第一条 为加强雅安市发展和改革委员会网络安全日常管理,切实履行网络安全岗位责任,提高网络安全意识,结合我委实际,制定本制度。
第二条 本制度对网络安全岗位职责,重点岗位人员管理,离岗离职安全管理,机房访问管理等作了明确规定。
第三条 网络安全组织机构及工作职责:
(一)网络和信息安全领导小组组长由分管网络和信息工作的副主任担任,全面负责计算机网络信息安全。副组长由办公室主任担任,统筹安排网络和信息化工作。小组成员由信息中心与各科室负责人组成,具体负责网络和信息系统安全。
(二)网络信息安全人员管理
1.我委网络信息安全人员包括网络信息管理人员、网络信息维护人员和网络信息操作人员。
2.网络信息安全人员的配备和变更情况,应向上一级单位报告、备案。
3.网络信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及我委网络核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
网络信息安全管理人员应履行以下职责:
1)负责信息安全管理的日常工作;
2)开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
3)负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
4)开展信息安全知识的培训和宣传工作;
5)监控信息安全总体状况,提出信息安全分析报告;
6)及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
网络安全维护人员应履行以下职责:
1)保障计算机网络设备和配套设施安全,保障网络信息及运行环境安全,保障网络系统的正常运行,保障信息系统的安全运行;
2)对网络接入的用户,用防火墙技术屏蔽非法站点并保留日志文件,定期进行网络检查,规划、管理好各用户组,设定适当用户权限;
3)负责网络安全和网上信息安全。如对网络安全和网上信息安全提出技术措施,须经上级领导批准后再实施;
4)定期备份系统数据,仔细阅读记录文件,关注任何异常现象,定期维护和保养网络中心交换设备;
5)每周末对机房的安全情况进行例行检查并记录检查情况,每周对服务器进行系统扫描和更新,避免安全漏洞出现,抵御他人攻击。
6)网络安全维护人员必须遵守网络安全有关法律规定,保护国家机密,净化网络环境,管理员密码和安全策略属网络中心核心机密,不得泄露;
7)对用户联网计算机IP地址进行添加、删除等操作应做好记录,任何人不得随意更改IP地址;
(三)要害岗位人员管理
1.信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
2.重要信息系统,是指涉及财务、审计、人事等核心业务且有保密要求的信息系统。
3.要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考察等,合格者方可上岗。
4.要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式做出安全承诺。
5.要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
6.对要害岗位人员应实行定期考察制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
7.要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务 。涉及单位业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
8.要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
要害岗位安全责任:
1)系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;严格用户权限管理,维护系统安全正常运行;认真记录系统安全事项,及时向信息安全人员报告安全事件;对进行系统操作的其他人员予以安全监督。
2)网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;对操作网络管理功能的其他人员进行安全监督;保证服务器装有防火墙和有效的病毒检测程序,并保证实时监控程序最新运行。
3)系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;系统投产运行前,应完整移交系统源代码和相关涉密资料;不得对系统设置“后门”;对系统核心技术保密。
4)系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;不得擅自改变系统功能;不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告信息安全人员。
5)业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;不得向他人提供自己的操作密码;及时向系统管理员报告系统各种异常事件。
6)各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
(四)第三方人员管理
1.第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
2.应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
3.第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
4.一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测以及其他软件的安装等,不许接入自带的设备。
5.第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
6.第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第四条 外部人员访问机房等重要区域审批规定:
(一)因工作需要进出机房、档案室、业务办理区等重要区域,相关区域负责人员应根据操作内容,确定进入人员,选择进出时间,填写《机房等重要区域出入审批登记表》,重大操作原则上应放在业务数据录入或备份之后进行。整个工作过程需由相关科室工作人员陪同进行。
(二)非本部门人员,严禁单独进入机房、档案室、业务办理区等重要区域,确需进入的,机房管人员必须全程陪同,严禁从事非业务范围内的其它任何操作。
(三)外部参观人员出入机房、档案室、业务办理区等重要区域,由单位领导或科室负责人陪同进行参观,相关区域工作人员需做好登记备案工作。
(四)相关业人员进入机房,原则上须两人同时进出,并按规定进行相关业务操作,严禁随意对设备进行操作,严禁接触与业务无关的设备,如违规造成网络和业务系统事故的,将追究操作人员的责任。
(五)机房、档案室、业务办理区等重要区域配备监控设施,未按规定进入者,如造成损失和泄密等不安全后果的,相关重要区域负责人和相关重要区域工作人员,给予严肃处理。损失后果情节严重的,由本单位依照有关规定进行处理;如触犯国家有关法律、法规者,移交公安、司法机关处理。违反本规定,给国家、集体或者他人财产或人身安全造成损失的,应当依法承担民事或刑事责任。
