宁夏水利网络安全管理办法

2019-12-27 09:42 来源:

【字体: 打印本页 分享到:

宁夏水利网络安全管理办法

 第一章  总  则

 

    第一条  为规范和加强宁夏水利网络安全管理,落实水利信息化规划、建设、运行和监督管理中的安全责任,依据《中华人民共和国网络安全法》、水利部《水利网络安全管理办法(试行)》等有关法律法规,制订本办法。

    第二条  水利网络安全管理坚持统筹规划、安全可控、明确责任、分级管理、强化监管的总体原则,具体按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责进行责任分工。

    第三条  水利网络安全保护对象为水利信息化基础设施、应用系统(非涉密)、数据资源、工控系统和门户网站等。

第四  本办法适用于水利厅机关各处室及厅属各单位。各市、县(区)水务局应当履行本地区水利网络安全监管职责,贯彻落实水利部、水利厅相关规定规范。

 

第二章  网络安全管理机构及职责

 

    第五条  自治区水利厅为网络安全管理的主管机构,科技与信息化处具体负责指导全区水利信息化网络安全管理工作主要职责如下:

(一)贯彻落实水利部和自治区网络安全相关法律法规及政策;

(二)组织编制和修订网络安全工作的总体规划及相关制度,审查水利信息化建设项目的网络安全规划;

(三)指导各单位开展等保测评、关键信息基础设施安全防护等网络安全工作,处置重大网络安全事件。

    第六条  水利厅机关各处室按照“谁主管谁负责,谁使用谁负责”的要求指导监督分管业务范围内的应用系统、关键信息基础设施网络安全工作。

    第七条  水利信息中心是网络安全管理工作的技术支撑部门,主要职责如下:

(一)承担水利厅机关的信息化基础设施、应用系统、水利数据中心、水利云平台的网络安全日常管理和技术保障工作; 

(二)承办水利厅重点业务系统的等保测评和风险评估工作;

(三)配合主管部门做好网络安全监督检查、宣传培训、安全事件处理、应急演练、监测预警等工作;

(四)做好与上级网安部门、公安部门的网络安全联络工作,建立网络安全通报机制。

    第八条  厅属各单位领导班子主要负责人是网络安全第一责任人,分管网络安全的领导是直接责任人。各单位要把网络安全工作纳入重要议事日程,落实机构、人员和经费等。具体职责如下:

(一)负责贯彻落实国家、水利部、自治区及水利厅有关网络安全政策、法律法规和制度;

(二)负责本单位信息系统及关键信息基础设施的等保测评、风险评估、安全巡检、安全加固等工作; 

(三)做好本单位网络安全监督检查、宣传培训、安全事件处理、应急演练、监测预警等工作;

(四)做好与上级主管部门、属地公安部门的网络安全联络工作,建立网络安全通报机制。

 

第三章  网络安全规划建设

 

    九条  水利网络安全按照 “同步规划、同步建设、同步运行”的原则,在规划设计、建设开发、移交上线等环节落实网络安全要求和保护责任。

      项目可行性研究报批前,主管部门指导各单位按照有关规定,对新建水利网络安全保护对象编制安全方案,开展网络安全等级保护定级工作。

    第十一条  项目建设期间,建设单位应采购安全可控的信息技术产品和服务,确保网络关键设备、网络安全专用产品符合国家网络安全及采购相关法律法规要求。

    第十二条  项目建设期间,建设单位应按照安全需求、软件工程规范进行设计开发,不得在程序代码中植入恶意代码和后门,并对安全保护等级二级及以上水利网络安全保护对象的软件代码进行安全性测试。

    第十三条  项目试运行期间,建设单位应对水利网络安全保护对象完成定级工作,并将定级结果报公安部门备案。

    第十四条  项目正式验收之前,建设单位应开展网络安全等级保护测评工作。通过测评和问题整改后,方可进行竣工验收。

    第十五条  项目竣工验收后,建设单位应组织各参建单位进行运行责任及安全技术文档和源代码移交。移交前的运行安全由建设单位负责。

    十六条  各单位应对尚未定级备案的已建、在建水利网络安全保护对象开展网络安全等级保护定级备案工作,并报主管部门进行备案。关键信息基础设施须报水利厅及公安部门备案;

    第十七条  根据网络安全等级保护要求,各单位应对发生重要信息和关键业务调整等重大变更的水利网络安全保护对象,重新组织开展定级、备案和安全建设整改等工作。

第十八条  三级及以上水利网络安全保护对象应编制密码应用实施方案,基于网络安全等级保护工作同步开展密码应用安全评估。通过密码应用安全评估和问题整改后,方可进行竣工验收。

 

第四章  网络运行安全

 

    第十九条  厅属各单位应加强水利网络安全保护对象的安全管控,采取措施防范网络攻击,包括但不限于:

(一)严格控制机房和设备间的进出访问,加强安全监控和巡检,确保机房符合有关规定要求;

(二)在不同网络间设置物理或逻辑隔离,按照最小权限的原则对网络进行分区分域管理,实施严格的设备系统接入和访问控制策略;

(三)遵循最小授权,最小安装原则,加强对主机账号、口令、应用、服务、端口的安全管理,定期开展漏洞扫描和恶意代码检测,及时安装安全补丁和更新恶意代码库;

(四)加强水利业务应用系统的用户管理、认证管理和审计管理。三级及以上水利网络安全保护对象应当采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;

(五)采取技术措施监测业务应用系统的运行状态、并留存应用系统的运行日志等;

(六)避免网站后台管理系统相关页面和信息暴露在互联网,应当严格管控门户网站信息的发布;

(七)针对各业务应用系统云资源和端口的使用,必须严格遵循云资源的申请及端口开放审批流程。  

    第二十条  厅属各单位应对水利网络安全保护对象开展网络安全监测和风险评估,定为三级及以上的水利网络安全保护对象每年至少开展一次。

    第二十一条  厅属各单位应对三个月以上上线未使用的水利网络安全保护对象采取断电、断网等下线措施,再次上线使用前应当先进行漏洞修补、病毒库更新等安全加固工作。

    第二十二条  对拟废止不再使用的水利网络安全保护对象,厅属各单位应及时向主管部门申请,审核后进行废止。废止前,应当做好系统数据及相关设备资产的妥善保管,并将废止情况报主管部门备案。

    第二十三条  厅属各单位应当加强对外包服务和远程技术服务的安全管理,与服务提供者签订安全保密协议,采取有效措施记录技术服务操作行为。远程进行维护时,应当采取认证、加密、审计等管控措施。

    第二十四条  水利关键信息基础设施按照水利部《水利关键信息基础设施认定指南》进行认定。厅属各单位应当根据关键信息基础设施法律法规和规范要求,在网络安全等级保护制度基础上,对关键信息基础设施实行重点保护,加强必要的管控措施,包括但不限于:

(一)对关键信息基础设施的安全管理负责人和关键岗位人员进行背景安全审查;

(二)加强对关键信息基础设施运行环境的安全管理,确保网络环境、物理环境安全可控,并配套符合关键信息基础设施的物理环境安全措施;

(三)加强对关键信息基础设施运行终端的安全管理,严格访问控制策略,严格输入输出管理,确保终端自身安全;

(四)组织制定安全保护方案及管理制度,开展关键信息基础设施监测预警、风险评估、应急处置、信息通报,组织关键业务岗位人员进行专业技术培训和考核;

(五)确保每年至少进行一次检测评估,并将检测评估情况和整改情况报主管部门备案。

第二十五条  各单位应加强本单位重要敏感数据的管理,按照国家有关规定和标准要求,采取访问控制、加密备份、行为审计等保护措施,对重要系统和数据库应当在境内存储,并进行容灾备份。严禁非法获取、出售或未经授权向他人提供关键信息基础设施相关资料。

 

第五章  网络安全日常管

    第二十六条  各单位应加强网络安全人员管理,主要包括:人员录用、在岗及调离岗、个人计算机网络安全和保密管理等。严格管理用户账户口令,严格执行内外网终端使用要求,严禁泄露、窃取涉密信息和敏感信息。

    第二十七条  各单位定期开展终端的弱口令检查、病毒查杀、漏洞补丁审计、移动存储介质接入管理、操作行为管理和安全审计等工作。加强办公区域无线网络管理,严格控制非授权终端的网络接入行为。

    第二十八条  单位应保障数据全生命周期安全,对水利工程基本数据、重要水文水资源数据等重要数据资源进行容灾备份,对个人信息等敏感数据采取加密措施,遵循合法、正当、必要的原则进行数据收集和使用。对重要信息系统建立健全容灾备份机制,提升应用系统的恢复能力。

    第二十九  各单位应加强网络安全资产管理,主要包括:制定完备的信息资产和软硬件设备安全管理制度、明确资产设备清单和责任人、对资产进行标识、规范资产设备的访问和使用行为、确定资产的重要程度和保护措施等。

    第三十条  厅属各单位应对关键信息基础设施和重要信息系统定期进行漏洞扫描,发现问题及时落实整改,消除安全隐患。

    第三十一条  各单位应落实国家、水利部有关网络安全审查制度、软件版权保护及软件国产化要求,优先选用国产的、安全可控的产品、服务和技术。

    第三十二条  各单位应加强全体员工网络安全意识教育,定期开展网络与信息安全培训

    第三十三条  厅属各单位可委托具有相应资质的第三方机构实施具体的漏洞扫描、信息安全风险评估和等保测评等专业技术保障工作。

第六章  监测预警与应急处置

 

 

    第三十四条  水利厅建立健全网络安全事件应急机制,各单位要制定网络安全事件应急预案,并定期检验评估完善应急预案。

    第三十五条  各单位应加强网络安全监测预警能力建设,并对管辖范围内发现的风险漏洞和网络安全事件及早预警、及时处置和信息通报。

    第三十六条  各单位应根据重要敏感信息和公民个人信息泄露、损毁、丢失等情况,按照规定及时上报主管部门,并立即启动应急预案,实施有效处置。

    第三十七条  各单位要落实风险漏洞限期修复处理机制。对国家、自治区、水利部、水利厅通报的高危漏洞,要按时限要求进行整改,并及时上报主管部门。对于通用型网络产品和服务的风险漏洞,按照厂商和安全机构发布的修复方案及时整改。 

第三十八条  各单位每年至少组织一次网络安全事件应急培训或演练工作,针对关键信息基础设施组织开展攻防演练,及时发现安全隐患,提高突发网络安全事件应急能力。

 

第六章  经费保障

 

    第三十九条  水利网络安全的经费主要包括水利网络安全保护对象及水利关键信息基础设施在规划建设阶段、运行阶段和管理阶段的费用。

    四十条  各单位按照定额标准将网络安全运行管理、教育培训、安全检查、测试评估、监测预警、应急演练和处置等相关经费纳入年度经费计划。原则上年度新建信息化项目的网络安全经费应不低于项目总预算的5%。 

第四十一条  各单位按照关键信息基础设施安全经费标准负责编制年度经费计划,原则上关键信息基础设施的网络安全经费应不低于整体信息化项目经费的10%。

 

第七章  监督考核

 

    第四十二条  主管部门负责网络安全监督检查机制建设,组织开展水利网络安全日常检查和专项检查。检查内容包括网络安全的基本状况、工作情况、制度建设、应急处置及日常管理等安全责任。

    四十三条  网络安全检查采用攻防演练、渗透测试、在线监测、现场检查等方式进行,对检查发现的问题视严重程度提出限期整改、立即整改或下线整改等处置意见,并跟踪整改落实情况。

    第四十四条  被检查单位应当评估、分析问题产生的原因,采取修补漏洞、系统升级、部署防护措施、完善管理制度等措施进行整改,并按要求反馈整改结果。

    第四十五条  水利厅建立网络安全工作考核制度,对厅机关各处室和厅属各单位网络安全工作执行情况进行考核。考核结果作为各单位评先评优的依据之一。

第四十六条  水利厅建立健全水利网络安全奖惩和责任追究机制,对网络安全工作表现突出的给予通报表扬。对网络安全工作出现严重问题的,按照有关法律法规和制度规定,判定责任单位和责任人,依据问题严重程度采取责令整改、警示约谈、通报批评以及建议行政处分和组织处理等方式进行问责,对造成严重损失及危害的,从严从重处罚,直至追究法律责任。

 

第八章   

 

    第四十七条  厅属各单位根据本办法制定实施方案,报主管部门备案

    第四十八条  本办法由水利厅负责解释,自下发之日起执行

 



扫一扫在手机打开当前页

回到顶部