发布文号:
机关各处室,直属各单位:
现将《杭州市民政局计算机信息网络安全保护管理办法》印发你们,请遵照执行。
二〇一一年十一月二十四日
杭州市民政局计算机信息网络安全保护管理办法
第一章 总则
第一条 为加强计算机信息网络安全的保护和管理,维护国家安全、公共利益和社会稳定,维护公民、法人和其他组织的合法权益,促进信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网信息服务管理办法》等规定,结合我局实际,制定本办法。
第二条 本条例所称的计算机信息网络,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行制作、采集、加工、存储、传输、检索等处理的人机系统和运行体系。
计算机信息网络的安全,包括计算机信息系统及互联网络的运行安全和信息内容的安全。
第三条 计算机信息网络安全坚持“保护与管理并重”和“谁主管、谁负责,谁使用、谁负责”的原则。
第四条 信息中心根据本办法主管全局计算机信息网络安全保护管理工作。
第五条 任何单位和个人不得利用计算机信息网络从事危害国家安全、公共利益及社会秩序以及侵犯公民、法人和其他组织合法权益的活动,不得危害计算机信息网络的安全。
第二章 安全保护和管理
第六条 计算机信息系统实行安全等级保护制度。
计算机信息系统的安全保护等级分为五个等级。等级确定的原则、标准、各级别安全保护和管理内容按照国家和省有关规定执行。
涉密信息系统应当根据国家等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护管理规定和技术标准,结合系统实际情况进行保护。
第七条 信息中心作为安全等级保护的责任主体,应当按照国家有关管理规范、技术标准确定计算机信息系统的安全保护等级。对新建、改建、扩建的计算机信息系统,应当在规划、设计阶段确定计算机信息系统的安全保护等级,并同步建设符合该安全保护等级要求的信息安全设施,使用符合国家有关规定并满足计算机信息系统安全保护需求的信息安全产品。
第八条 新建的第二级及以上计算机信息系统,应当在系统投入运行后三十日内到市公安局办理备案手续。已运行的第二级及以上计算机信息系统,应当在安全保护等级确定后三十日内到市公安局办理备案手续。
第九条 信息中心应当建立计算机信息系统安全状况日常检测工作制度。
第十条 信息中心应当按照国家有关管理规范和技术标准,定期对计算机信息系统安全等级状况开展等级测评,对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查。
第十一条 建立并落实以下安全保护制度:
(一)安全责任制度和保密制度;
(二)核实、登记并及时更新用户注册信息制度;
(三)信息发布审核、登记、保存、清除和备份制度;
(四)信息网络安全教育和培训制度;
(五)信息网络安全应急处置制度;
(六)违法案件报告和协助查处制度;
(七)国家和省规定的其他安全保护制度。
第十二条 落实以下安全保护技术措施:
(一)系统重要数据备份、容灾恢复措施;
(二)计算机病毒等破坏性程序的防治措施;
(三)系统运行和用户使用日志备份并保存六十日以上的措施;
(四)记录、监测网络运行状态和各种网络安全事件的安全审计措施;
(五)网络安全隔离以及防范网络入侵、攻击破坏等危害网络安全行为的措施;
(六)密钥、密码安全管理措施;
(七)国家和省规定的其他安全保护技术措施。
第十三条 信息中心和相关业务处室必须制定重大突发事件应急处置预案。发生重大突发事件时,应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
本办法所称的重大突发事件,是指有害信息大范围传播、大规模网络攻击、计算机病毒疫情等危害计算机信息系统安全的重大事件。
第十四条 计算机信息系统中发生重大安全事故的,应当在二十四小时内向所在地公安机关报告,违反国家保密法规定泄露国家秘密的,应当向所在地保密工作部门报告,并保留有关原始记录。因计算机病毒等破坏性程序发生计算机信息系统瘫痪、程序和数据严重损坏等安全事故的,应当向所在地公安机关提供计算机病毒等破坏性程序的样本。
公安机关、国家安全机关、保密工作部门对危害计算机信息网络安全和涉嫌违法犯罪的活动依法进行调查时,应当依法如实提供有关信息、资料及数据文件。
第三章 计算机上网行为管理
第十五条 任何单位或者个人不得从事下列危害计算机信息网络安全和秩序的行为:
(一)破坏计算机信息网络运行环境、设备设施;
(二)故意制作、传播、使用计算机病毒、恶意软件等破坏性程序,或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息;
(三)擅自进入、使用他人计算机信息网络,擅自增加、修改、删除、复制他人计算机信息网络的数据,干扰他人计算机信息网络的功能;
(四)利用计算机信息网络大量或者多次发送电子邮件、短信息等,干扰他人正常生活秩序或者网络秩序;
(五)利用计算机信息网络违背他人意愿、冒用他人名义发布信息;
(六)擅自利用计算机信息网络收集、使用、提供、买卖他人专有信息;
(七)其他危害计算机信息网络安全和秩序的行为。
第十六条 任何单位或者个人不得利用计算机信息网络制作、发布、传播含有下列内容的信息:
(一)反对宪法确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗习惯的;
(五)破坏国家宗教政策,宣扬邪教、封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的;
(八)公然侮辱他人或者捏造事实诽谤他人的;
(九)以非法社团名义活动的;
(十)买卖法律、法规禁止流通的物品的;
(十一)非法买卖法律、法规限制流通的物品,对公共安全构成威胁的;
(十二)含有淫秽、色情、赌博、暴力、欺诈等内容,或者教唆犯罪、传授犯罪方法的;
(十三)含有法律、法规禁止的其他内容的。
第十七条 工作时间不得从事以下与工作无关的内容:
(一)使用电脑上网聊天、玩游戏、看电影、看小说、炒股等;
(二)使用bt、电驴(骡)等p2p下载软件;
(三)不得访问、发布、下载反动、淫秽、色情、暴力等信息;
(四)不得浏览任何与工作无关的信息。
第四章 设备和系统维护管理
第十八条 机房设备及托管设备必须进行建档管理,设备档案包括设备厂商、设备品牌、设备名称、设备型号、设备编号、硬件配置、网络资源配置、启用时间、存放位置、变动情况、故障情况、维修记录等。
第十九条 设备运行情况必须进行巡检记录,详细记录设备的cpu、内存、硬盘、网卡、电源、风扇等运行情况。
第二十条 设备的升级、改造、维护、维修由信息中心统一负责,不得随意拆卸、改装或变更用途。
第二十一条 严格执行设备防水、防火、防电、防雷规定,预防水火电侵害,确保人身和设备的安全。
第二十二条 服务器在安装完操作系统后,必须配置安全策略,包括密码策略、审计策略、访问策略、用户权限等;不得安装非业务系统需要的任意软件及盗版软件。
第二十三条 不得随意调整网络设备的用途、更改网络设备配置。
第二十四条 不得在在用系统的服务器上建立与该业务系统无关的文件和目录。
第二十五条 不得在在用系统的服务器上做其他业务系统测试任务。
第二十六条 机房出入必须做好登记工作,无关人员不得进入机房;外来维护人员、参观人员必须在管理员陪同下进行。
第五章 计算机病毒防护管理第二十七条 计算机必须安装正版操作系统,及时安装系统升级补丁。
第二十八条 计算机必须安装国家许可的防病毒软件,及时更新软件版本和病毒库;定期对系统进行全面病毒扫描。
第二十九条 计算机安装的工作软件必须是正版的,通过合法途径获取的;其他工作需要的软件在安装前必须进行病毒扫描;不得安装与工作无关的软件。
第三十条 移动存储介质在接入计算机时,必须进行病毒扫描。
第三十一条 所有计算机及服务器均不得共享文件夹。
第六章 数据安全管理
第三十二条 源代码、业务数据必须制定备份策略,定期备份至本地备份中心和远程灾备中心;对同一份数据采用不同介质、不同地点同时存放;数据存放周期根据业务需要确定,不得低于6个月。
第三十三条 根据数据的保密要求和用途,确定使用人员的存取权限、存取方式。
第三十四条 备份的数据必须存储在专门的存储器上,由专人保管,一般工作电脑不得存放业务数据,禁止泄露、外借和转移业务数据。
第三十五条 业务系统设计过程必须对数据库加密处理。
第三十六条 业务系统设计过程必须对网络传输加密处理。
第三十七条 业务系统在需求上需要和其他政府部门进行数据共享和交换的,与相关政府部门必须签订保密协议,进行加密交换。
第三十八条 对有机会接触到数据的系统开发商、维护单位必须签订保密协议。
第三十九条 业务数据和备份数据不得在因特网上传输;数据的复制、交接必须专人负责。
第四十条 业务系统必须严格控制用户访问权限和密码设置要求,与业务无关人员不得访问业务系统。
第四十一条 本办法自发布之日起执行。
