沪农委〔2018〕50号
机关各处室,各直属单位:
为了加强市农委系统网络与信息安全的监督管理工作,现将《上海市农业委员会网络与信息安全管理办法》印发给你们,请认真贯彻执行。
特此通知。
上海市农业委员会
2018年3月8日
上海市农业委员会网络与信息安全管理办法
第一章 总则
第一条 为加强市农委系统网络与信息安全规范管理,规范市农委系统网络与信息安全工作,依据《网络安全法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《上海市公共信息系统安全测评管理办法》等国家和上海的有关规定,结合本系统实际情况,制定本办法。
第二条 本办法适用于市农委机关各处室和市农委各直属单位,以下简称“各处室(单位)”。
第三条 市农委各处室责任人和各直属单位党政一把手对本处室(单位)网络与信息安全负主要责任;各处室(单位)应明确1名分管领导,负责本处室(单位)的网络与信息安全管理工作;设立1名信息安全联络员,负责日常信息安全联络、督促、检查、指导工作。各处室(单位)应向市农委网络与信息安全管理处室报备网络信息安全分管领导以及联络员的姓名、联系电话和邮箱,并在人员发生变动时,及时报送人员调整信息。
第四条 本办法中所涉及的网站、平台或系统等相关的资产,均坚持“谁主管谁负责”、“谁运营谁负责”、“谁使用谁负责”的原则。
第二章 安全合规和人员职责要求
第五条 网站、平台或系统等应按照相关要求做好ICP备案、国际联网备案以及党政机关网站标识悬挂工作。
第六条 对达到以下标准中任何一项的网站、平台或系统,应做好二级或二级以上网络安全等级保护备案和测评工作。
(一)项目建设资金(含升级改造、二期及后续新建扩建项目,不含运维)累计超500万元人民币(含500万)的信息化项目;
(二)日均访问量或活跃用户数超过100万的网站、平台或系统;
(三)可能会造成超过100万人个人或企业敏感信息泄露的网站、平台或系统。
第七条 各处室(单位)应对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。凡属关键信息基础设施项目的,还应当履行下列安全义务:
(一)各处室(单位)应对关键岗位人员进行安全背景审查;
(二)定期对关键岗位人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)按照各处室(单位)制定的网络安全事件应急预案要求进行应急演练;
(五)在采购网络产品或服务过程中,相关处室(单位)应按照《计算机信息系统安全专用产品检测和销售许可证管理办法》等政策文件要求,采购公安部等相关单位所许可的产品或服务,确保所购网络产品或服务通过国安安全审查;
(六)相关处室(单位)应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次渗透测试,并将渗透测试情况和改进措施报送市农委信息化管理处室。
第八条 各处室(单位)应按要求对各自主管的网站、平台或系统等做好安全应急演练和每年不少于二次的安全扫描工作,对发现的安全问题应及时整改。
第九条 所有进入诸如机房、办公场所等重要区域的外来人员应遵从相关区域外来人员的管理要求。
第十条 在第三方公司人员提供系统维护、调整和测试等各项技术支持服务前,相关处室(单位)应与第三方公司签订保密协议和服务合同。保密协议中应明确保密内容、知悉范围、保密期限、保密义务及违约责任等。服务合同中应明确安全责任、服务内容、服务方式和违约责任等。
第十一条 第三方公司人员的技术支持能力必须通过市农委相关处室(单位)安排的技能考核或持有相关机构考核证书才能上岗。
第十二条 各处室(单位)应做好本处室(单位)信息安全培训计划的制定和实施工作。
第十三条 各处室(单位)人员应按照“涉密不上网、上网不涉密”原则严格做好保密工作,应为敏感性信息加上标签,并妥善保管、使用此类信息。
第十四条 各处室(单位)人员在互联网论坛、电子邮箱等个人应用中,使用的用户名和密码,不应与办公系统或业务应用系统的用户名和密码相同。
第十五条 各处室(单位)网站、平台或系统等不得登载和传播淫秽、色情等中华人民共和国法律、法规禁止的不良信息内容。不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。
第十六条 禁止登陆访问反动、邪教、暴力、色情等非法不良网站;各处室(单位)人员访问互联网必须遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动。
第十七条 不与非法网站建立任何性质的合作关系,不与其他网站或企业建立违背政府有关部门规定的联盟或协作关系。
第十八条 各网站及业务系统凡从事登载新闻信息、电子公告服务以及移动电信增值服务等业务,应当依照有关法律法规的规定,履行审批或备案手续,取得合法资格。
第十九条 凡对互联网进行信息发布的各网站及业务系统,应建立信息发布审核和保密审查制度,确定负责信息编辑、信息审核、信息发布的人员,明确审核审查程序,并保存记录。
第二十条 各处室(单位)在发生网站瘫痪、网页篡改或挂马、分布式拒绝服务攻击、域名劫持、信息泄漏等信息安全事件时,应根据应急预案进行处理,并在1小时内报告市农委信息化管理处室。重大安全事件由市农委信息安全领导小组报相关部门。
第二十一条 禁止制作、传播计算机病毒等破坏性程序。
第二十二条 禁止通过网络,扫描和攻击其他人员的计算机和网络设备。
第三章 项目建设、运维和使用要求
第二十三条 网站、平台或系统等建设均应遵循安全三同步原则,即“同步规划、同步建设、同步运行”。保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改等。
第二十四条 网站、平台或系统等上线必须经过拥有信息安全服务资质的第三方安全测评,安全测评结果应向市农委信息化管理处室报备。
第二十五条 已上线的网站、平台或系统等不能存在测试帐号和无主帐号,且不允许存在共享帐号和弱口令,必须明确每个帐号责任人,不得以部门或用户组作为最终责任人。
第二十六条 前期开发调试工作与现有网络设备应尽可能实现物理分离或逻辑分离,例如:独立的实验环境、不同的计算机或不同的域、目录等;
第二十七条 开发文档需要包括但不限于:可行性研究报告、概要设计说明书、软件需求说明书、详细设计说明书、开发计划、测试分析报告、数据要求说明书、用户手册、操作手册等,应做好档案保存工作并及时向市农委信息化管理部门报备(提交归档证明)。
第二十八条 各网站、平台或系统的帐号设置应与岗位职责匹配,并坚持最小授权原则,避免超出工作职责的过度授权。重要系统应建立操作员、管理员、审计员三员管理角色。
第二十九条 不应在程序或进程中固化帐号和口令。在各操作系统中,应禁用GUEST帐号,禁用或删除不必要的帐号,并设置屏幕保护密码。
第三十条 在第一次登录网站、平台或系统时,应修改分配的临时口令。
第三十一条 各处室(单位)禁止使用他人帐号登录网站、平台或系统进行各项操作(除经被登录帐号所有人同意,且符合一事一授权外)。凡网站、平台或系统中数据库、管理员等密码管理应由系统建设方负责,各网站、平台或系统中开设的非管理员用户密码以及防止泄露工作,应由各用户自行负责。
第三十二条 定期修改网站、平台或系统的口令,或根据访问次数修改口令,避免重复或循环使用旧口令;口令不得以明文方式保存或者传输;口令至少应由8位及以上,由大小写字母、数字及特殊符号等混合组成,不宜以姓名、电话号码以及出生日期等作为口令组成部分。
第三十三条 在远程维护管理时,应使用具有加密协议的登录控制模块,且禁止自动登录设定。登录后10分钟内未有任何操作,应自动断开(远程登录)或退出(本地登录)。
第三十四条 所有工作往来文件应使用市农委官方电子邮箱进行收发;重要或敏感文档信息应加密后,再行发送,密码与文档应通过不同方式分别告知收件人。
第三十五条 严禁各处室(单位)相关人员未经授权擅自将数据或应用复制其他单位或个人。
第三十六条 各处室(单位)相关人员应根据现实网络状况进行网络拓扑图更新,严格限制拓扑图的分发范围。
第三十七条 各网站、平台或系统维护作业计划的执行情况应记录在案,形成台账,接受上级主管部门的检查。
第三十八条 服务器操作系统和应用系统部署应遵循最小安装原则,禁用不必要的服务组件、应用插件、注册表项等。严禁网站、平台或系统运维、使用人员在工作机中安装、使用与工作无关的软件。
第三十九条 各处室(单位)内网计算机严禁通过无线热点、蓝牙网络共享以及USB网络共享功能等方式连接互联网。
第四十条 凡需外送修理的设备,应将设备的硬盘及其他存储部件拆下后送修;对于硬盘故障,一律替换新品,并做好数据转移工作,不应将故障硬盘交给维修或其他单位人员处置;如需进行数据恢复,应选择具有涉密资质认证或具有其他国家相关部门许可认证的机构进行,并签订数据保密协议;对于需报废的硬盘应送至市保密局指定地点消磁或予以物理损坏。
第四十一条 各处室(单位)应使用正版的操作系统和正版的应用软件。
第四十二条 各处室(单位)办公用计算机应安装、使用统一管理的防病毒软件,并保证各防病毒软件正常运行,病毒特征码的正常更新,严禁关闭或私自卸载办公用计算机的防病毒软件。
第四十三条 所有可移动介质接入各处室(单位)网站、平台或系统服务器之前必须先做病毒扫描,确认其没有病毒后方可接入。
第四十四条 各处室(单位)相关人员应及时做好操作系统、中间件、数据库软件等相关系统及软件的补丁安装工作。
第四十五条 移动存储介质只适用于进行临时的数据导入导出,不能作为数据的日常保存介质。
第四十六条 包含敏感信息的介质报废时,应被安全地处置,如粉碎、焚毁,或清空其中的数据,以防止信息泄密。
第四十七条 各网站、平台或系统等所有单位,有责任保护应用、系统、网络、审计等日志的安全,防止日志被非法窃取、修改和删除,所有日志均应按照法律法规等要求留存。
第四十八条 承载业务应用或数据信息的各处室(单位)应要求网站、平台或系统开发方或者运维方及时对数据进行数据分类、数据加密、数据备份,防止系统、数据的丢失。
第四十九条 备份数据应按相关制度严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
第四章 附则
第五十条 对各类违反本管理办法,拒不改正的,或导致危害网络安全等后果的,将在委内进行通报批评。构成犯罪的,依法由国家权力机关追究刑事责任。
第五十一条 本办法解释权归上海市农业委员会。
本办法自发布之日起正式实施。
|