DB1310-T 323-2023 数字乡村 乡镇网络安全日常管理指南

65.020.01CCS

B071310 DB

1310/T

—2023数字乡村

乡镇网络安全日常管理指南廊坊市市场监督管理局 发

布DB

1310/T

323—2023本文件按照GB/T

1.1—2020《标准化工作导则

第1部分：标准化文件的结构和起草规则》的规定起草。本文件由中共廊坊市委网络安全和信息化委员会办公室提出。济发展事业部。天午、赵志滨、刘欣羽、荣晓彤、马群、高继伟、张建平、朱学海。DB

1310/T

323—2023

1 范围管理要求、个人信息处理要求、网络安全应急处置要求和网络安全人员培训要求。本文件适用于廊坊市各乡镇网络安全日常工作的管理。2 规范性引用文件文件。本文件没有规范性引用文件。3 术语和定义下列术语和定义适用于本文件。网络交换、处理的系统。网络安全处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。网络数据安全态的能力。网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。网络数据处理对网络数据的收集、存储、使用、加工、传输、提供、公开等。网络数据处理者在网络数据处理活动中自主决定处理目的和处理方式的个人和组织。DB

1310/T

323—2023重要数据的数据。个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。4总体要求以国家法律法规为依据，坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、持培养网络安全人才，提高网络安全保护能力。5 网络安全管理要求人员管理5.1.1 应明确网络安全责任人，设立网络安全管理部门，落实网络安全保护责任。5.1.2 应明确网络安全管理人员岗位职责，落实岗位人员，保障网络安全管理工作开展。5.1.3 应对录用人员身份、安全背景、专业资格或资质等进行审查，对其技术技能进行验证，应与关键岗位人员签署岗位责任协议，确认责任到人，完善人员录用制度。5.1.4 应对离岗人员进行权限回收，清除本地针对离岗人员的相关权限和介质，签署离岗协议和遵守保密义务，建立人员离岗制度。5.1.5 应与第三方合作人员签订合作协议及保密协议，明确保密责任与义务。制度要求5.2.1 安全框架和整改措施等内容。5.2.2 应贯彻执行好国家、省、市、县关于网络安全、数据安全、个人信息安全相关法律法规、工作部署和本地网络安全管理相关制度。5.2.3 5.2.4 应定期检查网络安全策略是否与制度相适宜，并对其进行持续的改进和完善。合作方要求5.3.1 应建立对合作方的遴选、管理、监督、评价机制。5.3.2 一次审核合作方资质背景、网络安全保障能力等，并组织合规评估。5.3.3 应对合作方的安全能力进行评估，对合作方履行安全责任义务的情况进行监督和检查。5.3.4合作方应确保接入的系统、接入方式、使用的技术工具等不存在安全问题。DB

1310/T

323—20235.3.5 合作方应在合作结束后，清除相关权限和介质，按要求对数据进行妥善处理，遵守保密义务。日常工作要求5.4.1 应贯彻执行网络安全相关法律法规和标准，全面落实网络安全等级保护制度，健全本地网络安全管理制度和操作规范，履行网络安全保护义务。5.4.2 应对办公网络进行安全管理限制，禁止私接无线路由器，尽量限制外接存储设备的使用。5.4.3 应定期维护办公设备的安全性，限制非办公设备的接入，定期更新补丁、杀毒软件等。5.4.4 应对办公设备、办公软件、办公邮箱等进行口令复杂度要求，并且设置口令有效期。5.4.5 接收外部机构数据前，应对外部机构数据源的合法性、合规性进行鉴别；应确保接收的数据不含有恶意代码或恶意软件。6 网络数据安全管理要求应严格贯彻落实《网络安全审查办法》，配合网信部门做好对影响国家安全、社会稳定的网络数据处理活动进行安全审查的相关工作。应采取必要的措施，确保网络数据得到有效的保护和合法的利用，确保网络数据的利用符合法律法规和道德规范。应针对网络数据接收、存储、使用、加工、传输、公开、销毁制定安全策略，具备保障网络数据持续安全状态的能力。应对重要数据进行分级分类，按照不同等级不同种类进行分级保护，使用数据加密、访问控制、安全审计等方式保障数据的机密性、完整性和可用性。消除安全隐患，及时向社会发布与公众有关的警示信息。7 个人信息处理要求在工作中接收、存储和使用的个人信息，须依法使用和保护。应指定专人对个人信息进行处理，承担接收、存储相关环节数据和个人信息安全的指导监督、督促检查责任，实际处置数据和个人信息的部门负主体责任。相关部门内部人员不得以非工作原因查询、使用个人信息，防止造成信息泄露。对个人敏感信息的访问、修改等行为，应在对角色的权限控制的基础上，保证只有授权账号可进行相关操作，个人信息在进行交换和共享时，须经数据提供部门（单位）单位领导批准。应对访问数据的内部数据操作人员，按最小授权原则进行访问。涉及公开展示个人信息的，应对展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。DB

1310/T

323—2023个人信息保存期限应为实现目的所必需的最短时间，超出保存期限后，应对个人信息进行删除或匿名化处理。应采取积极有效的防范措施，防止数据被非法使用、窃取、篡改和破坏，任何单位和个人发现使用数据的违规行为都有权举报。在中华人民共和国境内收集和产生的重要数据和个人信息，应当在境内存储。因业务需要确需向境外提供的，应通过国家网信部门组织的安全评估，经专业机构进行个人信息保护认证等。8 网络安全应急处理要求应急预案8.1.1 应制定本地网络安全应急预案，并明确启动条件，包括应急处理流程、系统恢复流程、个人数据恢复和敏感数据恢复等方面的详细内容。8.1.2 网络安全应急预案应包括应急组织构成、资源保障、处置流程、事后的教育与培训等方面核心内容。8.1.3 应定期对系统相关人员进行应急预案培训，并定期进行应急预案的模拟演练。8.1.4 应定期对应急预案进行重新评估，并对其进行修订和完善。应急处置8.2.1 应急组织8.2.1.1 应建立应急组织，包括决策层、指挥层和执行层，各层级应职责明确，相互配合。8.2.1.2 在应急处置过程中，应加强与各相关部门的协调，确保信息畅通，资源共享。8.2.2 应急预案启动8.2.2.1 并按照有关规定向网信、公安部门和有关行业主管部门报告。8.2.2.2 在应急预案启动后，应急组织应迅速展开处置工作。应根据突发事件的具体情况，采取相应断和决策。8.2.3 总结和评估处置的效果等。总结经验教训，提出改进措施，不断完善应急处置管理体系。9 网络安全人员培训要求应针对网络安全人员制