西苑乡信息安全管理制度doc.docx
《西苑乡信息安全管理制度doc.docx》由会员分享,可在线阅读,更多相关《西苑乡信息安全管理制度doc.docx(59页珍藏版)》请在冰豆网上搜索。
西苑乡信息安全管理制度doc
仙苑政〔2016〕95号
西苑乡人民政府关于印发
《西苑乡信息安全管理制度》的通知
各股室:
为进一步贯彻落实信息安全管理有关规定,保障信息系统安全运行,特制定《西苑乡信息安全管理制度》,请认真遵照执行。
附件:
《西苑乡信息安全管理制度》
西苑乡人民政府
2016年6月24日
西
苑
乡
信
息
安
全
管
理
制
度
西苑乡网络信息安全领导小组办公室
二O一六年六月
六、西苑乡政府门户网站信息发布流程23
七、西苑乡政府信息公开发布审核制度24
八、西苑乡机房及重要区域安全管理制度25
十四、西苑乡信息安全教育培训制度44
19、西苑乡网络信息安全责任追究制度50
二十、西苑乡网络与信息安全通报制度5
一、西苑乡国际互联网使用管理办法
西苑乡国际互联网使用管理办法
第一条为规范党政机关国际互联网(以下简称:
外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。
第二条外网的开通和使用,实际方便工作和保障安全相结合的原则。
第三条党政办是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理,同时负责外网网站发布信息的审核、舆论导向的指引,以及外网上网指引、登记备案和有关法律法规的宣传教育。
第四条特殊工作岗位实行定岗管理,特殊工作岗位可开通外网。
其他工作岗位需要开通外网的,实行配额管理。
第五条申请开通外网的程序是:
填写“开通外网申请表”,经部门领导同意后,报党政办提出审核意见,审核通过的,进行登记备案后,由党政办办理开通事宜。
第六条超出配额的,申请部门应提出撤销原使用人员名单,否则,申请不予受理。
被停止使用外网人员的上网设备由党政办负责拆除。
第七条接入互联网的电脑应与内网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。
第八条在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。
第九条上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查,严禁擅自改动单位分配的IP地址。
第十条及时对外网计算机操作系统补丁进行更新。
第十一条上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查,或利用杀毒软件进行检查。
第十二条上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。
第十三条严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。
违反规定者,按国家有关法规和相关纪律处分规定追究责任。
第十四条本制度自发布之日起生效执行。
附件:
开通外网申请表
附件
开通外网申请表
申请人姓名
所在部门
申请原因:
部门领导意见:
负责人(签章):
党政办审核意见:
负责人(签章):
外网接入安全管理承诺
1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。
2、自觉遵守我单位国际互联网使用管理制度
3、所申请的外网仅供本人使用
4、申请人确认上述承诺,如有违反愿接受相应处罚。
申请人签字:
年月日
二、西苑乡内网安全管理制度
西苑乡内网安全管理制度
第一章总则
第一条为加强内部计算机网络(即党政机关内部计算机网络,以下简称内网,网内的计算机以下统称为内网计算机,使用人员以下统称为内网用户)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。
第二条本制度规范的内容包括:
网络管理、终端管理、用户管理、介质管理和安全事件报告。
第三条内网相关工作所属部门是内网管理工作的主要责任部门,负责内网的网络管理和维护保障工作。
第二章网络管理
第四条内网必须与国际互联网实行物理隔离。
第五条内网进行分级、分层、分域管理,对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。
不同的安全域应采取相应的安全策略和保护手段。
第六条建设内网安全与应用支撑平台,实行内网用户、资源的统一注册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。
第七条加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。
第八条按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。
对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。
第九条内网应配置独立的交换机,内网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。
第十条内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。
第十一条内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保密部门的要求。
第十二条内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:
刻录光盘)或设备(如:
保密部门认可的安全移动存储介质管理系统)。
第十三条通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。
第十四条建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。
技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。
第三章终端管理
第十五条内网计算机必须安装违规上互联网监控软件。
第十六条内网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。
第十七条严禁在内网计算机上使用无线网卡、无线键盘、无线鼠标、蓝牙等一切无线设备。
第十八条严禁在内网发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。
第十九条严禁在内网计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第二十条内网计算机启用屏幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以内。
第二十一条内网计算机必须保证密码安全。
内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。
第二十二条及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。
第四章用户管理
第二十三条内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。
第二十四条对内网用户进入网络的行为实行安全准入管理制度。
安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。
第二十五条内网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向党政办申请。
第二十六条内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等。
第二十七条内网用户不得通过拨号、无线网卡等方式连接国际互联网。
第二十八条定期组织对内网信息系统的安全保密检测和检查,加强对内网、保密技术知识的教育和培训。
第五章介质管理
第二十九条内网计算机必须使用部门认可的内网专用移动存储介质。
第三十条指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,建立介质资产清单,落实安全责任制度,明确责任主体。
第三十一条内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除,以保护信息安全。
第三十二条内网安全移动存储介质的维修、报废,先报主管领导审批,由专人负责登记备案后,再进行维修、报废处理。
第六章安全事件报告
第三十三条内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告党政办。
第三十四条党政办接到报告后,应当立即做出处理,并及时向上级领导部门报告。
第三十五条内网用户对本人的行为负责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。
第三十六条违反本制度规定的,由管理部门或管理人员及时报告党政办,党政办根据违规情况按有关法规追究责任。
第七章附则
第三十七条本制度自发布之日起生效执行。
三、西苑乡信息安全组织机构管理制度
西苑乡信息安全组织机构管理制度
第一章总则
第一条为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。
第二章机构设置
第二条由单位主管信息工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。
第三条信息安全领导机构下设政府信息安全检查工作、互联网信息安全检查工作、内网信息安全检查工作、信息安全风险评估工作等专项工作小组,分别负责信息安全各领域相关工作。
第四条成立信息安全领导机构,完成以下岗位和成员的设置。
信息安全领导机构:
组长、成员。
第五条成立政府信息安全检查工作小组,完成以下岗位和成员的设置。
政府信息安全检查工作小组:
组长、成员。
第六条成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。
互联网信息安全检查工作小组:
组长、成员。
第7条成立内网信息安全检查工作小组,完成以下岗位和成员的设置。
内网信息安全检查工作小组:
组长、成员。
第8条成立信息安全应急响应工作小组,完成以下岗位和成员的设置。
信息安全应急响应工作小组:
组长、成员。
第三章工作职责
第十一条信息安全领导机构工作职责。
信息安全领导机构负责领导安全工作的规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。
第十二条政府信息安全检查工作小组工作职责。
政府信息安全检查工作小组人负责检查信息安全制度落实情况、安全防范措施落实情况、安全防范措施落实情况、应急响应机制建设情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。
第十三条互联网信息安全检查工作小组工作职责。
互联网信息安全检查工作小组负责监控互联网信息系统安全状况。
第十四条内网信息安全检查工作小组工作职责。
内网信息安全检查工作小组负责安排内网信息安全检查工作,监控内网信息系统安全状况。
第十五条信息安全应急响应工作小组工作职责。
信息安全应急响应工作小组负责应急预案的制定、演练、落实,技术队伍的建设,安全事件监控与处理。
第四章附则
第十八条本制度自发布之日起生效执行
附件:
1.信息安全检查工作责任书
2.互联网信息安全检查工作责任书
3.内网信息安全检查工作责任书
4.信息安全应急响应工作责任书
5.安全管理员职责
6.系统管理员职责
7.网络管理员职责
8.机房及重要区域管理员职责
9.安全审计员职责
10.网站信息公开人员职责
11.信息审查员职责
附件1
信息安全检查工作责任书
为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。
一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排信息安全检查工作,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4.信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因为工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任人》自签约之日起生效。
责任人(签章):
年月日
附件2
互联网信息安全检查工作责任书
为了进一步落实我单位的互联网安全管理责任,确保网络安全与信息安全,做好互联网信息安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排信息安全检查工作,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章):
年月日
附件3
内网信息安全检查工作责任书
为了进一步落实我单位的内网安全与信息安全管理责任,确保网络安全与信息安全,做好内网的安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患。
并尽快修补。
确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排内网信息安全检查工作,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、内网信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、内网信息安全检查过程中应严格遵守检查工作纪律,周密制定应预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4、内网信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如内网信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由本单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章):
年月日
附件4
信息安全应急响应工作责任书
为了进一步落实我单位网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的应急响应工作,特制定本责任书。
一、总体目标
应急响应计划的执行应有足够的资源保证,包括人力、技术、设备和财务等方面,在安全事件发生后应能尽快恢复系统和网络的正常运转,应使系统和网络所遭受的破坏最小化。
二、责任要求
组织和领导相关人员制定详细的应急响应计划,其中应根据不同的安全事件类型制定不同的应急响应计划。
应从人力、技术、设备和财务等方面确保应急响应计划的执行有足够的资源保证。
定期组织应急预案的演练和培训,特别是安全事件发生后应组织相关人员进行事后教育和培训。
定期组织相关人员对应急响应计划进行审查并根据实际情况进行更新。
三、责任追究
如信息安全应急响应工作责任人未按照本《责任书》履行职责、开展工作的,
由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章):
年月日
附件5
安全管理员职责
一、建立并协助管理我乡健全的网络安全管理组织:
1、副乡长许金山同志为网络信息安全管理工作第一责任人,负责全面领导本单位计算机的防黄、防黑、防不良信息、防毒等网络安全工作;叶娜同志为网络信息安全管理和内容管理工作的直接责任人,负责本单位计算机网络安全的具体工作。
网络安全管理人员直接向第一责任人负责;
2、单位信息发布明确到个人,网络安全管理人员须负责信息发布的信息安全审核;
3、单位网络安全管理人员要进行网络安全培训。
二、网络安全管理人员岗位日常管理职责:
1、网络安全管理人员应当保障计算机网络设备和配套的设施的安全,保障信息的安全,运行环境的安全。
保障网络系统的正常运行,保障信息系统的安全运行;
2、网络安全管理人员必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》;
3、网络安全管理人员必须接受并配合国家有关部门对本网依法进行的监督检查;必须接受上级网络中心对其进行的网络系统及信息系统的安全检查;
4、网络安全管理人员必须对网络接入的用户,用防火墙技术屏蔽非法站点并保留日志文件,并进行定期检查;
5、网络安全管理人员负责网络安全和网上信息安全。
如对网络安全和网上信息安全提出技术措施,须经上级领导批准后再实施;
6、系统管理员每周末对机房的安全情况进行例行检查;
7、工作人员要树立安全第一的观念,遵纪守法认真贯彻执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和《计算机信息网络国际联网安全保护管理办法》,保护国家机密,净化网络环境;
8、对用户联网计算机IP地址进行添加、删除等操作应做好记录,任何人不得随意更改IP地址;
三、网络安全管理人员岗位日常维护职责:
1、每日检查各种设备,确保网络畅通和系统正常运行;
2、定期备份系统数据,仔细阅读记录文件,关注任何异常现象;
3、规划、管理好各用户组,设定适当用户权限;
4、管理员密码和安全策略属网络中心核心机密,不得泄露;
5、按照正常开、关机顺序启动或关闭设备,非紧急情况不得直接关闭电源,以保证系统的完整性;
6、每周对服务器进行查毒、消毒,禁用未经消毒的存储介质;收集重大病毒“疫情”,提前采取措施;
7、定期维护、保养网络中心交换设备。
附件6
系统管理员职责
为进一步落实主机安全和系统安全管理责任,明确系统管理员职责,确保主机安全和系统安全,系统管理员应落实如下责任:
1、负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。
3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。
4、为安全审计员提供完整、准确的主机系统运行活动日志记录。
5、在主机系统异常或故障发生时,详细记载发生异常时的现象、事件和处理方式,并及时上报。
6、编制主机设备的维修、报损、报废计划,报主管领导审核。
7、若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。
附件7
网络管理员职责
为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任:
1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。
2、协助安全管理员制定网络设备安全配置规则,并落实执行。
3、为安全审计员提供完整、准确的重要网络设备和网站进行活动日志。
4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
5、编制网络设备的维修、报损、报废等计划,报主管领导审核。
6、若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。
附件8
机房及重要区域管理员职责
为了进一步落实网络安全和信息安全管理责任,明确机房管理员职责,确保机房安全,机房管理员应落实如下责任:
1、负责机房所有设备的台帐和事物管理,固定资产帐、物相符应达到百分之百,设备完好率不低于百分之九十。
2、要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患要及时整改和上报,重要设备故障应做好维修记录。
3、向分管领导报告机房设备完好情况和维修情况。
4、严格核实出入机房人员审批手续的真实性和有效性,确保进入机房人员的作业内容与审批手续完全一致。
5、不得擅自将机房仪器设备外借给其他人使用。
6、电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,报告修理,不得冒险使用。
7、保持机房环境整洁卫生,走道畅通,设备器材摆放整齐。
8、若由于机房管理员工作疏忽或者失误而导致安全事故发生,机房管理员应承担相应责任。
附件9
安全审计员职责
为了进一步落实网络安全和信息安全管理责任,明确安全审计员职责,确保信息系统安全,安全审计员应落实如下责任:
1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作,判断信息系统及资产是否安全。
2、对审计过程中发现的安全问题做出及时处理,上报备案,并通知相关负责人。
3、对于审计记录、内容以及存储设备必须给予保护(如一些文档的记录或者存储设备),以防止非授权的访问。
4、要建立与审计相关的监控程序,以确保只能进行已经明确规定的授权活动。
要定期回顾监控活动记录。
5、确保对储存和处理的审计日志进行了保质期识别并登记;如果确定已过期记录无保存价值,则必须采取适当的措施销毁记录。
6、若由于安全审计员工作疏忽或失误导致安全事故发生,安全审计员应承担相应责任。
附件10
网站信息公开人员职责
为了进一步落实网络安全和信息安全管理责任,明确信息公开人员职责,确保信息系统安全,信息公开人员应落实如下责任:
一、认真学习国家法律法规和政策,学习《政府信息公开工作条例》和政府信息公开工作的相关业务,努力提高做好政府信息公开工作的水平。
二、做好政府信息公开的宣传工作,提高广大干部对政府信息公开工作重要性的认识,增强其做好政府信息公开工作的自觉性。
三、做好信息的沟通工作,一是及时传达上级关于政府信息公开的精神和要求;二是搞好相关部门之间政府信息公开工作的沟通协调;三是及时向上级部门报送本单位政府信息公开工作情况及上级部门需要的其他信息。
四、按照县政府信息公开工作要求,制定、完善本单位政府信息公开工作操作流程、工作制度,协调做好政府信息公开检查、督导工作。
五、做好政府信息公开的具体业务工作:
1、编写好主动公开政府信息目录。
按照规范格式和要求,对主动公开政府信息进行分类,编写好主动公开政府信息目录;做好依申请公开和免于公开政府信息的报备工作。
2、及时公开政府信息。
将收到的应予公开信息在规定时限内在“柳州政务网”上予以公开。
3、做好政府公开信息的接待查询工作。
党政办为政府信息的公共查阅室,也是政府信息公开申请的受理机构。
政府信息公开工作人员应热情接待社会公众对主动公开政府信息的查阅,帮助其检索主动公开政府信息目录,并
升级会员 