北京市科委办公室关于进一步加强信息系统安全管理
的通知
文章属性
•【制定机关】
•【公布日期】2012.12.31
•【字号】
•【施行日期】2012.12.31
•【效力等级】地方规范性文件
•【时效性】现行有效
•【主题分类】机关工作
正文
北京市科委办公室关于进一步加强信息系统安全管理的通知各处室、各直属单位:
为进一步加强我委信息化安全管理,建立、健全信息安全保障体系,依据《中华人民共和国计算机信息系统安全保护条例》有关要求,参照《信息安全等级保护管理办法》、《北京市党政机关计算机网络与信息安全管理办法》、《北京市公共服务网络与信息系统安全管理规定》等相关标准,根据委领导要求,现将有关工作要求通知如下。
一、统一领导,各负其责,全面加强信息化安全管理工作
市科委信息化领导小组统筹规划、全面负责全委信息化安全工作。
市科委办公室负责制定信息化安全管理工作计划,组织开展信息化安全检查、督导,协调落实信息化领导小组各项管理要求。
北京市科技信息中心负责我委主要信息化系统的日常安全管理及运行保障工作;根据信息化安全管理工作计划,联合北京软件产品质量检测中心或其他第三方机构进行信息系统安全检查。
按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,各处室、各直属中
心要明确信息系统安全管理责任人,建立健
全信息安全责任制,将系统信息安全责任逐一落实到具体部门、岗位和人员,切实加强系统信息安全管理。
二、全面实施,分级保护,开展信息安全等级测评工作
新建和升级改造系统要按照“自主定级、专家评审、主管部门审定”的原则,根据国家信息安全管理规范和技术标准,科学准确开展系统的定级,并履行备案手续。
(一)自主评估,申报等级。相关处室及直属中心要综合评估信息系统承载信息的重要性、业务处理对系统的依赖性等因素,填写系统所处理的主要业务(包括各项业务的主要数据项),确定业务信息受到破坏后所侵害的客体及受侵害程度,按照国家有关标准,自主评估,申报信息化系统安全等级,报市科委办公室。
(二)专家评审,科学定级。市科委办公室、北京市科技信息中心根据相关处室和直属中心的申报材料,结合我委信息化安全等级保护整体规划,组织有关方面专家,对各部门提供的系统情况、自行申报的安全等级进行评审,出具评审意见,协调、确定信息系统申报等级并报信息化领导小组审定。
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准具体实施。
(三)等级测评,评估风险。根据各信息系统安全等级,由信息化领导小组确定的安全测评机构进行测评,测评机构依据《信息系统安全等级保护测评要求》等技术标准,对信息系统安全等级状况开展测评,检测安全漏洞,评估安全风险,出具安全测评报告,明确整改要求。
三、完善制度,分类指导,不断规范各系统安全管理
信息化专项项目、委其他专项信息化项目应结合安全等级,严格按照信息系统安全管理规范及制度进行管理。各直属单位自有经费支持的信息化项目可参照执
行。
(一)完善工作制度。参照国家相关部门关于信息安全保护等级有关标准,相关处室和直属中心要结合信息化系统实际情况,完善各自系统的安全管理规章制度,制定系统安全运行及管理方案,明确人员管理、系统软硬件建设、数据及备份管理等相关标准、程序。
(二)强化工作落实。各业务系统相关处室和直属中心要针对安全检测报告明确的相关要求,及时完成整改工作;要参照信息化系统安全等级保护的管理规范及标准,使用能够满足安全保护等级需求的信息技术产品,指定专人对网络和主机进行恶意代码检测并做好记录,加强防恶意代码软件授权使用、密码保护、恶意代码库升级等管理;要定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,对网络与信息安全进行实时检测与监控,严格记录每天系统运行情况,发现问题及时向北京市科技信息中心报告并采取处理措施、存档留查。
(三)签订保密协议。相关处室和直属中心要与系统建设和运维的软件开发商、系统集成商和运维服务商签订《保密协议(单位)》,并与参与项目的工作人员签署《保密协议(个人)》,强化安全保密和风险控制。委托安全测评机构开展技术测评,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。
(四)实施资料报备。新建与升级改造系统投入运行后,应在三个月之内将信息系统基本情况、安全管理工作方案以及保密协议等材料报送市科委办公室备案。
四、加强监督,定期检查,确保信息化系统安全运行
市科委办公室根据全市信息安全工作部署和我委信息化领导小组相关要求,结合重大活动和节假日,组织开展信息系统安全检查和风险评估工作;加强全员信息化安全培训,不断增强员工信息化安全防范意识;委托第三方或软件产品质量检验检测中心,对二级及二级以上的信息化系统进行安全风险评估,对一级信息化系统
进行抽测,通过分析风险提出安全检测报告及风险处置建议。
北京市科技信息中心要采用相应的技术手段,定期监控和检查服务器、路由器、防火墙等网络部件的安全运行状态,加强对信息网络运行状况的监测和报警;及时发现、响应和处置与安全有关的事件,并对各种事件和处理结果进行详细的记录和档案化管理;向信息化领导小组报告重大信息安全事件,办理有关备案手续。
五、健全机制,制定预案,不断提高应急管理水平
全委信息安全突发事件应急处理工作由信息化领导小组统一领导。办公室按照信息化领导小组的整体部署,督促相关部门协同配合、具体实施,完善应急工作体系和预警预防机制,保证应急机制的迅速启动和指挥顺畅。
北京市科技信息中心负责信息安全突发事件的日常监测与预警,按照“防范为主,加强监控”的原则,制定全委信息安全应急预案、应急处理程序和技术方案。安排专人,对信息安全突发事件进行防范、监测、预警、报告、响应,逐步实现发现、预警、处置、通报等多个环节、不同网络、系统、部门之间应急处理的联动机制,及时收集并向市科委办公室报送业务系统突发事件情况。
相关处室和直属中心要按照“谁主管、谁负责,谁运营、谁负责”的原则,研究制定各自系统的应急响应预案,建立应急处置队伍,做好系统文件、数据库等灾难备份,做到快速觉察、快速反应、及时处理、及时恢复。一旦发生信息安全事件,要立即启动应急预案,采取应急处置措施并将相关情况报送至北京市科技信息中心。
有关信息系统安全管理的文件资料,请联系市科委办公室,联系人:李佳璇,联系电话:66153395。
北京市科委办公室
二○一二年十二月三十一日
北京市科委办公室关于进一步加强信息系统安全管理 的通知 文章属性 •【制定机关】 •【公布日期】2012.12.31 •【字号】 •【施行日期】2012.12.31 •【效力等级】地方规范性文件 •【时效性】现行有效 •【主题分类】机关工作 正文 北京市科委办公室关于进一步加强信息系统安全管理的通知各处室、各直属单位: 为进一步加强我委信息化安全管理,建立、健全信息安全保障体系,依据《中华人民共和国计算机信息系统安全保护条例》有关要求,参照《信息安全等级保护管理办法》、《北京市党政机关计算机网络与信息安全管理办法》、《北京市公共服务网络与信息系统安全管理规定》等相关标准,根据委领导要求,现将有关工作要求通知如下。 一、统一领导,各负其责,全面加强信息化安全管理工作 市科委信息化领导小组统筹规划、全面负责全委信息化安全工作。 市科委办公室负责制定信息化安全管理工作计划,组织开展信息化安全检查、督导,协调落实信息化领导小组各项管理要求。 北京市科技信息中心负责我委主要信息化系统的日常安全管理及运行保障工作;根据信息化安全管理工作计划,联合北京软件产品质量检测中心或其他第三方机构进行信息系统安全检查。 按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,各处室、各直属中
心要明确信息系统安全管理责任人,建立健 全信息安全责任制,将系统信息安全责任逐一落实到具体部门、岗位和人员,切实加强系统信息安全管理。 二、全面实施,分级保护,开展信息安全等级测评工作 新建和升级改造系统要按照“自主定级、专家评审、主管部门审定”的原则,根据国家信息安全管理规范和技术标准,科学准确开展系统的定级,并履行备案手续。 (一)自主评估,申报等级。相关处室及直属中心要综合评估信息系统承载信息的重要性、业务处理对系统的依赖性等因素,填写系统所处理的主要业务(包括各项业务的主要数据项),确定业务信息受到破坏后所侵害的客体及受侵害程度,按照国家有关标准,自主评估,申报信息化系统安全等级,报市科委办公室。 (二)专家评审,科学定级。市科委办公室、北京市科技信息中心根据相关处室和直属中心的申报材料,结合我委信息化安全等级保护整体规划,组织有关方面专家,对各部门提供的系统情况、自行申报的安全等级进行评审,出具评审意见,协调、确定信息系统申报等级并报信息化领导小组审定。 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准具体实施。 (三)等级测评,评估风险。根据各信息系统安全等级,由信息化领导小组确定的安全测评机构进行测评,测评机构依据《信息系统安全等级保护测评要求》等技术标准,对信息系统安全等级状况开展测评,检测安全漏洞,评估安全风险,出具安全测评报告,明确整改要求。 三、完善制度,分类指导,不断规范各系统安全管理 信息化专项项目、委其他专项信息化项目应结合安全等级,严格按照信息系统安全管理规范及制度进行管理。各直属单位自有经费支持的信息化项目可参照执
北京市信息安全等级保护办公室 关于印发《北京市信息安全等级保护工作 实施细则》的通知 北京市网络与信息安全协调小组各成员单位、北京市公安局局属各单位,各区县信息化工作部门,各区县国家保密局,各区县密码工作领导小组办公室: 为进一步贯彻落实公安部、国务院信息化工作办公室等四部门《信息安全等级保护管理办法(试行)》(公通字[2006]7号)和《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)精神,在全市范围内落实信息安全等级保护工作,按照《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》(京公网监字[2006]208号)规定,推动首都信息安全等级保护工作顺利开展,保障和促进首都信息化建设,市信息安全等级保护办公室结合相关法律法规和文件的工作要求,制定了《北京市信息安全等级保护工作实施细则》,现印发给你们,请认真遵照执行。 二〇〇六年七月六日
北京市信息安全等级保护 工作实施细则 第一条信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加强本市信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能部门之间的分工与协调合作,提高首都信息安全保障能力和水平,根据《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》(京公网监字[2006]208号)和相关法律法规,结合本市实际情况,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 第三条本市行政区域内的所有计算机信息系统适用于本实施细则。本实施细则所称的重要信息系统,是指包括本市公共服务网络与信息系统在内的,各级国家事务处理信息系统(党政机关办公系统);各级财政、金融、税务、海关、
关于加强网络信息安全管理工作的通知 各部门、科室: 根据111中医院信息系统安全保护制度、信息保密制度、院内网管理制度和院外网管理制度等相关要求,现就加强医院网络信息安全管理工作通知如下: 一、完善医院网络信息安全领导组织 按照“谁主管、谁负责,谁使用、谁负责”的原则,院长和各部门科室主要负责人为第一责任人,其他院领导及各部门科室成员组成医院网络信息安全保护工作领导小组,由信息宣传部和专职安全管理员负责落实网络信息安全管理 工作。 二、工作措施 1、加强终端安全防范。规范终端用户访问数据库的密码管理,定期修改密码,严禁使用书面方式或明文方式保存在业务终端中。通过技术手段实现对终端接入院内网的认证准入管理,落实IP地址与物理地址及操作人员密码绑定、USB接口及SD卡等存储卡接口的封闭等措施。 2、强化应用系统管理。严格限制应用软件功能权限分配,使用人功能权限在满足日常工作需要前提下控制到最小
限度。最高管理权限由医院信息宣传部负责人专人负责。网络信息系统日常维护操作实行实时监控记录。对药品、高值耗材用量信息进行统计,必须征得医疗机构有关负责人同意,并有监督人员在场监督,系统必须保留查询痕迹。 3、加强网络信息安全管理。建立各部门科室与医院信息宣传部的协调配合机制,合理配置院内网及院外网终端设备,加强信息技术人才队伍建设,明确岗位职责,落实岗位责任。 三、工作要求 各部门科室要定期组织工作人员学习中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理规定》、《互联网安全保护技术措施规定》等法规和医院网络信息安全管理各项规章制度,信息宣传部负责开展一次全面的网络信息安全摸底排查工作,各部门科室要积极配合做好网络信息安全解决和处理工作。 附件: 医院网络信息安全管理规章制度
北京市经济和信息化局、北京市通信管理局关于开展2022年工业互联网企业网络安全分类分级管理工作的 通知 文章属性 •【制定机关】北京市经济和信息化局,北京市通信管理局 •【公布日期】2022.08.29 •【字号】 •【施行日期】2022.08.29 •【效力等级】地方规范性文件 •【时效性】现行有效 •【主题分类】工业和信息化管理其他规定 正文 北京市经济和信息化局、北京市通信管理局关于开展2022年工业互联网企业网络安全分类分级管理工作的通知 各区经信主管部门、相关工业互联网企业: 为落实工业和信息化部办公厅《关于开展工业互联网安全深度行活动的通知》及《北京工业互联网发展行动计划(2021-2023年)》相关要求,进一步提升本市工业互联网企业网络安全管理水平和防护能力,推进北京市工业互联网创新发展,北京市经济和信息化局、北京市通信管理局现联合开展2022年工业互联网企业网络安全分类分级管理工作(以下简称“分类分级管理工作”)。有关事项通知如下: 一、工作目标 到2022年底,组织50家以上代表性企业开展网络安全分类分级管理工作,进一步完善定级核查、风险评估、整改落实等工作机制,提升企业网络安全防护水平;初步建成全市工业互联网企业网络安全分类分级管理体系,建立全市工业互联
网企业网络安全分类分级管理名录,培育遴选一批分类分级管理典型解决方案和优秀示范企业,持续加强工业互联网安全保障体系能力建设。 二、组织方式 市经济和信息化局、市通信管理局统筹开展全市分类分级管理工作,各区经信主管部门具体指导本行政区域内工业互联网企业开展分类分级管理工作,督促企业落实网络安全主体责任。本次分类分级管理工作依托全国工业互联网企业网络安全分类分级管理服务平台(以下简称“管理服务平台”,平台网址:https://https://www.doczj.com/doc/9619176392.html,/)组织实施。 三、工作流程 (一)企业自主定级。各区经信主管部门督促企业于9月16日前完成管理服务平台注册及基础信息填报工作。企业依据《工业互联网企业网络安全分类分级管理指南(试行)》(见附件1)等文件要求开展自主定级,并于9月23日前将自主定级报告上传至管理平台。 (二)组织定级核查。9月底前,各区经信主管部门组织第三方专业机构对本行政区内企业网络安全定级结果进行核查,对于自主定级不合理、定级材料不符合要求的企业,提出定级调整建议,指导企业科学、准确定级。市经济和信息化局、市通信管理局对自主定级为三级的企业定级结果进行复核确认。 (三)落实防护要求。企业应按照工业互联网企业网络安全分类分级防护系列规范(见附件2),落实与自身安全级别相适应的防护要求,包括开展应急演练、人才培养、安全监测技术手段建设等,并将应急演练报告、人员培训情况、监测预警手段建设情况等及时上传管理服务平台。 (四)开展评估整改。企业可委托第三方专业机构开展标准符合性评测和安全风险评估,形成评估评测报告并于10月20日前上传至管理服务平台。企业对照分类分级防护规范要求,根据企业评估评测结果制定整改方案,落实安全防护要求和
关于加强机关信息网络系统安全管理的通知 机关各部门、科室: 为进一步规范机关网络系统安全管理秩序,推动信息化办公系统的整体发展,提高各部门、科室的工作效率,营造良好的工作氛围。结合机关信息网络系统安全管理工作现状,现就相关事宜通知如下: 1、严格落实专机专用,加强网络端口管理。为加强信息网络系统安全管理,有效遏制木马病毒感染电子档案资料,机关各部门、科室要保证专机专用,不得随意更改本机网络参数设置,不得随意布设网络线缆或私自使用路由器等网络设备。因工作需要,申请开通政务专网或互联网的,必须提供书面请示并认真填写《朝阳区政务专网上互联网接口请备案表》,经部门、科室负责人审核同意、主管领导审批后,由办公室协调办理开通手续。 2、认真做好计算机网络技术防范工作。所有计算机连接网络前,必须安装360安全卫士和360杀毒软件等正版杀毒软件,并定期做好系统扫描和软件升级工作,定期更新系统程序,保证网络系统的安全性和稳定性。对于终端计算机中的重要数据、文档应当经常备份(本机备份,移动设备备份),避免因终端设备损坏造成不必要的损失。发现终端计算机感染病毒、遭受外来攻击时,应当立即中断与政务专网、互联网的网络连接,并及时联
系乡网络技术人员进行处理。 3、加强网络管理,明确责任制度。凡是连接政务专网或互联网的计算机,必须严格遵守《网络信息系统安全保密管理规定》、,不得作为其他未开通互联网出口计算机的代理服务器,不得通过其他代理服务器访问互联网,不得利用工作时间从事游戏、炒股、在线视频等与工作无关的行为,不得将本人使用的终端计算机擅自转借他人使用,不得在局域网上以任何形式干扰他人正常使用的网络资源。要严格落实网络系统安全责任制,各部门、科室负责人签写《上互联网安全保密协议》负责对本部门计算机的电子档案存储和网络信息安全进行日常管理和监督,认真做好网络系统安全防范工作。凡出现对全乡信息网络造成重大恶性影响的网络安全事故,部门负责人负有直接责任。 上述通知要求,请各部门、科室认真抓好落实。今后,办公室将对各部门、科室计算机网络系统安全管理情况进行定期或不定期的网络巡查,凡因违规操作导致发生安全事故或影响网络系统正常运行的,将立即中断网络连接,并严肃追究部门负责人和直接责任人的相关责任。
关于加强网络信息安全管理的通知尊敬的各位员工: 为了进一步加强我公司的网络信息安全管理,保护公司的信息资产和客户数据安全,确保公司的持续稳定运营,现就加强网络信息安全管理事宜通知如下: 一、加强网络设备安全管理 1. 所有网络设备(包括服务器、路由器、交换机等)必须定期进行安全漏洞扫描和补丁升级,确保设备安全性; 2. 设置强密码,定期更换密码,并确保密码的安全性,不允许使用弱密码,禁止密码泄露; 3. 针对外部攻击和入侵,要配备防火墙,并定期检查防火墙的配置和运行状态,及时发现和处理异常情况; 4. 禁止未经授权的人员接触关键网络设备,建立合理的权限管理机制,确保合法用户的权限不被滥用; 5. 做好网络设备的备份工作,定期进行备份,并将备份数据存放在安全可靠的地方,以防数据丢失或损坏。 二、加强网络通信安全管理 1. 使用加密协议和加密算法,确保网络通信的机密性和完整性;
2. 对重要数据和信息进行加密和传输控制,防止未经授权的人员获 取敏感数据; 3. 配备入侵检测系统(IDS/IPS),及时发现和阻止入侵行为,并进行记录和跟踪; 4. 对外部网站和社交媒体进行合理的访问控制,禁止访问有不良影 响或潜在风险的网站和应用程序; 5. 加强对内部网络流量的监控和记录,及时发现和处理异常行为。 三、加强网络安全意识与培训 1. 加强员工的网络安全意识培养,提高员工对网络安全的重视程度; 2. 每位员工都有责任保护公司的信息资产和客户数据安全,不得故 意泄露、篡改或随意使用公司的网络资源; 3. 定期组织网络安全培训,提高员工的网络安全技能和应对能力, 培养员工对网络安全问题的敏感性; 4. 员工应遵守公司的网络使用规定,不得进行未经授权的操作,不 得制作、传播和使用恶意软件或病毒。 四、应急响应措施 1. 建立完善的网络安全事件应急响应机制,及时发现和处理网络安 全事件,减少损失; 2. 正确备份和存储系统数据和日志,以备恢复操作系统和网络设备;
北京市党政机关计算机网络与信息安全管理办法 正文: ---------------------------------------------------------------------------------------------------------------------------------------------------- 北京市党政机关计算机网络与信息安全管理办法 (京办发〔2001〕27号) 第一条为了加强本市党政机关计算机网络与信息安全管理,依据有关法律、法规,制定本办法。 第二条本市各级党政机关的计算机网络与信息安全管理,适用本办法;其他国家机关、事业单位、社会团体和国有企业参照执行。 第三条由市信息化工作办公室、市科委、市公安局、市国家安全局、市质量技术监督局、市国家保密局、市委办公厅机要局、市政府新闻办公室等单位共同组成市信息安全工作组,负责组织协调本市计算机网络与信息安全的管理工作。市信息安全工作组下设办公室,负责日常工作。 第四条本市各级党政机关应当建立计算机网络与信息安全管理工作领导小组。领导小组可以在本单位保密委员会(领导小组)的基础上,充实有关的领导和技术人员,开展各项工作。 第五条本市各级党政机关计算机网络与信息安全工作应当遵循统一领导、统筹规划、强化管理和全面防范的原则。 第六条本市各级党政机关计算机信息系统的规划、设计和实施必须符合网络与信息安全建设的相关标准,能够满足安全运行和信息保密的需要。 第七条本市各级党政机关建设计算机信息系统,必须同步设计和实施网络与信息安全系统。用于安全系统方面的投入应不低于工程投资总额的15%。
北京市信息化工作办公室、北京市国家保密局关于进一步加强党政机关计算机网络安全保密管理的通知 文章属性 •【制定机关】北京市国家保密局 •【公布日期】2007.12.04 •【字号】京信息办函[2007]238号 •【施行日期】2007.12.04 •【效力等级】地方规范性文件 •【时效性】现行有效 •【主题分类】保密 正文 北京市信息化工作办公室、北京市国家保密局关于进一步加强党政机关计算机网络安全保密管理的通知 (京信息办函〔2007〕238号) 各区县信息办、保密局,市委、市政府各部委办局,各有关单位: 为进一步加强全市党政机关计算机网络安全保密管理,根据国家保密局、国务院信息化工作办公室《关于印发〈电子政务保密管理指南〉的通知》(国保发〔2007〕5号)、《北京市信息化促进条例》、《北京市信息化工作领导小组关于推进北京市电子政务网络建设的意见》(京信发〔2007〕1号)等文件精神,现将有关工作要求重申如下: 一、计算机网络划分 各单位使用的计算机网络主要包括办公局域网、政务内网、政务外网和互联网。 (一)办公局域网是连接本单位办公计算机等设备的网络,主要满足本单位内部办公需要,由各单位自行负责建设与运维管理。 (二)政务内网是由本市统一建设的,用于党政机关重要信息传输的专用网
络,接入到各区县和正局级机关,各区县不建设区县级政务内网。政务内网由市委办公厅会同市政府办公厅、市信息办负责管理。 (三)政务外网是由本市统一建设的,用于承载各单位纵向政务信息系统和横向信息资源共享交换的专用网络,由市和区县两级网络组成,分别由市信息办和各区县信息化主管部门管理。 (四)互联网是公共网络,用于各单位面向社会提供政务公开和公共服务,以及获取和传递信息,由互联网服务商提供网络服务。 二、安全保密管理要求 (一)各单位按照"谁主管谁负责、谁运行谁负责"的原则,负责本单位办公局域网的安全保密管理。应按照国家及本市关于计算机网络安全保密工作的相关规定,制定本单位计算机网络安全保密工作的相关制度,并指定专人负责办公局域网的安全保密管理。应定期组织计算机网络安全保密工作培训,提高工作人员的安全保密意识。 (二)各单位要按照等级保护的要求,做好本单位办公局域网防病毒、防网络攻击、防黑客等安全防护工作。各单位应积极采用安全审计等技术手段,加强对本单位办公局域网终端计算机的安全监控。 (三)承载涉密信息的办公局域网必须与其他网络实行物理隔离,符合保密技术防护要求,并按保密管理规定,经保密工作部门审批。未经审批,各单位办公局域网不得处理、存储或传输国家秘密信息。 (四)政务内网可以承载用于处理、存储、传输国家秘密的涉密信息系统。各单位承载在政务内网上的涉密信息系统必须经过市保密局审批,方可投入使用。 (五)严禁使用政务外网和互联网处理、存储或传输国家秘密信息。 三、加强监管,落实责任 (一)各单位要高度重视计算机网络安全保密管理工作,切实落实信息安全保
北京市西城区人民政府关于组织2016年北京市西城区电子政务网络与信息系统安全检查工作的通知 文章属性 •【制定机关】北京市西城区人民政府 •【公布日期】2016.06.22 •【字号】西政办发〔2016〕13号 •【施行日期】2016.06.22 •【效力等级】地方规范性文件 •【时效性】现行有效 •【主题分类】机关工作 正文 北京市西城区人民政府关于组织2016年北京市西城区电子政务网络与信息系统安全检查工作的通知 西政办发〔2016〕13号西城区各有关单位: 根据国务院办公厅、北京市政府办公厅关于对政府信息系统实施安全防护管理、检查的有关办法规定,依据北京市经济和信息化委员会、北京市密码管理局《关于开展2016年北京市电子政务网络与信息系统安全检查工作的通知》(京经信委发〔2016〕29号)要求,经研究,区政府办、区密码管理局(区委机要局)定于2016年6月至11月联合开展西城区电子政务网络与信息系统安全检查,并迎接北京市安全检查工作组的现场抽查。现就有关事项通知如下: 一、检查目的 掌握全区政务信息安全总体状况,查找存在的安全问题和薄弱环节并及时整改;进一步增强全区党政机关信息安全意识,落实信息安全制度和技术防范措施,切实提高安全防护水平,确保全区电子政务网络与信息系统安全稳定运行。 二、检查原则
(一)全区电子政务网络与信息系统安全实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,检查采取各单位自查、组织技术监测和现场抽查相结合的方式进行。 (二)全区电子政务网络与信息系统安全检查中,涉及保密工作事项的,按照国家保密管理规定和标准执行;涉及密码工作事项的,按照国家密码管理规定执行;涉及信息安全等级保护工作事项的,按照国家信息安全等级保护管理规定执行。 (三)各单位在时限内自行组织全面检查,边查边改,针对薄弱环节进行安全加固。 三、检查范围 (一)在用办公网络。包括政务外网和政务内网。 (二)电子政务信息系统。包括自行建设运维、委托建设运维或建设在政务云平台上的信息系统,以及电子政务内网上建设部署运维的信息系统。其中重要业务系统和门户网站为检查重点。 四、工作组织 区政府办、区密码管理局(区委机要局)联合成立电子政务网络与信息系统安全检查工作组,开展自查检测,并配合北京市开展相关迎检工作。 (一)区密码管理局负责电子政务内网与信息系统、密码技术与产品的安全检查及党委系统网络与信息系统的安全检查工作。 (二)区政府办负责区级政府部门和15个街道办事处网络与信息系统的安全检查工作。 (三)区政府办、区密码管理局检查工作组共同配合北京市检查工作组于6月至11月对西城区信息系统安全组织技术检测和现场抽查。 五、检查内容
关于进一步加强网络安全工作的通知 XX各单位: 为严格贯彻落实上级关于网络安全工作的指示精神,切实做好我XX网络安全工作,按照XX党委关于网络安全工作的总体要求,进一步落实网络安全责任制,提升XX各单位网络信息系统防入侵、防窃密、防篡改、防病毒的综合安全防护能力,加强个人隐私数据保护,全面提升网络安全技术防护能力和管理水平,杜绝重大网络安全事件(事故)的发生,构筑XX网络安全良性生态,现将相关事宜通知如下。 一、严格落实网络安全责任制 1.加强领导,落实责任。各单位要充分认识网络安全保障工作的重要性、严峻性和紧迫性,加强组织领导、统筹规划,建立“党委/单位第一责任人亲自抓,分管负责人具体抓”的领导责任制,严格落实网络安全主体责任,进一步完善本单位网络安全责任制度,不折不扣地落实好网络安全保障工作任务。 2.认真梳理、摸清底数。各单位按照“谁主管谁负责、谁运营谁负责、谁建设谁负责、谁使用谁负责”的原则,全面摸查本单位职责范围内的网站、信息系统等信息资产,单位责任人做到对本单位的信息资产运行状况底数清、情况明。 3.健全机制、全面查改。各单位建立和完善本单位网络安全事件应急预案,健全网络信息安全巡查机制,明确网络安全应急处置联络人员,全面落实落细工作职责。认真检查本单位建设、管理、运维
的网络、网站和信息系统的运行状态,全面排查存在的风险隐患并及时整改。 二、主要措施 1.全面加强网站及信息系统技术防护和运行监测。加强对XX范围内网络、信息系统(网站)的安全监测扫描,提升防护策略,增强关键网络基础设施和重要信息系统服务的技术防护能力,凡发现存在高风险运行的信息系统及信息资产,一律采取先关停再整改的处置措施。 2.全面加强访问管控。网络安全重保期内,关闭非必要访问的XX业务系统及第三方远程软件的外网访问权限,必须对外提供服务的信息资产开启最小化访问原则。有特殊需求的单位或师生,可与信息技术中心联系。 3.进一步加强安全隐患排查。各单位认真核查、检查本单位信息资产,对所属运行的信息资产进行全面安全隐患排查,进一步完善系统安全措施和内部管理制度。对于被XX主动检测扫描发现问题的信息系统和信息资产,采取无条件先关停、后整改处置措施。 4.严格规范办公邮箱使用管理。持续加强对XX办公邮箱的规范管理,严禁使用互联网邮箱存储涉密信息、XX重要数据和敏感信息及涉及师生的个人隐私信息,办公邮箱严格履行专人专用和安全备案制度,严禁多人共用,定期清理长期不使用的XX公用邮箱,确保不发生办公邮箱安全事件。 5.加强虚拟货币挖矿和交易行为专项整治。加强常态化监测虚
工业和信息化部、国家质量监督检验检疫总局、中国人民银行等关于加强信息安全管理体系认证安全管理 的通知 文章属性 •【制定机关】工业和信息化部,国家质量监督检验检疫总局(已撤销),中国人民银行 •【公布日期】2010.08.17 •【文号】工信部联协[2010]394号 •【施行日期】2010.08.17 •【效力等级】部门规范性文件 •【时效性】现行有效 •【主题分类】证券 正文 工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会关于加强信息安全管理体系认证安全 管理的通知 (工信部联协[2010]394号) 国务院各部位、各直属机构,各省、自治区、直辖市工业和信息化主管部门、质量技术监督局、国有资产监督管理部门、保密行政管理部门,各直属检验检疫局,人民银行上海总部、各分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行: 信息安全管理体系认证是依据相关信息安全管理标准(GB/T22020- 2008/ISO/IEC27001:2005等),对一个单位信息安全管理状况进行评价的过程。开展信息安全管理体系认证,有利于个单位规范信息安全管理,有利于企业特别是
服务外包企业开拓国际市场。但由于认证活动涉及被认证单位组织体系、业务流程、网络拓扑、关键信息设备配置、安全防护状况及薄弱环节等敏感信息,如果管理不到位,造成敏感信息泄露,将会使被认证单位面临信息安全风险,甚至危及国家经济安全和利益。为加强信息安全管理体系认证的安全管理,减少信息安全风险,现就有关事项通知如下: 一、各级政府机关和政府信息系统运行单位,不得利用社会第三方认证机构开展信息安全管理体系认证。为确保国家秘密安全,涉密信息系统建设使用单位不得申请信息安全管理体系认证。 二、各级工业和信息化主管部门要了解掌握同级政府部门信息技术外包服务情况,结合实际提出安全管理要求;指导督促为政府部门提供信息技术外包服务的机构加强信息安全管理。为政府部门提供信息技术外包服务的机构申请信息安全管理体系认证时,若其认证范围涉及政府信息,须经工业和信息化主管部门同意。 三、国家认证认可监督管理部门要针对信息安全管理体系认证的特点,进一步完善信息安全管理体系认证管理办法和相关标准,严格信息安全管理体系认证机构的市场准入管理,加强资质审查和日常监管,规范认证行为,依法严肃查处违法认证活动。 四、基础信息网络和重要信息系统主管部门及国有资产监督管理部门应加强对行业和国有企业的信息安全管理,对信息安全管理体系认证提出管理要求。通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位确需申请信息安全管理体系认证,应事先报行业主管或监管部门同意,其他涉及国计民生的国有企业确需申请信息安全管理体系认证,应事先报国有资产监督管理部门同意,涉及国家秘密的应报保密行政管理部门同意。通过认证后,应加强信息安全风险评估,及时排查安全漏洞和安全隐患。 五、申请认证单位应选择国家认证认可监督管理部门批准从事信息安全管理
上海市虹口区科学技术委员会关于进一步加强本区中国国际进口博览会信息安全保障工作的通知 文章属性 •【制定机关】上海市虹口区科学技术委员会 •【公布日期】2018.06.08 •【字号】虹科委〔2018〕32号 •【施行日期】2018.06.08 •【效力等级】地方规范性文件 •【时效性】现行有效 •【主题分类】城市建设 正文 上海市虹口区科学技术委员会关于进一步加强本区中国国际进口博览会信息安全保障工作的通知 虹科委〔2018〕32号区政府各部门、各街道办事处: 根据《上海市经济信息化委关于进一步加强本市工业和国际进口博览会信息安全保障工作的通知》(沪经信安﹝2018﹞313号)及上海市公安局网络安全保卫总队关于做好2018年“中国国际进口博览会”(以下简称中博会)网络安全保卫工作的要求,为切实做好本区中博会期间网络信息安全保障工作,维护国家安全和社会稳定,现将有关事项通知如下: 一、严格信息安全责任制 各单位按照“谁主管谁负责、谁建设谁负责、谁运行谁负责”的原则,落实《网络安全法》、《信息安全等级保护管理办法》等相关规定,做好本单位信息系统的网络安全建设,认真落实网络与信息安全管理的各项规章制度,做到领导到位、机构到位、人员到位、责任到位、措施到位,切实保障所属重要网络和信息系统安全稳定运行。
二、加强技术防护和安全管理 各单位重点做好关键信息基础设施网络安全防护工作,落实防攻击、防病毒、防篡改、防窃密等措施,关闭或删除不必要的应用、服务、端口和链接,杜绝弱口令、默认口令、通用口令、及时修补漏洞,升级系统和应用软件。门户网站要强化安全管理,尤其是加强网站后台内容管理,限制易被攻击利用的子站、栏目和功能,在中博会期间从严控制新增,确需新增的要通过严格检测。 三、签订工作责任承诺书 各单位主要负责人是本单位网络与信息安全保障工作的第一责任人,加强对本单位、本地区、本系统网络与信息安全保障工作组织领导,并由其签订《信息安全保障工作责任承诺书》,于6月15日前反馈我委。 虹口区科学技术委员会 2018年6月8日
关于进一步加强网络与信息安全管理的实施意见 (代拟稿) 为了进一步规范我市政务和社会服务行业信息系统建设工作,提高网络与信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,结合我市实际,现就加强网络信息安全管理工作提出如下意见。 一、深刻认识加强网络与信息安全管理的重要意义 近年来,国家、省、市高度重视网络与信息安全管理,在各有关方面协调配合、共同努力下,我市网络与信息安全管理工作取得了很大进展。但是从总体上看,我市网络与信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:网络与信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;网络与信息安全管理投入不足,保障乏力;信息系统安全建设和管理的目标不明确;网络与信息安全保障工作的重点不突出;网络与信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。 加强网络与信息安全管理,能够有效地提高我国信息和信息系
统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。 二、加强网络与信息安全管理的指导思想 以邓小平理论和“三个代表”重要思想为指导,坚持积极防御、综合防范相结合的方针和管理与技术并重的原则,统筹规划,突出重点,全面提高网络与信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境。正确处理安全与发展的关系,以安全保发展,在发展中求安全,明确责任,密切配合,动员全社会力量,共同构筑信息安全保障体系,保障和促进我市信息化建设健康、有序发展。 三、成立组织机构,落实网络与信息安全管理责任 为进一步加强对全市网络与信息安全工作的领导,提高全市网络与信息安全保障能力,市委、市人民政府决定组建安顺市网络与信息安全领导小组,其组成人员如下: 组长:陈坚市委书记 周建琨市委副书记、代市长 副组长:何述祥市人大常委会主任
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》 四部门下发《关于开展全国重要信息系统安全等级 保护定级工作的通知》 关于开展全国重要信息系统安全等级保护定级工作的通知公信安[201*]861号 各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室 为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组201*年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于201*年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。现就有关事项通知如下 一、定级范围 (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 二、定级工作的主要内容 (一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系