设为首页
编号: BZXZ-GLZD-55-20 F/1
网络信息安全管理制度
第一章 总则
第一条 为进一步加强我站网络与信息安全工作,明确和落实党组织领导班子、领导干部的网络与信息安全责任,根据相关法律法规和上级网络安全和信息化工作的总体部署和要求,结合实际,制定本办法。
第二条 网络与信息安全工作必须遵循“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的基本原则。
第三条 本制度所指信息化系统包括内部网络系统(局域网)和各类管理系统,以及电子政务外网、综合办公等网络系统。
第四条 信息安全是指为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
第二章 领导机构及职责
第五条 党组织对本单位网络与信息安全工作负主体责任,单位主要负责人是第一责任人,分管网络与信息安全的领导班子成员为直接责任人。科室负责人对科室网络与信息安全工作负主体责任。
第六条 我站成立网络安全与信息化领导小组(以下简称网信领导小组),由党政主要负责人担任组长,分管领导任副组长,各科室负责人、网络信息管理员为成员。网信领导小组下设办公室(以下简称网信办)。分管网络安全的领导担任办公室主任,站办公室负责人、财务科负责人任副主任,各科室负责人、网络信息管理员为成员,网络信息管理员负责网信办日常工作。
第七条 网络与信息安全责任。
(一)贯彻落实党中央、省委、市委关于网络与信息安全工作的重大决策部署,贯彻落实网络安全法律法规,明确本单位网络与信息安全的主要目标、基本要求、工作任务、保护措施。
(二)把网络与信息安全工作纳入重要议事日程,定期研判网络与信息安全形势,研究部署网络与信息安全重大问题;建立健全和贯彻落实网络与信息安全责任制度和责任追究制度;对违反或者未能正确履行本办法所列职责的,按照有关规定追究其相关责任。
(三)统一组织、协调、处置网络与信息安全保护和重大事件。
(四)组织开展经常性网络与信息安全宣传教育、安全检查和应急演练,采取多种方式提升网络安全保障能力。
(五)采取有效措施,为国家有关机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障。
第八条 网信领导小组对全站网络与信息安全负指导监管责任。
第九条 网信领导小组应当加强和规范网络安全信息汇集、分析和研判工作,要求各科室及时报告网络与信息安全信息,组织、协调、开展网络安全检查、处置网络安全事件。
第十条 网信办需向网信领导小组及时报告网络与信息安全重大事项,并每年向网信领导小组报告网络与信息安全工作情况。
第三章 信息设备管理及使用
第十一条 加强网络信息设备的管理。
(一)计算机及周边设备、操作系统和所装软件等均为国有财产,不得随意处置、维修、损坏设备,不得随意增加、更改、卸载软件。网络信息管理员按照《计算机管理系统控制程序》对计算机信息管理系统的硬件、软件、数据进行检查、维护、备份、审计。
(二)信息网络设备的使用人为保管人,保管人对计算机软、硬件有使用、保管责任。设备不使用时,应关掉设备的电源;人员暂离岗时,应锁定计算机;设备不得私用,转让借出;不得无故将网络信息设备带出办公场所。
(三)计算机等办公设备只有管理员进行维护时有权拆封,其他人员不得私自拆开封。设备出现故障或异常情况(包括有异味、冒烟与过热)时,应当立即关闭电源开关,拔掉电源插头,并及时通知专业人员检查或维修;设备老化、性能落后或故障严重,不能应用于实际工作的,应报总务后勤科。
(四)信息设备的IP地址由管理员统一规划分配,不得擅自更改其IP地址,更不得恶意占用他人的地址。
(五)职工调离时,应及时取消其所有的IT资源使用权限,回收其设备权限并由资产管理部门封存设备。
(六)增添计算机周边设备,开启设备网络、存储等功能操作,需经过网络信息管理员的同意。在从事施工、修缮或基础建设、电力设备维修时,需提前与系统管理人员沟通联系,避免对管理信息系统以及网络基础设施及交换设备的安全造成损坏。
第十二条 提升网络信息安全意识,确保使用安全。
(一)工作人员所使用的平台系统的账号、口令不得泄漏,不得让他人使用(除工作调整外),个人在离开电脑时需及时退出管理信息系统登录,防止他人非授权使用,口令要严格保密,禁止弱口令。个人授权用户应定期修改口令(不超过6个月),密码应满足复杂性原则,并由大写字母、小写字母、数字和标点符号中至少3类混合组成。
(二)正确使用网络信息设备。严格按照设备使用说明、专有用途使用设备,防止人为损坏信息设备和系统。不得在内网工作组电脑上擅自使用优盘、光驱等外来移动存储设备。科室及外来工程师必须使用移动存储设备时,须提前向管理员报备,并在管理员监督下使用。
(三)为保证信息设备及网络的安全,不准在任何时间利用网络下载黑客工具、解密软件,系统扫描工具,木马程序等威胁系统和网络安全的软件;不得随意下载不需要的软件、电影、电视剧等;不得使用BT、电驴、POCO等严重占用带宽的P2P下载软件;不得利用办公设备及其网络玩游戏,或进行对信息网络安全有威胁的操作。
(四)不得随意安装软件,软件安装按照正版软件推进工作的相关规定执行,不得在设备、网络上编写、传播任何病毒和非法程序,不得故意引入病毒和使用非法程序。因工作需要使用QQ、MSN、邮箱等传输、接收文件,应当通过安全软件查杀后确认无毒再打开。
(五)设备使用者发现病毒或非法程序后,应立即停机并及时通知技术人员处理。
(六)任何人不得进入未经许可的设备、平台系统更改软件信息和用户数据。不得利用网络资源进行入侵、破解、篡改信息系统或设备;不得利用网络从事危害国家安全及其他法律明文禁止的活动;不得利用计算机技术侵占其他用户合法利益,不得非法侵入他人网络信息设备,不得制作、复制、传播损害公众或个人的信息;不得利用网络资源发布、传播迷信、淫秽、色情、赌博、暴力、凶杀、恐怖等信息。
第十三条 加强数据安全管理,确保数据安全。
(一)单位重要的资料和数据,原则上不得带出办公区。因工作出差等特殊情况需带出的,应当做好相关资料的保密工作。
(二)重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般为C盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据要及时备份,以防丢失。
(三)保密资料的打印按保密规定办理。当使用网络打印机时,打印的资料必须及时取回。
(四)在信息设备处置或资产转移时,要对存储资料或数据的载体(如计算机或软、硬盘),针对不同的操作系统使用相应的命令对整个磁盘进行彻底清除,以防泄密。
(五)涉密打印机硒鼓等耗材配件报废时,应保密局集中处理,禁止私自处理。
(六)与涉外维修计算机、打印机等相关信息设备的公司签订安全保密合同,确保维修设备的数据信息安全。
(七)禁止在管理系统内网计算机上同时连接内外网,需远程协助连接外网时,应在网络信息管理员的监督下操作。
第十四条 加强机房的管理,自有机房的要制定详细的管理制度并予以落实。
(一)机房管理人员应对机房内的设备做好登记,记录现有设备的型号、配置、位置、状态等信息,以便跟踪设备变化。机房设备的增加、减少、变更、处置等,均需按国有资产管理的相关规定进行审批和处置。机房管理人员对机房设备的操作、故障处理等必须严格按照操作程序进行,并做相应记录。
(二)机房应当安排专人对机房进行值班和巡检。
任何非机房管理人员不得随意进出机房,确需进入的应当登记,并在机房值班人员陪同下进入机房,非经机房管理人员允许,不得擅自对机房设备进行操作。
进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品,因工作需要使用时,必须向机房管理部门申请并做详细登记,严格执行操作规程,用后必须置于安全状态,妥善保管。
入机房工作(维护、巡检)人员在完成工作后,应及时离开,离开机房时应主动接受机房值班人员的检查,自觉将所带无关物品带走。
(三)机房值班人员应当保证机房内环境、设备的清洁。任何人不得将食物或饮料带入机房,不得在机房内吸烟、吐痰、焚烧物品等。
(四)机房建设应符合网络安全等级保护二级的规定,应当配备相关的安全设施。机房应达到设备正常运行的环境要求,安装烟雾感应探测器、温度感应探测器、火灾报警等各类报警设施,对运行环境可能出现的不利因素进行监测并预警。
机房应配备适当的不间断的电力供应(UPS),确保有足够的后备电力支持正常的系统应急操作;安装湿度和温度显示装置;安装和自动灭火系统;配备手动灭火器等。
(五)执行其他与机房安全的规定。
第十五条 加强网站、微信公众号、LED显示屏的管理,不得发布违反国家方针政策、法律法规及社会公德的信息和言论。
(一)血站网站由网络信息管理员负责日常管理和维护,负责网络版面设计、调整、改换栏目设置、内容更新、新闻发布及其他信息材料的管理、录入与发布。网站管理人员妥善管理网站密码,不准泄漏。网站管理人员发现有单位网站被病毒、黑客攻击或发现网站运行不正常时,应及时报告并联系网站托管方处理。
(二)网站内容应及时更新。办公室负责工作动态、人力资源、信息公开、组织结构、党建工作、血液检验信息查询、活动风采、调查评议、在线留言、视频播放;献血服务科负责献血地点、血液知识、无偿献血;业务管理科负责法律法规、临床输血、健康生活;质量管理科负责投诉意见箱;总务后勤科负责安全生产;各科室及时提供以上相关栏目资料交办公室更新。
(三)血站微信公众号由业务管理科负责日常管理和更新。站内LED显示屏内容由办公室负责更新,各地献血屋由献血服务科负责更新。
(四)信息发布。站内各科室提供的需发布的信息,填写《政务公开信息审签单》,由主管科室初审,分管领导审核,站长审批发布。
第四章 工作保障
第十六条 切实保障网络与信息安全所需的人、财、物投入,确保网络与信息安全和信息化建设工作稳步推进。
第十七条 建立网络与信息安全工作检查考核制度,完善健全考核机制,并把考核结果作为对领导班子和有关领导干部综合考核评价的重要内容。
第五章 责任追究
第十八条 违反网络信息安全制度的,必须追究责任。责任追究应当坚持实事求是、客观公正的原则,科学区分、合理界定集体责任和个人责任。
第十九条 追究集体责任时,单位主要负责人和主管网络与信息安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
第二十条 有下列情形之一的,应当逐级倒查,追究当事人、网络与信息安全负责人直至主要负责人责任。
(一)发生国家秘密泄露、大面积个人信息或大量卫生健康基础数据资源泄露的;
(二)本单位重点网站、重要信息系统被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
(三)本单位主要重要网站、重要信息系统、关键信息基础设施遭受攻击、损坏损毁后没有按照《网络信息安全预案》《计算机管理信息系统瘫痪等意外事件应急预案和恢复程序》处置的;
(四)封锁、瞒报网络与信息安全事件情况,拒不配合主管部门以及有关部门依法开展调查、处置工作,或者对主管部门以及有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
(五)阻碍国家机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
(六)发生其他严重危害网络与信息安全行为的。
第二十一条 问责应当由有管理权限的党组织根据有关规定实施。
发现违反制度的,立即终止其信息设备及其网络使用权限及时上报站党支部。
网信办可以向站网信领导小组提出问责建议,并由具有管理权限的党组织做出相应处理。
