社中央机关各部门:
《九三学社中央信息网络管理规定》已经社第十四届中央委员会第六十五次主席办公会议审议通过。现予印发,请遵照执行。
九三学社中央办公厅
2022年4月22日
九三学社中央信息网络管理规定
(2022年4月1日九三学社第十四届中央委员会第六十五次主席办公会议通过)
第一章 总则
第一条 为规范社中央信息网络管理工作,明确工作职责,规范工作流程,提高工作效率,确保信息网络安全、稳定、高效运行,根据《中华人民共和国网络安全法》等有关法律法规,制定本规定。
第二条 社中央成立网络安全与信息化领导小组(以下简称网信领导小组),由社中央常务副主席任组长、分管网络安全与信息化建设工作的副主席为副组长,机关各部门主要负责人和网络安全与信息化建设分管负责人为成员。社中央网信领导小组在主席办公会议统一领导下负责领导和管理社中央网络安全与信息化建设和软件正版化等工作。
第二章 网络信息安全
第三条 九三学社中央机关法定代表人为社中央机关网络安全第一责任人,机关各部门主要负责人为本部门网络安全第一责任人。
第四条 机关网络和信息系统依法实行网络安全等级保护制度。
第五条 计算机终端数据信息安全原则为“谁使用,谁负责”;信息系统数据信息安全原则为“谁主管,谁负责”。
第六条 社中央机关应采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
第七条 社中央机关应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月。
第八条 机关工作人员不得利用机关网络进行任何干扰网络用户、私自窃取他人计算机信息、破坏网络服务和网络设备的活动。
第九条 机关工作人员不得通过机关网络制造、散布、传播谣言,发布不真实的信息或散布计算机病毒,不得查阅、复制和传播有碍社会治安和淫秽、色情的信息。
第十条 机关工作人员严禁利用非涉密计算机及其信息系统存储、处理涉密信息。
第十一条 违反规定的行为,视情节和后果轻重,给予教育、批评、行政处分等;违反法律的,依法追究法律责任。
第三章 计算机使用
第十二条 本规定所称“计算机”,主要指社中央机关为机关工作人员配备办公用非涉密台式计算机、便携式计算机。涉密计算机的管理与使用,按照《九三学社中央机关保密工作规定》执行。
第十三条 计算机由领用部门指定专人管理,使用人应妥善保管所领用计算机。
第十四条 计算机的放置和使用应远离磁性物质、水源、热源、尘埃等。使用人下班后应关闭计算机并切断电源。
第十五条 使用人不得自行打开设备外壳,私自拆换零配件,不得安装非正版软件。
第十六条 使用人在上班时间不得利用计算机从事与工作无关的活动。
第十七条 使用人不得将计算机交由非机关工作人员或非机关指定的专业维护人员操作使用。
第十八条 计算机统一安装防病毒软件,使用人不得擅自停止运行或卸载防病毒软件。
第十九条 使用人禁止使用计算机制造任何形式的恶意代码。
第二十条 使用人必须定期进行业务数据备份。在计算机数据备份前,必须对存放备份数据的物理介质进行计算机病毒检查,确保无病毒后,方可使用。
第二十一条 使用人携带计算机外出使用网络时,应确保接入安全的网络。
第四章 机关办公网络
第二十二条 本规定所称的“机关办公网络”是指社中央机关办公使用的有线局域网络和无线局域网络。
第二十三条 机关办公网络为非涉密网络。不得将涉密计算机及设备和未安装杀毒软件的个人计算机接入机关办公网络,不得在机关办公网络处理和存储涉密信息。
第二十四条 接入机关办公网络的计算机不得通过其它方式另行接入互联网。
第二十五条 计算机接入机关有线局域网络时,使用统一分配的局域网静态IP地址,静态IP地址与计算机MAC地址绑定。
第二十六条 机关无线网络覆盖区域为机关办公楼办公区域。设置“93wifi”和“93wifi-guest”两个SSID无线网络。
第二十七条 机关工作人员的无线设备,可通过统一设置的无线网络账号接入“93wifi”。机关工作人员应妥善保管用户名和密码等个人信息,不得将用户名和密码转给他人,因个人密码泄漏导致的相关安全问题和责任,由用户自行承担。
机关访客的无线设备可接入“93wifi-guest”,由机关受访人员扫描二维码进行审批,网络安全责任由审批人负责。
第二十八条 任何用户不得擅自修改接入机关办公网络计算机的连接关系、运行状态和系统网络配置。
第二十九条 不得在机关办公网络擅自架设网络设备,不得在连接机关办公网络的计算机上设置无线热点。对因擅自安装个人设备造成网络安全事故的,依法追究当事人的责任。
第五章 信息系统建设与管理
第三十条 本规定所称的“信息系统”是指社中央根据业务、管理等需要而购置、研发和部署的非涉密信息系统。涉密信息系统的管理使用,按照《九三学社中央机关保密工作规定》执行。
第三十一条 宣传部为业务主管部门,负责主管社中央机关信息系统建设、运维、监管,负责信息系统的规划、建设、运行维护和技术支持。机关各部门为应用主管部门,负责分管相关信息系统的应用,负责信息系统的需求提出与完善、培训和应用管理。
第一节 信息系统建设
第三十二条 机关各部门根据业务需要提出信息系统建设需求,宣传部对建设需求进行汇总、初审,报网信领导小组批准。
第三十三条 宣传部与需求提出部门共同成立项目工作组,负责确定信息系统项目建设的内容、范围、技术参数和实施周期,编写需求说明,编制招标文件,组织招投标活动,确定项目实施单位,对信息系统进行网络安全等级保护定级和备案工作。
第三十四条 项目实施单位须向项目工作组提交系统建设方案和实施方案及保密协议,实施方案包括:实施计划、人员职责、岗位职责、行为准则、进度控制、责任和权利等条款。
第三十五条 明确项目实施单位的数据安全责任,建立数据安全事前审核、事中留痕、事后追溯机制,确保安全事件可定责,可追溯。
第三十六条 对于数据安全保护程度高的项目,应委托有关方面,对参与项目建设的关键数据岗位人员开展必要的安全背景审查。
第三十七条 信息系统中的软件开发项目须遵照软件开发管理规范进行开发。信息数据必须符合国家电子政务相关技术标准。所开发的软件产权归社中央所有。
第三十八条 定制开发或版本升级及需要大量培训的信息系统须部署测试环境。系统开发调试、用户使用培训等在测试环境中进行。
第三十九条 信息系统安装部署完成后,项目实施单位应在验收前进行功能、性能和安全测试,出具检测报告。信息系统须通过网络安全等级保护测评后,方可进入试运行期。
第四十条 项目实施完毕,应按照合同要求进行验收。项目工作组应对信息系统的部署实施、性能、安全性和功能及应用情况进行确认。
第四十一条 信息系统全部实施文档、技术资料、源程序交付宣传部归档,使用手册等文档交付应用主管部门。项目工作组成员和项目实施单位成员不得泄露信息系统的技术资料、源程序和加密措施等。
第二节 信息系统应用
第四十二条 信息系统应用主管部门应指定专人担任信息系统业务管理员,负责管理信息系统业务应用、推广及用户操作指导;信息系统使用部门和单位应指定专人担任信息系统操作人员,负责管理、开展相关业务工作。
第四十三条 应用主管部门应积极引导和促进信息系统的使用。应用主管部门须在系统上线运行3个月内,组织各级管理员和普通操作人员进行使用培训。
第四十四条 应用主管部门应根据业务需要和信息系统的实际情况,及时提出修改和完善业务工作流程需求。
第四十五条 业务管理员和操作人员应熟练掌握信息系统的使用方法,根据业务要求及时处理相关业务信息数据,并根据情况及时更新业务数据信息。
第四十六条 信息系统用户采用实名制管理。信息系统帐号为各操作节点人员认证的唯一凭证。帐号拥有者应重视帐号安全,不得转借他人。信息系统中任何登录帐号所进行的操作,均视为帐号拥有者本人操作,出现的任何责任由帐号拥有者承担。业务管理员应及时变更离职或调职人员的信息系统管理使用权限。
第四十七条 用户密码更换周期不得超过6个月,不得使用弱口令。原则上用户初始密码不能用于业务实现。
第四十八条 未经授权,任何人不得通过打印、拷贝、截屏等方式泄露各信息系统中的信息数据等给非授权人员。
第四十九条 因工作人员个人原因导致信息系统信息泄露等安全事故并造成重大损失的,按照国家有关法律法规处理。
第三节 信息系统运维
第五十条 信息系统运维工作包含基础环境、安全性、可用性、功能性管理保障和数据运维等。
第五十一条 信息系统基础环境运维:
(一)服务器管理、虚拟机管理、应用服务器须建立安装、配置、安全扫描、升级、补丁修复、日志记录与归档、异常检测等操作规程。
(二)承载重要应用的操作系统,须建立密码定期更换机制。
(三)承载重要应用的系统环境,须根据实际情况建立定期巡检、扫描、分析机制。
第五十二条 信息系统安全性运维:
(一)应定期对信息系统进行安全扫描,对潜在的系统漏洞与安全漏洞进行定期检测。
(二)应定期对信息系统的账户、密码、权限进行统计清理;重要系统的账户登录、权限分配应进行行为审计。
(三)具有内容交互式功能的信息系统,应建立敏感关键字监测机制,并定期对关键字进行更新维护。
(四)定制开发系统及采购的成品系统存在安全隐患的,应及时向宣传部负责人汇报和系统业务主管部门反馈。
第五十三条 信息系统可用性运维:
(一)因网络原因导致信息系统不可用时,由运维管理员及时排查处理网络故障。
(二)因服务器或网络硬件故障等原因导致信息系统不可用时,由运维管理员及时重启或更换备件。
(三)因操作系统、应用软件故障导致信息系统不可用时,由应用主管部门管理员协调项目技术支持单位进行处理。
第五十四条 信息系统功能性运维:
(一)因为业务变动,需要对信息系统的流程进行调整、新增或变更功能模块、进行结构性改动的,由应用主管部门提出版本升级需求,按照信息系统建设处理。
(二)信息系统功能模块出现缺陷需要修复或存在安全性隐患需要调整,且不存在结构性改动的,由项目工作组协调项目实施单位按照合同约定进行功能性维护。
(三)账户、权限调整的功能性维护,由信息系统业务主管部门负责。
第五十五条 信息系统数据运维:
(一)数据管理权不得向企业转让。信息系统维护单位要履行数据安全保护义务,不得擅自留存、使用、泄露或向他人提供数据,不得商用,不得擅自向境外提供。
(二)数据中敏感个人信息要进行脱敏处理和加密保护。
(三)网络安全等级保护等级定级为第三级的信息系统至少每日执行一次全备,备份保留期不得低于7天。
(四)网络安全等级保护等级定级为第二级的信息系统至少每周执行一次全备,每日执行一次差异备份或者增量备份,备份保留期不得低于30天。
(五)网络安全等级保护等级定级为第二级以下的信息系统至少每月执行一次全备,每周执行一次差异备份或者增量备份,备份保留期不得低于60天。
(六)备份数据一般应做异机备份,重要数据要做异地备份。
(七)备份数据使用应按照信息系统数据恢复规程操作。
第六章 应急处理
第五十六条 当社中央机关网络和信息系统遭受不可预知的外力破坏、毁损或故障,造成系统中断、设备损坏、数据丢失等,以及发生对工作造成严重危害的网络与信息安全事件,宣传部应启动应急预案处置。
第一节 安全事件分级
第五十七条 重大网络与信息安全事件。指社中央业务数据信息丢失或泄露,或者网站首页被篡改出现有害信息及链接,或者信息系统业务中断一天以上的信息安全事件。
第五十八条 较大网络与信息安全事件。指非业务数据信息丢失或泄露,或者网站内页被篡改出现有害信息及链接,或者信息系统业务中断一天以内两个小时以上的信息安全事件。
第五十九条 一般网络与信息安全事件。指信息系统业务中断两个小时以内的信息安全事件。
第二节 应急处置
第六十条 坚持预防为主的原则,加强网络与信息安全监测,及时收集、分析、研判监测信息,发现网络与信息安全事件倾向或苗头,迅速采取有效措施加以防范,及早消除安全隐患。
第六十一条 当重大网络与信息安全事件和较大网络与信息安全事件发生或将要发生时,经网信领导小组批准,启动网络与信息安全应急处置预案。
第六十二条 当发生网络与信息安全事件时,应当区分事件性质为自然灾害事件或人为破坏事件,分别采用不同处置流程。
第六十三条 应根据发生的网络与信息安全事件严重程度采取相应的具体处置办法。对有害信息应及时屏蔽删除,对黑客和病毒入侵应及时隔离,对软件系统故障及时处理修复,对硬件故障应及时更换,对物理环境破坏应及时保修等。
第三节 善后处理
第六十四条 应急处置工作结束后,要迅速组织抢修受损设施,减少损失,尽快恢复正常工作。
第六十五条 对事件造成的损失和影响进行分析评估;调查事故原因,制定恢复重建计划并组织实施。
第六十六条 消除有害信息,防止进一步传播,将事件的影响降到最低。
第六十七条 在处置有害信息的过程中,任何部门和个人不得保留、贮存、散布、传播所发现的有害信息。
第四节 应急保障
第六十八条 宣传部应制定并实施相应培训和演练计划,提高应对网络与信息安全事件的能力。
第六十九条 根据应急保障工作需要,应及时采购应急处置工作必需的设备或工具软件。
第七十条 加强应急处置工具及设备维护调试,保证其随时处于可用状态。
第七十一条 重要信息系统应当建立备份系统和相关工作机制,保证重要数据受到破坏后可紧急恢复。
第七章 软件正版化
第七十二条 本规定所指的软件是指操作系统、办公软件、杀毒软件和其他具有专业用途的软件。
第七十三条 宣传部根据各部门需求制定年度正版软件的采购计划,并将软件采购经费纳入年度预算,确保软件正版化工作资金到位、措施到位、管理到位。
第七十四条 宣传部负责正版软件的安装、使用、保管、升级、版权保护及软件的日常台账备案,负责监督检查软件正版化工作的开展与执行情况。
第七十五条 计算机使用人不得擅自更改操作系统、办公软件、杀毒软件及有关专用软件。
第七十六条 因使用非正版软件而引起纠纷或诉讼,损害国家机关形象,造成不良影响,致使单位承担法律责任的,按“谁使用谁负责”原则,追究相关人员的责任。
第七十七条 宣传部按年度对办公计算机进行检查,对非统一安装的操作系统、办公软件、杀毒软件和专用软件进行更换。
第八章 附则
第七十八条 本规定自社中央主席办公会议通过之日起施行。
