用單位不按照規(guī)定時(shí)間報(bào)告計(jì)算機(jī)信息系統(tǒng)中發(fā)生的安全事故和違法犯罪案件,造成危害的;
(三)重點(diǎn)安全保護(hù)單位的計(jì)算機(jī)信息系統(tǒng)未經(jīng)檢測(cè)或檢測(cè)不合格即投入正式運(yùn)行的�。
第三十四條違反本辦法規(guī)定,銷售計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品未向公安機(jī)關(guān)備案的,給予警告,責(zé)令限期改正,并可處以200元以上2000元以下罰款。
第三十五條違反本辦法規(guī)定,接入單位或從事互聯(lián)網(wǎng)信息服務(wù)的單位和個(gè)人不辦理安全備案手續(xù)的,給予警告,責(zé)令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個(gè)月以內(nèi)停機(jī)整頓的處罰����。
第三十六條違反本辦法規(guī)定,未取得互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息網(wǎng)絡(luò)安全許可證明從事互聯(lián)網(wǎng)上網(wǎng)服務(wù)經(jīng)營(yíng)活動(dòng)的,責(zé)令限期補(bǔ)辦手續(xù),并可處以1000元以上10000元以下的罰款。
第三十七條有本辦法第二十九條規(guī)定行為之一的,給予警告,責(zé)令限期改正,并可處以1000元以上5000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個(gè)月以內(nèi)停機(jī)整頓的處罰����。
第三十八條違反本辦法第三十條和第三十一條第一款規(guī)定的,給予警告,責(zé)令限期改正,并可處以1000元以上10000元以下的罰款;情節(jié)嚴(yán)重的,可以給予6個(gè)月以內(nèi)停機(jī)整頓的處罰。
第三十九條計(jì)算機(jī)信息系統(tǒng)使用單位的安全管理責(zé)任人和安全技術(shù)人員不履行本辦法規(guī)定的職責(zé),造成安全事故或重大損害的,給予警告,并可建議其所在單位按照相關(guān)規(guī)定給予其行政處分����。
第四十條對(duì)本辦法規(guī)定的行政處罰,市區(qū)范圍內(nèi)(蕭山區(qū)、余杭區(qū)除外)由市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察分局負(fù)責(zé);各縣(市)和蕭山區(qū)�、余杭區(qū)范圍內(nèi)由各縣(市)公安局和蕭山區(qū)、余杭區(qū)公安分局負(fù)責(zé)�。
第四十一條對(duì)違反本辦法規(guī)定的行為,涉及其他有關(guān)法律法規(guī)的,由有關(guān)部門(mén)依法予以處罰。對(duì)違反治安管理行為的,依照《中華人民共和國(guó)治安管理處罰條例》的規(guī)定給予處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任�����。
第四十二條行政機(jī)關(guān)工作人員違反本辦法規(guī)定,�����、、的,由其所在單位或有關(guān)部門(mén)按照有關(guān)規(guī)定給予其行政處分;構(gòu)成犯罪的,由司法機(jī)關(guān)依法追究刑事責(zé)任����。
第六章附則
第四十三條計(jì)算機(jī)信息系統(tǒng)的保密管理,按照國(guó)家有關(guān)規(guī)定執(zhí)行����。
第7篇
根據(jù)市人民政府辦公室《關(guān)于開(kāi)展政府信息系統(tǒng)安全的檢查的通知》(天政電[2010]52號(hào))文件精神。我鎮(zhèn)對(duì)本鎮(zhèn)信息系統(tǒng)安全情況進(jìn)行了自查��,現(xiàn)匯報(bào)如下:
一�����、自查情況
(一)安全制度落實(shí)情況
1�����、成立了安全小組��。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,安全小組為管理機(jī)構(gòu)����。
2、建立了信息安全責(zé)任制����。按責(zé)任規(guī)定:保密小組對(duì)信息安全負(fù)首責(zé)���,主管領(lǐng)導(dǎo)負(fù)總責(zé),具體管理人負(fù)主責(zé)��。
3�����、制定了計(jì)算機(jī)及網(wǎng)絡(luò)的保密管理制度�。鎮(zhèn)網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理,密碼管理��,對(duì)計(jì)算機(jī)享有獨(dú)立使用權(quán)����,計(jì)算機(jī)的用戶名和開(kāi)機(jī)密碼為其專有,且規(guī)定嚴(yán)禁外泄����。
(二)安全防范措施落實(shí)情況
1、計(jì)算機(jī)經(jīng)過(guò)了保密技術(shù)檢查��,并安裝了防火墻。同時(shí)配置安裝了專業(yè)殺毒軟件��,加強(qiáng)了在防篡改���、防病毒�����、防攻擊、防癱瘓���、防泄密等方面有效性����。
2�����、計(jì)算機(jī)都設(shè)有開(kāi)機(jī)密碼��,由專人保管負(fù)責(zé)���。同時(shí)�����,計(jì)算機(jī)相互共享之間沒(méi)有嚴(yán)格的身份認(rèn)證和訪問(wèn)控制��。
3��、網(wǎng)絡(luò)終端沒(méi)有違規(guī)上國(guó)際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象���,沒(méi)有安裝無(wú)線網(wǎng)絡(luò)等���。
4、安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件�����。
(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況
1��、制定了初步應(yīng)急預(yù)案�����,并隨著信息化程度的深入��,結(jié)合我鎮(zhèn)實(shí)際��,處于不斷完善階段。
2�、堅(jiān)持和計(jì)算機(jī)系統(tǒng)定點(diǎn)維修單位聯(lián)系機(jī)關(guān)計(jì)算機(jī)維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持�。
3、嚴(yán)格文件的收發(fā)��,完善了清點(diǎn)����、修理、編號(hào)�、簽收制度�����,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份��。
(四)信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況
1�����、終端計(jì)算機(jī)的保密系統(tǒng)和防火墻��、殺毒軟件等���,皆為國(guó)產(chǎn)產(chǎn)品��。
2��、公文處理軟件具體使用金山軟件的wps系統(tǒng)����。
3、工資系統(tǒng)��、年報(bào)系統(tǒng)等皆為市政府�、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。
(五)安全教育培訓(xùn)情況
1����、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識(shí)培訓(xùn),并專門(mén)負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作�。
2、安全小組組織了一次對(duì)基本的信息安全常識(shí)的學(xué)習(xí)活動(dòng)��。
二�����、自查中發(fā)現(xiàn)的不足和整改意見(jiàn)
根據(jù)《通知》中的具體要求���,在自查過(guò)程中我們也發(fā)現(xiàn)了一些不足�����,同時(shí)結(jié)合我鎮(zhèn)實(shí)際��,今后要在以下幾個(gè)方面進(jìn)行整改��。
1��、安全意識(shí)不夠�����。要繼續(xù)加強(qiáng)對(duì)機(jī)關(guān)干部的安全意識(shí)教育��,提高做好安全工作的主動(dòng)性和自覺(jué)性��。
2����、設(shè)備維護(hù)���、更新及時(shí)�����。要加大對(duì)線路��、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)����,同時(shí),針對(duì)信息技術(shù)的飛快發(fā)展的特點(diǎn)����,要加大更新力度。
第8篇
一����、健全完善互聯(lián)網(wǎng)工作郵箱安全保密制度。院黨委十分重視保密工作���,嚴(yán)格執(zhí)行“誰(shuí)主管誰(shuí)負(fù)責(zé)��、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)�、誰(shuí)使用誰(shuí)負(fù)責(zé)”的保密原則,嚴(yán)格執(zhí)行有關(guān)網(wǎng)絡(luò)安全制度�,不斷完善保密工作機(jī)制。
二����、嚴(yán)把互聯(lián)網(wǎng)工作郵箱信息審核關(guān)��。凡用工作郵箱信息均要通過(guò)分管領(lǐng)導(dǎo)審核���,安排專人,并做好信息登記記錄��。用互聯(lián)網(wǎng)工作郵箱等處理有關(guān)信息時(shí)��,設(shè)置了保密提醒功能�。
三、加強(qiáng)對(duì)工作郵箱以及個(gè)人郵箱的檢查���。經(jīng)自查���,我院開(kāi)設(shè)的互聯(lián)網(wǎng)工作郵箱,沒(méi)有違規(guī)儲(chǔ)存���、傳輸、處理國(guó)家秘密和工作秘密�����,沒(méi)有發(fā)現(xiàn)以單位、部門(mén)名稱或者簡(jiǎn)稱命名的互聯(lián)網(wǎng)工作郵箱���,沒(méi)有將單位工作郵箱郵件自動(dòng)轉(zhuǎn)發(fā)至個(gè)人郵箱或境外郵箱�����;沒(méi)有用個(gè)人郵箱處理公務(wù)的行為��;建立完善相關(guān)制度��,認(rèn)真完善和落實(shí)日常保密管理措施�����,不存在泄密隱患�����,互聯(lián)網(wǎng)工作郵箱保密安全狀況良好�。
四���、發(fā)現(xiàn)問(wèn)題立即整改�。在自查過(guò)程中�����,發(fā)現(xiàn)個(gè)別工作郵箱登陸密碼設(shè)置雖符合保密要求,但未定期修改密碼���,立即要求負(fù)責(zé)人員進(jìn)行整改����,并明確使用人的職能職責(zé)���,確保定期對(duì)使用郵箱密碼進(jìn)行修改��。
通過(guò)此次開(kāi)展互聯(lián)網(wǎng)工作郵箱保密自查工作���,我院摸清和掌握了基本情況,明確了今后保密工作的努力方向�����。我院將以此次互聯(lián)網(wǎng)工作郵箱保密檢查工作為契機(jī)�����,進(jìn)一步建立健全保密工作規(guī)章制度���,不斷強(qiáng)化工作人員保密意識(shí)��,嚴(yán)格規(guī)范工作人員保密行為���,定期開(kāi)展互聯(lián)網(wǎng)工作郵箱保密自查工作,及時(shí)整改存在的問(wèn)題����,切實(shí)將保密工作落實(shí)到各項(xiàng)工作中去,不斷推動(dòng)安全保密工作向前發(fā)展���。
