福建省林业厅关于印发计算机信息系统及其网络安全管理办法的通知
11.01.2016 21:38
本文来源: 林业厅
为适应林业信息化发展新形势,加强计算机信息系统及其网络安全管理,我厅对《福建省林业厅计算机信息系统及其网络安全和保密管理暂行办法》(闽林息〔2009〕8号)进行了修订。现印发给你们,请遵照执行。
福建省林业厅
2015年12月22日
福建省林业厅计算机信息系统及其网络
安全管理办法 第一章 总 则 第一条 为了进一步加强我厅计算机信息系统及其网络安全管理,保障计算机信息系统及其网络的安全,根据国家有关法律法规和政策,结合我厅实际,制定本办法。
第二条 本办法适用于福建省林业厅及直属单位计算机信息系统、信息网络、办公终端设备等的规划、建设、部署和使用管理。
第三条 按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,厅各处室局站及直属单位应根据相应职责分工加强管理,确保本部门计算机信息系统、设备及其网络的安全。省林业信息中心负责全厅计算机信息系统及其网络安全的协调、指导和督促检查。
第四条 厅各处室局站及直属单位应当明确信息化及信息安全分管领导,并至少明确一名工作人员负责计算机信息系统及其网络安全工作。 第二章 办公终端和存储设备安全管理
第五条 办公终端设备是指工作所用的台式计算机、便携式计算机和移动设备等,各单位应对本单位办公终端和存储设备进行登记,建立设备台账,厅机关各处室局站终端设备台账应报信息中心汇总备案。
第六条 办公计算机设备管理应当符合下列要求:
(一)严格区分接入互联网、政务网和涉密计算机,三者应分别粘贴相应的安全提示标识,并定期进行核对检查;
(二)办公计算机均应设置开机密码,密码以“数字+字母+特殊字符”相结合的方式,长度应不少于8个字符,并定期更换,防止口令被盗;
(三)办公计算机应安装正版的操作系统、办公软件、杀毒软件等,并及时安装软件的最新补丁和更新杀毒软件病毒库;
(四)严禁涉密单机或内网终端违规接入互联网,上互联网的计算机不得处理国家秘密、内部信息和其他未公开政务信息,内网机不得处理涉密信息;
(五)涉密计算机、内网计算机不得安装、使用麦克风、摄像头等音视频输入设备以及具有无线收发功能的装置,不得与手机、普通电话机及传真机等各类网络设备及外联设备联接使用;
(六)严禁将涉密计算机带到与工作无关的场所。
第七条 涉密计算机及相关设备的使用、维修、报废和处置应当符合下列要求:
(一)涉密计算机及相关设备维修应保证所存储的国家秘密信息不被泄露,维修应当在本单位内部现场进行,并指定专人全过程监督,确需送修的,应当拆除涉密信息存储部件,送交保密工作部门指定的定点单位进行维修。严禁维修人员读取和复制涉密信息。
(二)涉密计算机及相关设备不再用于处理涉密信息或不再使用时,应当将涉密信息存储部件拆除后由专人保管或及时销毁;处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息;
(三)涉密计算机及相关设备存储数据的恢复,必须由国家保密工作部门指定的具有涉密数据恢复资质的单位进行;
(四)涉密的计算机、存储部件、传真机、复印机等设备的报废必须通过技术手段进行处理后,按照涉密载体销毁要求报经保密办同意后到保密工作部门指定的定点单位统一销毁;
(五)禁止将未经技术处理的涉密计算机及相关设备转为非涉密环境使用或进行公益捐赠;
(六)存储过国家秘密信息的计算机媒体不能降低密级使用。不再使用的媒体应及时销毁。
第八条 移动存储设备的使用管理应当符合下列要求:
(一)移动存储设备实行登记管理,编号建档,严格保管;
(二)移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用;
(三)涉密移动存储设备要标明密级、标识和保密期限,根据工作需要确定发放范围及制作数量;
(四)涉密移动存储设备应实行专人管理,严格控制其接触范围,不得在非涉密信息系统中使用;
(五)严禁将涉密存储设备带到与工作无关的场所。 第三章 网络安全管理
第九条 接入“数字福建”政务网的内部网络、涉密网络必须与互联网实行物理隔离,不得有任何物理连接。厅机关各类网络实行统一出口管理,各单位不得擅自违规或绕道接入外部网络。
第十条 接入互联网的局域网网络边界需安装防火墙、入侵防御、病毒防护等安全设备,网络管理人员应使用网管系统监测网络设备和链路的运行情况,并采取相应措施保障网络服务的安全性。
第十一条 厅机关各处室局站增配终端设备接入各类网络的,应向信息中心提出书面申请,由信息中心统一分配账号和IP地址。接入互联网的须统一进行实名认证;接入政务内网的统一安装违规外联监控软件;确定为涉密单机的报厅保密办进行登记。
第十二条 杜绝不明身份的人员在厅机关各类网络上网操作;厅机关对互联网上网行为进行访问控制,上班时间屏蔽炒股、视频、游戏、大型购物网站、P2P下载等与工作无关的网站和内容。严禁在非涉密网上存储、处理、传输涉密信息。
第十三条 需要在远程或机关网络之外接入林业厅网络的,应由对口工作部门提出申请由信息中心为其申请临时入网账号和IP地址,使用结束后对口部门应及时通知信息中心收回远程网络使用权限。
第十四条 网络管理人员应确保主要网络安全设备和服务器的日志记录完整,日志保存时间至少12个月。所有日志应妥善保管,严禁私自删除或更改日志记录。 第四章 计算机信息系统安全管理
第十五条 各单位信息系统建设应选择具有相应安全资质的单位进行,涉及到工作秘密或数据安全的信息系统应与开发单位、运维单位和个人签订安全保密协议,明确系统和数据安全管理责任。
第十六条 各单位信息系统应用账号应明确指定系统管理员进行统一分配和管理,做到信息系统账号与责任人一一对应,确保每个账号都有责任人。
第十七条 各信息系统应根据数据的重要程度建立数据备份策略,按照既定策略进行数据备份并定期对备份数据的有效性进行检查。
第十八条 信息系统验收时,建设单位应要求开发方提供由具备相应资质的第三方提供的系统安全测试报告。按照国家有关规定,各计算机信息系统应确定安全保护等级,并报省网安部门备案。
第十九条 部署在厅中心机房的信息系统由信息中心统一按要求报省网安部门备案,信息中心应按规定组织开展安全测评工作,根据测评结果统一组织或督促相关系统建设单位进行整改。
第二十条 涉密信息系统应当按照国家保密法规和标准管理,涉密信息系统的建设应当与保密设施的建设同步进行,经保密工作管理部门审批后,才能投入使用。涉密信息只能在涉密信息系统中处理。
第二十一条 需要通过远程访问进行运维的计算机信息系统,由建设单位向信息中心申请远程访问权限。远程访问结束后,建设单位应立即通知信息中心收回远程访问权限
第二十二条 各信息系统部署时应设置数据库系统和应用系统的日志记录功能,确保日志记录完整,日志保存时间至少12个月。 第五章 网络信息发布管理 第二十三条 信息的发布要坚持“谁发布、谁负责”的原则。提供信息的单位应当按照规定的信息保密审批制度进行审查批准。
第二十四条 不得利用网站、论坛、博客、社交媒体等网络载体传播有害社会秩序的信息或传递、转发或抄送涉秘信息。
第二十五条 不得使用互联网电子邮箱、即时通信工具等办理涉密业务,或者存储、处理、传输涉密信息及内部敏感信息。
第二十六条 不得使用网盘、云盘等互联网存储服务存储涉密信息及内部敏感信息。
第二十七条 不得在互联网各类网络传媒的制作和播放中涉及国家秘密。
第二十八条 重点岗位的计算机信息系统及其网络使用管理人员要签订安全保密责任书,明确安全和保密要求与责任。
第二十九条 计算机信息系统及其网络使用人员离岗离职,所在部门应通知计算机信息系统及其网络管理部门取消其计算机信息系统及其网络使用权限。 第六章 监督检查
第三十条 厅保密办负责全厅计算机信息系统及其网络安全与保密的监督管理,信息中心负责对省级计算机信息系统及其网络安全的技术防范和培训指导,并定期组织开展计算机信息系统及其网络安全检查。
第三十一条 厅各处室局站及直属单位应当接受并配合保密工作部门实施的保密监督检查,协助保密工作部门查处各种网络信息安全和泄露国家秘密的违法、违规行为。 第七章 附则
第三十二条 本办法自印发之日起施行。2009年10月16日印发的《福建省林业厅计算机信息系统及其网络安全和保密管理暂行办法》(闽林息〔2009〕8号)同时废止。
第三十三条 本办法由福建省林业厅负责解释。
本文来源: 林业厅
11.01.2016 21:38