<dir id="drxbth"><del id="drxbth"><del id="drxbth"></del><pre id="drxbth"><pre id="drxbth"><option id="drxbth"><address id="drxbth"></address><bdo id="drxbth"><tr id="drxbth"><acronym id="drxbth"><pre id="drxbth"></pre></acronym><div id="drxbth"></div></tr></bdo></option></pre><small id="drxbth"><address id="drxbth"><u id="drxbth"><legend id="drxbth"><option id="drxbth"><abbr id="drxbth"></abbr><li id="drxbth"><pre id="drxbth"></pre></li></option></legend><select id="drxbth"></select></u></address></small></pre></del><sup id="drxbth"></sup><blockquote id="drxbth"><dt id="drxbth"></dt></blockquote><blockquote id="drxbth"></blockquote></dir><tt id="drxbth"></tt><u id="drxbth"><tt id="drxbth"><form id="drxbth"></form></tt><td id="drxbth"><dt id="drxbth"></dt></td></u>
  1. <code id="drxbth"><i id="drxbth"><q id="drxbth"><legend id="drxbth"><pre id="drxbth"><style id="drxbth"><acronym id="drxbth"><i id="drxbth"><form id="drxbth"><option id="drxbth"><center id="drxbth"></center></option></form></i></acronym></style><tt id="drxbth"></tt></pre></legend></q></i></code><center id="drxbth"></center>

      <dd id="drxbth"></dd>

        <style id="drxbth"></style><sub id="drxbth"><dfn id="drxbth"><abbr id="drxbth"><big id="drxbth"><bdo id="drxbth"></bdo></big></abbr></dfn></sub>
        <dir id="drxbth"></dir>
      1. 甯夏水利網絡安全管理辦法

        2019-12-27 09:42 来源:

        【字體: 打印本頁 分享到:

        甯夏水利網絡安全管理辦法

         第一章  總  則

         

            第一條  为规范和加强宁夏水利網絡安全管理,落实水利信息化规划、建设、运行和监督管理中的安全责任,依据《中华人民共和国網絡安全法》、水利部《水利網絡安全管理办法(试行)》等有关法律法規,制订本办法。

            第二條  水利網絡安全管理堅持統籌規劃、安全可控、明確責任、分級管理、強化監管的總體原則,具體按照“誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責進行責任分工。

            第三條  水利網絡安全保護對象爲水利信息化基礎設施、應用系統(非涉密)、數據資源、工控系統和門戶網站等。

        第四  本辦法適用于水利廳機關各處室及廳屬各單位。各市、縣(區)水務局應當履行本地區水利網絡安全監管職責,貫徹落實水利部、水利廳相關規定規範。

         

        第二章  網絡安全管理機構及職責

         

            第五條  自治區水利廳爲網絡安全管理的主管機構,科技與信息化處具體負責指導全區水利信息化網絡安全管理工作主要職責如下:

        (一)贯彻落实水利部和自治区網絡安全相关法律法規及政策;

        (二)組織編制和修訂網絡安全工作的總體規劃及相關制度,審查水利信息化建設項目的網絡安全規劃;

        (三)指導各單位開展等保測評、關鍵信息基礎設施安全防護等網絡安全工作,處置重大網絡安全事件。

            第六條  水利廳機關各處室按照“誰主管誰負責,誰使用誰負責”的要求指導監督分管業務範圍內的應用系統、關鍵信息基礎設施網絡安全工作。

            第七條  水利信息中心是網絡安全管理工作的技术支撑部门,主要職責如下:

        (一)承担水利厅机关的信息化基础设施、应用系统、水利数据中心、水利云平台的網絡安全日常管理和技术保障工作; 

        (二)承辦水利廳重點業務系統的等保測評和風險評估工作;

        (三)配合主管部门做好網絡安全监督检查、宣傳培训、安全事件处理、应急演练、监测预警等工作;

        (四)做好与上级网安部门、公安部门的網絡安全联络工作,建立網絡安全通报机制。

            第八條  厅属各單位领导班子主要负责人是網絡安全第一责任人,分管網絡安全的领导是直接责任人。各單位要把網絡安全工作纳入重要议事日程,落实机构、人员和經費等。具體職責如下:

        (一)负责贯彻落实国家、水利部、自治区及水利厅有关網絡安全政策、法律法規和制度;

        (二)負責本單位信息系統及關鍵信息基礎設施的等保測評、風險評估、安全巡檢、安全加固等工作; 

        (三)做好本单位網絡安全监督检查、宣傳培训、安全事件处理、应急演练、监测预警等工作;

        (四)做好与上级主管部门、属地公安部门的網絡安全联络工作,建立網絡安全通报机制。

         

        第三章  網絡安全规划建设

         

            九條  水利網絡安全按照 “同步规划、同步建设、同步运行”的原則,在规划设计、建设开发、移交上线等环节落实網絡安全要求和保护责任。

              项目可行性研究报批前,主管部门指导各單位按照有关规定,对新建水利網絡安全保护对象编制安全方案,开展網絡安全等级保护定级工作。

            第十一條  项目建设期间,建设单位应采购安全可控的信息技术产品和服務,确保網絡关键设备、網絡安全专用产品符合国家網絡安全及采购相关法律法規要求。

            第十二條  项目建设期间,建设单位应按照安全需求、软件工程规范进行设计开发,不得在程序代码中植入恶意代码和后门,并对安全保护等级二级及以上水利網絡安全保护对象的软件代码进行安全性测试。

            第十三條  项目试运行期间,建设单位应对水利網絡安全保护对象完成定级工作,并将定级结果报公安部门备案。

            第十四條  项目正式验收之前,建设单位应开展網絡安全等级保护测评工作。通过测评和问题整改后,方可进行竣工验收。

            第十五條  項目竣工驗收後,建設單位應組織各參建單位進行運行責任及安全技術文檔和源代碼移交。移交前的運行安全由建設單位負責。

            十六條  各單位应对尚未定级备案的已建、在建水利網絡安全保护对象开展網絡安全等级保护定级备案工作,并报主管部门进行备案。关键信息基础设施须报水利厅及公安部门备案;

            第十七條  根据網絡安全等级保护要求,各單位应对发生重要信息和关键业务调整等重大变更的水利網絡安全保护对象,重新组织开展定级、备案和安全建设整改等工作。

        第十八條  三级及以上水利網絡安全保护对象应编制密码应用实施方案,基于網絡安全等级保护工作同步开展密码应用安全评估。通过密码应用安全评估和问题整改后,方可进行竣工验收。

         

        第四章  網絡运行安全

         

            第十九條  廳屬各單位應加强水利網絡安全保护对象的安全管控,采取措施防范網絡攻击,包括但不限于:

        (一)嚴格控制機房和設備間的進出訪問,加強安全監控和巡檢,確保機房符合有關規定要求;

        (二)在不同網絡间设置物理或逻辑隔离,按照最小权限的原則对網絡进行分区分域管理,实施严格的设备系统接入和访问控制策略;

        (三)遵循最小授权,最小安装原則,加强对主机账号、口令、应用、服務、端口的安全管理,定期开展漏洞扫描和恶意代码检测,及时安装安全补丁和更新恶意代码库;

        (四)加强水利业务应用系统的用户管理、认证管理和审计管理。三级及以上水利網絡安全保护对象应当采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;

        (五)采取技術措施監測業務應用系統的運行狀態、並留存應用系統的運行日志等;

        (六)避免網站後台管理系統相關頁面和信息暴露在互聯網,應當嚴格管控門戶網站信息的發布;

        (七)針對各業務應用系統雲資源和端口的使用,必須嚴格遵循雲資源的申請及端口開放審批流程。  

            第二十條  廳屬各單位應对水利網絡安全保护对象开展網絡安全监测和风险评估,定为三级及以上的水利網絡安全保护对象每年至少开展一次。

            第二十一條  廳屬各單位應对三个月以上上线未使用的水利網絡安全保护对象采取断电、断网等下线措施,再次上线使用前应当先进行漏洞修补、病毒库更新等安全加固工作。

            第二十二條  对拟废止不再使用的水利網絡安全保护对象,廳屬各單位應及时向主管部门申请,审核后进行废止。废止前,应当做好系统数据及相关设备资产的妥善保管,并将废止情况报主管部门备案。

            第二十三條  廳屬各單位應当加强对外包服務和远程技术服務的安全管理,与服務提供者签订安全保密协议,采取有效措施记录技术服務操作行为。远程进行维护时,应当采取认证、加密、审计等管控措施。

            第二十四條  水利关键信息基础设施按照水利部《水利关键信息基础设施认定指南》进行认定。廳屬各單位應当根据关键信息基础设施法律法規和规范要求,在網絡安全等级保护制度基础上,对关键信息基础设施实行重点保护,加强必要的管控措施,包括但不限于:

        (一)對關鍵信息基礎設施的安全管理負責人和關鍵崗位人員進行背景安全審查;

        (二)加强对关键信息基础设施运行环境的安全管理,确保網絡环境、物理环境安全可控,并配套符合关键信息基础设施的物理环境安全措施;

        (三)加強對關鍵信息基礎設施運行終端的安全管理,嚴格訪問控制策略,嚴格輸入輸出管理,確保終端自身安全;

        (四)組織制定安全保護方案及管理制度,開展關鍵信息基礎設施監測預警、風險評估、應急處置、信息通報,組織關鍵業務崗位人員進行專業技術培訓和考核;

        (五)確保每年至少進行一次檢測評估,並將檢測評估情況和整改情況報主管部門備案。

        第二十五條  各單位應加強本單位重要敏感數據的管理,按照國家有關規定和標准要求,采取訪問控制、加密備份、行爲審計等保護措施,對重要系統和數據庫應當在境內存儲,並進行容災備份。嚴禁非法獲取、出售或未經授權向他人提供關鍵信息基礎設施相關資料。

         

        第五章  網絡安全日常管

            第二十六條  各單位应加强網絡安全人员管理,主要包括:人员录用、在岗及调离岗、个人计算机網絡安全和保密管理等。严格管理用户账户口令,严格执行内外网终端使用要求,严禁泄露、窃取涉密信息和敏感信息。

            第二十七條  各單位定期开展终端的弱口令检查、病毒查杀、漏洞补丁审计、移动存储介质接入管理、操作行为管理和安全审计等工作。加强办公区域无线網絡管理,严格控制非授权终端的網絡接入行为。

            第二十八條  單位應保障數據全生命周期安全,對水利工程基本數據、重要水文水資源數據等重要數據資源進行容災備份,對個人信息等敏感數據采取加密措施,遵循合法、正當、必要的原則進行數據收集和使用。對重要信息系統建立健全容災備份機制,提升應用系統的恢複能力。

            第二十九  各單位应加强網絡安全资产管理,主要包括:制定完备的信息资产和软硬件设备安全管理制度、明确资产设备清单和责任人、对资产进行标识、规范资产设备的访问和使用行为、确定资产的重要程度和保护措施等。

            第三十條  廳屬各單位應对關鍵信息基礎設施和重要信息系統定期進行漏洞掃描,發現問題及時落實整改,消除安全隱患。

            第三十一條  各單位应落实国家、水利部有关網絡安全审查制度、软件版权保护及软件国产化要求,优先选用国产的、安全可控的产品、服務和技术。

            第三十二條  各單位应加强全体员工網絡安全意识教育,定期开展網絡与信息安全培训

            第三十三條  厅属各單位可委托具有相应资质的第三方机构实施具体的漏洞扫描、信息安全风险评估和等保测评等专业技术保障工作。

        第六章  監測預警與應急處置

         

         

            第三十四條  水利厅建立健全網絡安全事件应急机制,各單位要制定網絡安全事件应急预案,并定期检验评估完善应急预案。

            第三十五條  各單位应加强網絡安全监测预警能力建设,并对管辖范围内发现的风险漏洞和網絡安全事件及早预警、及时处置和信息通报。

            第三十六條  各單位应根据重要敏感信息和公民个人信息泄露、损毁、丢失等情况,按照规定及时上报主管部门,并立即启动应急预案,实施有效处置。

            第三十七條  各單位要落实风险漏洞限期修复处理机制。对国家、自治区、水利部、水利厅通报的高危漏洞,要按时限要求进行整改,并及时上报主管部门。对于通用型網絡产品和服務的风险漏洞,按照厂商和安全机构发布的修复方案及时整改。 

        第三十八條  各單位每年至少组织一次網絡安全事件应急培训或演练工作,针对关键信息基础设施组织开展攻防演练,及时发现安全隐患,提高突发網絡安全事件应急能力。

         

        第六章  經費保障

         

            第三十九條  水利網絡安全的經費主要包括水利網絡安全保护对象及水利关键信息基础设施在规划建设阶段、运行阶段和管理阶段的费用。

            四十條  各單位按照定额标准将網絡安全运行管理、教育培训、安全检查、测试评估、监测预警、应急演练和处置等相关經費纳入年度經費計劃。原則上年度新建信息化项目的網絡安全經費應不低于項目總預算的5%。 

        第四十一條  各單位按照关键信息基础设施安全經費标准负责编制年度經費計劃,原則上关键信息基础设施的網絡安全經費應不低于整體信息化項目經費的10%。

         

        第七章  監督考核

         

            第四十二條  主管部门负责網絡安全监督检查机制建设,组织开展水利網絡安全日常检查和专项检查。检查内容包括網絡安全的基本状况、工作情况、制度建设、應急處置及日常管理等安全責任。

            四十三條  網絡安全检查采用攻防演练、渗透测试、在线监测、现场检查等方式进行,对检查发现的问题视严重程度提出限期整改、立即整改或下线整改等处置意见,并跟踪整改落实情况。

            第四十四條  被檢查單位應當評估、分析問題産生的原因,采取修補漏洞、系統升級、部署防護措施、完善管理制度等措施進行整改,並按要求反饋整改結果。

            第四十五條  水利厅建立網絡安全工作考核制度,对厅机关各处室和厅属各單位網絡安全工作执行情况进行考核。考核结果作为各單位评先评优的依据之一。

        第四十六條  水利厅建立健全水利網絡安全奖惩和责任追究机制,对網絡安全工作表现突出的给予通报表扬。对網絡安全工作出现严重问题的,按照有关法律法規和制度规定,判定责任单位和责任人,依据问题严重程度采取责令整改、警示约谈、通报批评以及建议行政处分和组织处理等方式进行问责,对造成严重损失及危害的,从严从重处罚,直至追究法律责任。

         

        第八章   

         

            第四十七條  厅属各單位根据本办法制定实施方案,报主管部门备案

            第四十八條  本辦法由水利廳負責解釋,自下發之日起執行

         



        回到頂部

            <kbd id='askjdhkjas'></kbd><address id='askjdhkjas'><style id='askjdhkjas'></style></address><button id='askjdhkjas'></button>

                    <kbd id='askjdhkjas'></kbd><address id='askjdhkjas'><style id='askjdhkjas'></style></address><button id='askjdhkjas'></button>