网站信息发布管理制度

网站信息发布管理制度

为切实加强政府门户网站信息网上公开，促进网站信息发布

工作规范化、制度化，保证信息发布的准确性、及时性，确保网

络信息安全保密，依据有关法律法规和文件精神，结合我县实际，

制定本制度。

一、责任分工

县电子政务中心牵头负责政府门户网站信息发布的统筹协

调、指导和管理；各单位根据栏目设置的需求，负责维护和提供

与其业务有关的各类信息资料。

二、信息发布

1.网站信息内容主要来源于各单位。

2.网站信息由县电子政务中心操作设定栏目，组织相关信息。

3.各单位指定一名网站信息发布工作人员，负责本单位的信

息采集、报送和发布更新工作。网站信息发布工作人员在完成对

信息的采集和编辑后，应进行认真审查，审查内容包括：

（1）文稿有无错漏、重复等文字错误；

（2）文稿、图片是否损害单位形象，有不健康内容；

（3）送交本单位负责保密部门审查文稿、图片是否违反《保

密法》等相关法律法规。

审查完成后，填写网站信息发布登记单，经本部门负责人及

保密部门审核后发布。未经审核审批的信息，一律不得上网发布。

4•各单位的上网内容须在文件印发或活动（会议）等结束5

日内完成信息发布或更新。

5,县电子政务中心负责各单位信息工作人员的培训和日常

业务指导。

6.各单位可根据自身业务发展需要，向县电子政务中心申请

提出增加和修改相关栏目。

7.信息稿件格式应符合以下规定：

(1)标题

①对原创信息力求简短、醒目、新颖、吸引人；

②标题最好限制在一行显示完整。若某些稿件涉及问题需原

封不动转载，以转载标题为准，但为保持页面美观，可选择恰当

位置进行断行；

③标题上尽量避免出现标点、空格，遇特殊情况，可使用冒

号、破折号、引号、书名号、括号、顿号、逗号；

④标题要求简洁平实，做到句型完整，句意表达完整，不产

生歧义；

⑤标题格式：除特殊情况外，标题格式为宋体、四号、黑色、

加粗、居中。

(2)标注信息源

网站所有新闻应注明信息来源，格式与正文相同。信息转载

应注明出处，避免引起纠纷。

(3)正文

①文章每段首行缩进2字符；

②文中出现的繁体字一律改成简体；

③转载信息“本报”应改为报刊全称；

④正文格式：除特殊情况外，信息正文字体一般为宋体，字

体大小四号，颜色黑色，行间距2倍；

⑤杜绝漏字、错别字和自造字。

（4）图片

①保证图片清晰、端正、不变形；

②图片内容应与正文内容相符合；

③除充分利用现成的图文稿件外，可将分别报道的图片新闻

与文字新闻加以组合方便阅读。

④图片文件大小要小于1M才可上传。除特殊情况外，图片

宽度一般要W600px,高度按照比例自动生成。

三、网站安全管理

1.网站安全管理由县电子政务中心牵头负责。县电子政务中

心应定期与县网安、网信等部门就有关网站安全技术问题沟通,

防止各种非法入侵，确保数据安全。

2.网站信息发布工作人员要妥善保管网站信息发布密码，对

因违反规定而导致的安全事故，将追究相关人员的责任。

3.县电子政务中心应定期做好数据备份，遇突发事件时尽快

恢复，备份数据的保存应按照国家的有关规定操作。

四、信息保密

1.各单位保密工作人员负责上网信息的保密审查工作。网站

发布的信息应严格遵守国家的保密规定。

2.网站所发布的信息施行“谁提供、谁负责”的制度，各单

位负责人为信息发布的第一责任人。

3.网站信息发布工作人员负责将本部门、本单位上网发布信

息送交负责保密工作人员审查。

五、信息发布考核

L县电子政务中心每月对各单位提供的信息数量及类别情

况进行统计汇总，相关统计数据纳入各单位的政务公开年度考核。

2.对于符合以下条件的集体和个人，将给予表彰：

（1）报送信息及0T,主动性强，并产生显著的宣传效果，

获得社会好评的；

（2）及时主动向社会提供各类网上查询或网上受理等互动

式服务，获得好评的；

（3）对网站建设与管理工作积极提出建议、意见，并且被

采纳实施的。

3.凡有以下情况的给予通报批评：

（1）对网站工作重视不够，未指定专门人员或指定专门人

员未尽责任的；

（2）上网内容虚假或有较多错误，栏目内容长期不更新，

经多次提醒仍不及时改进的；

（3）不按要求程序报送信息，产生不良影响的。

（4）造成严重后果的，予以进行责任追究。

机关、单位互联网网站、平台、政务新媒体信息发布保密审查表

单位：日期：年月日

序发布栏目/信息发布单位信息发布单位网站/政务主管

信息名称信息来源发布形式

号平台保密审查意见主管领导意见领导意见

本机关、单位制发口网站公开口

同意□同意口同意□

1转载（注明转我来依表公开口

不同意□不同意□不同意口

源）：__________其他________

本机关、单位制发口网站公开口

同意口同意□同意口

2转载（注明转载来依表公开口

不同意□不同意□不同意□

源）：__________其他________

本机关、单位制发□网站公开口

同意口同意口同意口

3转载（注明转栽来依我公开口

不同意口不同意□不同意□

源）：___________其他________

承办人；

注：1.本表由机关、单位互联网网站信息发布主管部门负贲组织墙写和保•管；

2.机关、单位互联网网站发布信息四均应当认再炳写本裹：

3.埼在相应的“口”打"J”;

4.发布栏目是指信息具体发布到，个烂目中，例；目站-动态要闻/平台-公示公告/徵信/俄博.可写多个栏目；

5.不能硝定信息是否可以公开时,应当由机关、单位保密工作机构纽织保密审查.

机房信息安全管理制度

（本制度适用于第三方运维单位管理要求）

为加强信息系统的物理环境和设施的信息安全管理规范性,

做好物理环境和设施的信息安全管理工作，依据国家有关法律法

规及有关文件要求，特制定本制度。

一、定义及要求

L机房是指负责管理的存放计算机网络系统主干交换机和

各信息系统的服务器的专用机房。

2.机房设计应符合GB9361-1988《计算机场地通用规范》、

GB2887-2000《电子计算机场地通用规范》、GB50174-2008《电子

信息系统机房设计规范》、《国家信息安全等级保护》的标准要求。

二、环境安全

1.机房环境安全应从机房选址、周围环境、内部防火、防盗、

防破坏、防雷击、防水和防潮、防静电和温湿度控制方面满足国

家计算机机房相关规范。

2.机房周边环境应符合以下要求：

（1）应避免设在建筑物的高层或地下室，以及用水设备的

下层或隔壁；

（2）应远离强震源和强噪声源，远离强电磁场干扰源；

（3）应选择在具有防震、防风和防雨等能力的建筑内；

（4）机房所在建筑物应远离产生粉尘、油烟、有害气体以

及生产或储存具有腐蚀畦、易燃、易爆物品的工厂、仓库、堆场

等;

（5）机房所在的建筑物应设置避雷和防雷装置；

（6）安全区域内应确保不存放易燃、易爆的危险物品。

3.机房应根据用途和重要程度划分成如下区域：

（1）重要安全区域：非涉密机房的核心区域，存放重要信

息系统，可以结合网络区域划分情况和信息系统重要的程度进行

进一步细分，设置区域之间的边界隔离措施；

（2）一般安全区域：一方面可作为设备进行交付或安装的

过渡区域，应与重要安全区域设置明显的物理隔离装置；另一方

面可作为基本工作间（操作员工作室）和机房的辅助工作间，进

行终端操作、环境动力监控和相关工作。

4.机房内部环境应符合以下要求：

（1）应采取区域隔离防火措施，将重要设备与其他设备隔

离开；

（2）应采用具有耐火等级的建筑材料；

（3）应设置火灾自动消防系统，能够自动检测火情、自动

报警，并自动灭火；

（4）水管安装，不得穿过机房屋顶和活动地板下；

（5）应防止雨水通过机房窗户、屋顶和墙壁渗透；

（6）应防止机房内水蒸气结露和地下积水的转移与渗透；

（7）应安装对水敏感的检测仪表或元件，对机房进行防水

检测和报警；

（8）应选用精密空调，并设置空气过滤装置；

（9）对于易产生尘埃及废物的设备，应当远离对尘埃敏感

的设备，并集中布置在靠近机房的回风口处；

（10）应对机房设置监控报警系统；

（11）应选用具有稳定的抗静电性能和承载能力，同时耐油、

耐腐蚀、不起尘的活动地板，活动地板下的建筑地面应平整、光

洁、防潮、防尘；

（12）应提供短期的备用电力供应，至少满足主要设备在断

电情况下的正常运行要求；

（13）应采用防止外界电磁干扰和设备寄生耦合干扰，电源

线和通信线缆应隔离铺设，避免互相干扰。

5.机房内部环境管理要求：

（1）严禁随意丢弃废纸、杂物及其他废弃物；

（2）机房工作完成后，及时整理资料、光盘、介质等各类

物品，严禁乱丢乱放，维护机房环境卫生和工作台面整洁。

三、机房出入登记制度

L严禁无关人员进入机房，特殊情况需经机房管理负责人批

准，并认真填写出入登记表后方可进入。

2,进入机房的人员应严格遵守各项管理制度，保持机房卫生,

更换专用工作鞋，穿着工作服，严禁随地吐痰、吃零食和就餐。

不得将任何非工作性液体带入机房内。

3,严格遵守门禁制度，出入随手关门。

4.临时工作人员应在工作时间内，按照工作性质和授权情况

进入机房。特殊情况需提前申请，并在正式工作人员陪同下，填

写出入登记表后进入。

5.临时工作人员的门禁授权均设置有效期，工程结束后门禁

授权自动失效。

6.所有持卡工作人员要妥善保管门禁卡，不得随意擅自将门

禁卡借予他人使用，施工单位借用门禁卡需做记录，如丢失需要

负相应责任。

7.参观人员进入机房必须出具书面申请，预约参观时间和人

数，经机房管理负责人批准后，在工作人员陪同下，填写出入登

记表后进入。

8,外来施工单位及相关施工人员进入机房施工，须递交《施

工申请单》（《施工申请单》上需列出施工人员名单并附上身份证

复印件），经机房管理负责人批准，按规定登记后，方可进入机

房施工。每天施工结束后，施工人员应负责施工现场的清洁、整

理，经工作人员同意后，方可离开机房。

9.执行紧急抢修的施工人员可直接与机房管理负责人联系

后进入，抢修完毕后再签名登记，并负责现场的清洁、整理，经

工作人员同意后，方可离开机房。

10.外来施工单位及相关施工人员进入机房后不得对不在审

批范围内的设备进行操作或超出审批范围进行操作，若超计划操

作造成网络安全故障，相关厂商要承担一切责任。

11.工作人员应及时填写机房出入登记表，详细记录来访日

期、人数、事由等，并定期汇总上报。

四、机房门禁与监控管理制度

1.机房门禁系统与监控系统由专职工作人员统一进行管理,

严禁无关人员碰触后台设备。

2.门禁卡和指纹授权由专职人员统一管理、统一授权、统一

调配。采用“一人一卡（或指纹授权）、专人专用”的原则，分配

门禁卡和指纹授权并设置相应的权限。持卡人必须妥善保管门禁

卡，严禁外借门禁卡给他人使用。

3•出入人员必须随手关门，确保门禁系统正常工作。

4.所有门禁授权信息必须登记备案。新增或变更门禁权限,

需提出书面申请，经机房管理负责人审批同意后办理。

5.临时工作人员的、［禁授权必须按照其工作情况设置有效

期和每天授权时段。

6.监控系统管理员必须保持高度警惕及高度责任心，密切注

意各部位情况，增强安全观念，善于发现问题，认真做好记录。

7.监控系统管理员负责定期对监控系统设备和软件进行维

护和管理，保证系统的正常运行。

8.监控系统管理员负责定期回放监控录像，检查录像画面的

清晰度和完整性，结合出入登记表检查人员出入情况。

9.监控系统管理员要对视频监控图像内所发生的事故及其

他紧急情况进行记录，并根据需要对相应的视频文件进行存档。

10.视频监控图像不得擅自删改，不得故意隐匿、毁弃留存期

限内视频监控图像信息的原始记录。

五、机房值班制度

1.值班人员要遵守机房的各项规章制度，认真履行值班人员

职责，正确及时处理有关事项，遇到紧急或特殊情况，应及时请

示汇报，并做好值班记录。

2.按时上下班，不准擅自调班，确因有要事，须先向领导提

出，经批准后方可调班；因特殊情况，不能到岗或离岗，须提前

向领导请假，否则因此造成的事故由当事者承担全部责任。

3.值班人员需经过机房管理领导审批准后方能参与值班工

作。

4.值班时间内，若有停电情况应及时请示汇报，保证机房设

备的正常运行。

5.严禁不穿鞋套，携带食品、饮料等进入机房。

6.值班人员须预先进行值班培训，掌握配电系统、空调、消

防、UPS等各种设备的正确操作方法和故障排除方法，杜绝因操

作不当造成事故，对于机器设备出现的问题要正确判断及时解决,

并做好记录，保证设备正常运行。不能解决的问题，也要做好记

录，并及时向主管领导汇报，并认真、如实记录故障发生的时间、

现象、故障原因、处理措施、处理结果，与领导或有关部门的联

系情况等。

7,认真填写值班记录，字迹要清晰，数据要准确，项目要完

整。

8.值班电话要保持畅通，严禁长时间占用值班电话，距离值

班电话较远或执行巡视期间，值班人员应携带值班电话子机或采

取其他方式，确保值班电话有人接听。

9.机房内不会客，严格控制进入机房人员，不允许私自带领

他人在机房停留。

10.严禁在机房吸烟、使用打火机等。

11.值班人员应负责对门、窗、灯、电源、机器的安全情况进

行全面检查、管理，全面保证机房的安全。

12.切实做好安全保卫工作，严格管理机房钥匙，遵守门禁制

度；未经允许，非机房工作人员不得私自进入机房；机房的设备

与软件不允许随便外借。

13.严格遵守防火、防盗制度。遇到紧急或特殊情况，应立即

报告，并有权采取相应措施予以及时处理。

六、机房巡检制度

1.巡检人员必须严格遵守时间规定，遵守巡检纪律，认真巡

视机房设备，按照操作规程和内容进行检查，不允许迟检、漏检

和违规操作。

2.每天上午9点和下午17点各巡检一次。周一至周五由专

职人员巡检，非工作时间由值班员巡检，重要时期应增加巡检次

数。

3.每次巡检工作应按信息系统重要程度、安全等级等有重点

的完成，以确保上班时和下班之后机房设备运行正常。

4.巡检内容包括机房物理环境（电源输入输出情况、UPS设

备运行情况、空调运行情况、机房温湿度情况）、关键的IT设备、

网络和应用系统日常运行情况。

5.巡检人员须按要求填写《机房巡检记录表》，记录表应在巡

检期间填写，以记录时间为准，不得事后补填，巡检记录表必须

妥善保存和归档。

6.巡检期间，工作人员应认真巡视机房设备，检查应用系统

运行情况，如发现机房环境异常、设备状态异常、网络或应用系

统故障，在第一时间通知相关负责人，按照操作规程进行修复。

7.巡检人员必须及时、准确、完整地填写巡检记录和故障处

理记录。故障处理过程必须在机房巡检表的备注栏中详细记录，

以备查阅。

七、机房数据保密制度

1,根据数据的保密规定和用途，确定使用人员的存取权限、

存取方式和审批手续。

2.加强数据的安全保密工作，存档的数据应由专人负责保管,

防止信息资料流失。

3.遵守业务数据的更改审批制度，未经批准不得随意更改业

务数据。

4.禁止泄露、外借和转移专业数据信息。

5•对于牵涉到网络安全、数据安全的重要信息、密码、资料、

文档等必须妥善存放。外来工作人员的确需要翻阅文档、资料或

者查询相关数据的，应由机房相关负责人代为查阅，并只能向其

提供与其当前工作内容相关的数据或资料。

6.移动存储介质在接入计算机前，因工作需要使用软盘、光

盘、移动硬盘、U盘等介质的，要先杀毒，再使用，禁止非涉密

移动存储介质违规在涉密计算机上使用。

7.用户发现信息系统泄密后，应立即向信息管理部门和有关

领导报告，及时采取补救措施。

八、机房UPS管理

1.机房专用UPS是保证机房内设备正常运行和数据安全的

重要设备，主要信息设备供电应由机房专用UPS提供，其他负

荷不得接入机房专用电源。

2.UPS必须由专人管理，无关人员严禁随意触碰UPS设备

和电池。

3.工作人员应每天监测UPS的运行状况，记录负载率、充放

电时间等重要数据。

4•定期检查蓄电池状况。每3个月进行一次放电维护。

5.停电情况下，随我监测UPS放电情况，做好关闭服务器的

准备。

九、消防管理

1.定期检查机房内的设备和线路，如发现消防安全隐患，应

及时采取措施消除。

2.严禁易燃易爆品进入机房，严禁工作人员吸烟。

3,定期进行消防演练，开展消防知识培训、消防设备使用培

训，掌握消防应急处理步骤、措施和要领。

4.重点防火部位要有明显标识，定期检查消防设备。

5.每年雷雨季节之前，对电源、机房地网、防雷等重要设施

进行检查。

6.火灾发生时，机房工作人员应迅速切断配电箱总电源，机

房管理人员应按距起火点由近至远的方法，按照机房应急疏散图

在规定时间内进行疏散。即刻通知监控室及相关部门，根据火情

大小如需报警立即就近用电话或手机报告消防部门，并告诉对方

自己的姓名，机房所处位置，火灾性质，同时派人到路口接消防

车。

7.机房工作人员，应及时发现被困的人员及在疏散中的受伤

人员，并对其进行救助。

8.机房工作人员，应向消防队仔细介绍机房的内部结构，人

员被困情况，物品储存情况。

9.服从消防队火场指挥人员的指挥，协助消防队进行火场救

援和警戒工作。

十、设备安全

1.设备的放置安全控制要求：

(1)设备的存放应根据其重要程度不同，放置在机房的不

同区域；

（2）处理核心数据信息的小型机、服务器、交换机、路由

器、安全设备等重要设备应当放置在专用的机柜中，机柜应当提

供UPS、散热等功能。

（3）统计相关设备的过保状况。

2.设备的隔离安全控制要求：

（1）针对必要的关键性设备应采用隔断等措施进行物理隔

离；

（2）设备之间的隔离措施应当能够满足设备重要程度的要

求。

3,设备的访问安全控制要求：

（1）存放处理核心数据的小型机、服务器、交换机、路由

器、安全设备等重要设备应当减少对其设备直接物理访问，并确

保周边物理环境的安全畦，同时采取安全监控措施，包括对门禁

系统的监视，必要时对已授权的内部访问进行监视；

（2）信息技术与数据管理处理设施应根据其重要程度不同,

设置不同的访问控制权限，仅允许对于设备的必要访问；

（3）对擅自动用设备而导致设备损坏者要追究责任，并酌

情赔偿损失；

（4）对于机房内设备的重要操作，如数据的完全备份操作，

应考虑存在的风险，做好应急和回退措施，并进行记录；

（5）未经批准，严禁在机房内擅自对设备进行操作，包括：

①关闭、启动、更换路由器、交换机、服务器以及网络安全

设备等设备；

②调整和更改网络系统、网络设备、服务器、操作系统的配

置参数；

③添加、更换和拆卸硬件设备；

④增加、撤除、调整网络设备和服务器的网络跳线、电源线；

⑤安装、删除和修改软件程序，安装和删除网络功能，拷贝

和删除文件数据；

⑥安装、下载、使用各种扫描、攻击、探测、侦听等安全类

和黑客类软件；

⑦扫描、攻击、探测、侦听网络系统和设备；

⑧使用机房内的服务器和PC机收发电子邮件；

⑨使用机房内的服务器和PC访问互联网；

⑩在服务器上设置共享目录和共享资源；

⑪在域控制器上生成域用户名，在成员或独立服务器上生

成服务器本机用户名；

⑫在服务器上安装非必要的第三方软件；

⑬调整机房内报警、空调、通风系统参数。

4.设备的维护安全控制要求：

（1）应根据供应商推荐的服务时间间隔对设备进行检查、

监控和维护；

（2）只有已经授权的维护人员才可以对设备进行操作、维

修和服务；

（3）对于机房中的网络设备、安全设备、服务器等设备进

行远程维护和管理时，应限定维护管理的IP地址；

（4）当设备进行维护时，要明确维护时间、维护人员和陪

伴人员；涉外维修和服务时，应经过信息技术与数据管理处主管

领导审批，并针对设备中的敏感信息进行必要的处理；

（5）在对设备进行维护操作时，特别是拆装设备时必须采

取必要的防静电措施；

（6）做好机房工作的记录，对网络的运行连接、各种系统

的联接和配置要求详细的记录，正常的调试、故障排除、日常监

控等所有操作都必须在机房工作记录上登记，并记录过程结果。

（7）有关信息系统设备维修，要注意保存机房设备维修记

录单，包括所有可疑和实际的故障记录，以及预防和维护过程中

的记录。

5.设备的移动安全控制要求：

（1）机房内部设备的移动应根据信息的敏感和重要程度确

定信息技术与数据管理处理设备的位置，降低由于使用过程中因

疏忽造成的安全风险；

（2）离开和进入机房的设备应指定设备看管人、运送人和

责任人，并对设备的进出和运输进行记录；

（3）机房设备在移动过程中，应具有足够的安全保障措施，

包括实物和人员，以确保移动过程中的物理安全性；

（4）设备的维护组织应当签署详细的维护协议，协议内容

应明确包括设备维护过程中的安全管理；

（5）机房要做好固定资产登记，由专人管理，一般不得外

借，因工作原因确需外借时，须经批准后办理外借手续，归还时

应检验设备是否完好。设备转移要及时做好固定资产转移手续。

信息系统建设安全管理制度

为进一步提高信息系统安全保障水平，确保信息化建设的项

目立项、设计、实施、验收等各个环节与网络和信息安全管理控

制机制的有机结合，实现项目工程管理过程和内容安全可控，特

制定本制度。

—\基本原则

信息系统中的安全建设应遵循“同步规划、同步建设、同步

运行”的原则，确保网络和信息安全控制成为信息系统中的组成

部分之一。

二、信息系统规划安全管理

L信息系统规划阶段安全管理包括信息化建设管理中覆盖

的项目立项、项目需求与要求、项目审批和项目招标相关阶段的

网络和信息安全管理要求。

2.应根据信息系统的等级划分情况和整体安全策略，统一考

虑安全技术框架、安全管理策略、总体建设规划和初步设计方案。

3.信息系统建设项目立项申请时，应明确信息系统的安全要

求。

4.可行性分析应确定信息系统的安全等级，进一步明确安全

目标和主要技术路线：

（1）根据国家标准GB/T22240《信息系统安全等级保护定

级指南》确定信息系统的安全等级；

（2）描述信息系统业务信息的安全目标和业务服务的安全

目标;

（3）结合现有网络和信息安全平台，阐述实现安全目标的

可行性。

5.项目需求分析过程中应包括信息系统安全性需求分析的

内容，至少包括以下网络和信息安全方面的内容：

（1）根据信息系统安全等级，参照国家标准GB/T22239《信

息系统安全等级保护基本要求》相应等级的安全控制要求进行选

择；

（2）分析信息系统可能面临的安全威胁、风险和目前存在

的脆弱性，根据实际环境的风险情况对安全控制要求进行调整;

（3）应根据所选择的安全控制，根据现行技术、产品、管

理流程的实际情况，形成相应的安全可行性方案；

（4）信息系统可能需要的安全功能性需求，包括但不限于

用户身份、访问控制、数据和信息保密性、数据审计和跟踪等。

6.网络和信息安全主管领导在对项目进行立项审批的过程

中，应审核如下网络和信息安全方面的内容：

（1）信息系统中的安全需求，设计内容是否符合总体安全

策略要求；

（2）信息系统项目中的网络安全是否涉及网络安全域的访

问控制、网络边界安全、网络传输安全和冗余性；

（3）信息系统项目中的操作系统和数据库安全是否涉及系

统的稳定性、安全配置和安全管理；

（4）信息系统项目中的应用安全是否涉及身份验证、角色

访问控制、数据加密、备份、日志审计等安全功能；

（5）信息系统项目中对于安全功能实现的安全技术、产品

是否符合整体网络和信息安全技术架构，对于现有网络和信息安

全技术架构是否存在可能的影响。

7.项目招标和采购过程中应考虑以下网络和信息安全要求:

（1）应明确产品采购要求，详细描述产品采购流程；

（2）重要信息系统和网络的安全建设应选择国内网络和信

息安全产品；

（3）网络和信息安全产品应符合相应密级要求，具备安全

产品销售许可、知识产权证明等资质；

（4）网络和信息安全集成、开发和服务提供应具备符合国

家相关资质要求的证明；

（5）具体遵照《产品采购安全管理办法》执行。

三、信息系统实施安全管理

L信息系统实施阶段安全管理包括项目签约、项目计划、项

目实施和试运行相关阶段的安全管理要求。

2.信息系统开发在签署项目合约过程中，通过签署《保密协

议书》约束双方的安全保密行为，签署过程中可以视实际情况对

《保密协议书》进行修订和完善。

3.信息系统承建商进场前，双方应对相关人员行为准则达成

共识。

4.信息系统在概要设计阶段，概要设计中应考虑以下安全要

求：

（1）根据安全需求，按安全功能子系统来描述系统的安全

架构；

（2）标识所要求的任何基础性的硬件、固件或软件，以及

在这些硬件、固件或软件中实现的支持性保护机制提供的功能表

示；

（3）标识子系统的所有接口，并说明哪些接口是外部可见

的；

（4）子系统所有接口的用途与使用方法，并适当提供影响、

例外情况和错误消息的处理机制。

5.信息系统在详细设计阶段，详细设计中应考虑以下安全要

求：

（1）详细设计中须提出具体安全设计方案，标明实现的安

全功能，并说明其技术原理；

（2）对系统层面上的和模块层面上的安全设计进行审查；

（3）确认各模块的设计，以及模块间的接口设计能满足系

统层面的安全要求。

6.信息系统在实施部署过程中，应考虑以下安全要求：

（1）全面评估信息系统部署的网络环境、系统环境以及数

据库的安全性能够确保应用系统自身的安全需求；

（2）确保网络环境、系统环境和数据库的访问控制规则符

合应用系统的访问控制权限要求；

（3）信息系统应在测试环境中进行测试，以避免对已经运

行信息系统产生影响。

7.信息系统在开发过程中，应禁止将口令写入应用程序。

8.信息系统在测试过程中应进行测试汇总和记录。

9.信息系统在自行进行信息系统开发和实施阶段，应对自行

编制的软件进行源代码安全控制，具体包括：

（1）减少源代码被破坏和非授权访问的可能，对源代码的

访问权限进行严格控制。

（2）为保障源代码的安全，要求开发设备、测试设备和运

行设备进行分离，运行设备上只有执行代码；

（3）旧源程序版本应被保存，并对代码进行版本控制，确

保代码的可用；

（4）所有对代码库的修改、更新都要有操作日志记录。

10.在编制软件的过程中，任何程序的编码都应对输入数据

进行如下验证：

（1）使用强输入验证；

（2）检验输入数据长度；

（3）限制数值输入的范围；

（4）限制输入字符的类型。

11.在编制软件的过程中，应对应用数据进行如下安全控制:

（1）原则上不允许使用真实数据进行测试，特殊情况需要

使用真实测试数据时，对系统测试数据要进行安全保护，并经过

信息技术与数据管理处主管领导的审批；

（2）在测试过程中，如模拟真实数据，应确保测试数据和

真实生产数据分离；

（3）测试完成之后，应立即将测试数据从测试系统中删除。

12.在开发过程中，为了控制编码的规范性，提高编码质量，

开发部门应制定编码规范性管理的详细控制要求。

13.开发的系统要确保系统应用的数据完整性安全，防止信

息在处理过程中被篡改。

14.开发的系统要确保系统应用的输出数据准确，检查输出

数据，保证正确处理储存信息：

（1）模糊性检查测试输出数据是否合理；

（2）测验核实输出的相关提示。

15.软件开发人员应当对信息系统的安全需求和设计进行充

分的沟通，并在软件编码前通过培训的方式对编码安全进行专业

性技能培训。

16.对外包软件进行安全管理和控制的过程中，应注意如下

事项：

（1）在软件开发的过程中应当配置必要的软件版本控制软

件；

（2）在软件开发过程中应当对软件编码进行质量控制，并

与项目管理的应用系统主管人员进行定期质量结果沟通；

（3）软件测试中应包括安全性测试，并提供安全性测试报

告，报告内容包括但不限于病毒检测、后门检测、攻击测试和访

问控制限制等；

（4）软件部署前应对软件可能面临或包含的恶意代码进行

防护。

四、信息系统验收安全管理

1.网络和信息安全主管领导对信息系统进行验收，同时网络

安全和信息化工作领导小组应对其中涉及的网络和信息安全工

程成果以及过程中的安全管理过程进行验收确认。

2.信息系统在初验前应注意如下安全控制：

（1）信息系统具备与信息系统需求分析、概要设计、详细

设计相一致的安全功能；

（2）信息系统已经在与实际环境一致的测试环境运行稳定,

并确定好周边安全控制措施，包括物理、网络和主机系统等基础

环境；

（3）信息系统的安全部署和运行符合总体安全策略要求。

3.信息系统在试运行期间应跟踪可能出现的安全威胁和风

险，并与信息系统承建单位保持有效沟通和协调，保障系统的安

全性。

4.信息系统在试运行期间如发现安全漏洞、安全隐患或新发

布的安全补丁，需要对信息系统应用软件或承载的操作系统、数

据库进行及时升级。

5.项目终验时应检查执行法律法规和标准情况，主要检查项

目建设成果和管理是否符合有关法律、法规和国家信息化建设相

关标准。

6.信息系统在终验前，必须明确系统运行的开放端口，并以

书面形式交付至网络安全和信息化工作领导小组备案。

7.应根据合同要求对外包软件进行交付验收，合同要求应至

少包括：

（1）应依据开发要求的技术指标对软件功能和性能等进行

验收测试；

（2）软件安装之前应检测软件中的恶意代码；

（3）开发单位应提供源代码；

（4）应根据源代码对软件中可能存在的后门进行审查。

8.信息系统交付验收时，应根据合同要求制定系统交付的清

单，依据交付清单进行清点，信息系统交付物至少应包括：

（1）信息系统运行所需要的全部设备；

（2）信息系统运行所需要的全部软件；

（3）信息系统文档，包括系统建设过程中的文档，详细的

系统使用和维护文档；

（4）信息系统应急方案；

（5）恶意代码检测报告；

（6）软件源代码审查记录；

（7）软件测试结果记录；

（8）信息系统使用培训教材。

9.信息系统验收并移交后，信息系统运行人员必须立即修改

信息系统中所有账号的口令。

10.信息系统在安全管理和控制方面存在以下情况之一，不

能通过验收：

（1）信息系统未提交安全性测试报告；

（2）信息系统的安全功能与安全需求、概要设计和详细设

计内容不一致；

（3）通过第三方检测或测试发现信息系统存在安全隐患、

后门或漏洞；

（4）信息系统的整体设计和实施不符合匡家法律和相关标

准要求。

五、项目工程管理

1.信息系统在建设过程的工程安全管理中应至少包括如下

管理内容：

（1）信息系统建设的组织管理：

（2）信息系统建设的文档管理；

（3）信息系统建设的变更管理。

2.信息系统建设的组织管理，应加强如下安全控制：

（1）应要求承建单位建立逐级解决问题的过程、提升信息

系统安全性的组织保障能力；

（2）信息系统建设过程中应加强对于承建单位的监视和评

审工作，定期组织对于信息系统承建单位和业务单位的协商，建

立稳定的问题管理、故障和安全事态追踪，确保信息系统建设能

够实现既定目标。

3.信息系统建设的文档管理，应加强如下安全控制：

（1）信息系统建设各个阶段涉及的文档和交付应当符合相

关安全要求；

（2）需求阶段应确保需求规格和需求调研报告中包括安全

性内容；

（3）概要和详细设计阶段应确保实现安全需求；

（4）测试阶段应确保安全设计符合安全需求；

（5）所有文档应设定密级、读者范围，以限定其访问范围；

（6）所有文档的访问控制应有相应的授权机制；

（7）文档作为软件开发中的配置项，应遵循软件配置管理

要求；

（8）信息系统开发设计过程的所有相关文档应进行记录；

4.信息系统建设的变更管理，应加强对变更本身的评估，在

出现以下情况时可考虑变更：

（1）评估现有信息系统建设是否对现有服务有所加强；

（2）信息系统建设是否设计新应用或系统功能的开发；

（3）网络安全和信息化工作领导小组组织或控制程序是否

发生变更；

（4）解决网络和信息安全事件或对网络和信息安全措施有

所改进。

5.人员行为管理

（1）全体工作人员要自觉遵守廉洁自律相关规定，规范自

己的思想和行为。在思想上树立正确的世界观、人生观、价值观，

在工作中认真履行工作职责，讲求职业道德，兢兢业业，踏踏实

实，廉洁奉公，全心全意为工程建设服务。

（2）工程建设项目必须国家招投标相关法律法规和上级规

定要求。任何人不准利用职务或工作之便，擅自将工程发包给无

资质或不符合资质的施工企业。

（3）工程监理部门应当按照法律、法规、技术标准和合同

的约定，对建设工程的质量、投资、工期等事项实施监督管理,

严格监理、秉公办事、诚信公正。监理人员不得和施工、设备制

造、材料供应等单位串通，弄虚作假，不按设计图纸、质量安全

和施工技术要求监理，降低工程质量，为承包单位谋取非法利益,

影响工程质量和安全，造成不应有的损失。

（4）不准向工程承包单位推销或指定使用材料、设备或给

亲属、亲友推销材料设备提供各种便利条件。

六、信息系统测评管理

1.信息系统测评工作由网络安全和信息化工作领导小组组

织分派管理，由电子政务中心主抓配合完成测评项目。

职责：

（1）完成信息系统测评工作；

(2)对测评工作过程的把控；

(3)对测评过程文档进行归档记录。

2.测评过程不仅限于提供如下文档：测评方案；测评报告；

测评计划；受理通知书；合同；整改建议书；测评报告。

3.信息系统进行测评前对信息系统进行定级备案，自主定级,

根据系统情况填写定级备案表，报送公安局网安部门。对信息系

统定级材料进行统一专人管理，并填好《使用控制记录》。

4•根据第三方测评些位提出的系统整改建议，对系统进行整

改，及时调整改级别，符合网络和信息安全等级保护相应等级要

求。

病毒检测、网络安全漏洞检测管理制度

为保证卢龙县人民政府门户网站的正常运行，有效防止各类

病毒、黑客软件对网站构成威胁，特制定本制度。

一、本网站上传用计算机应安装防病毒软件并对软件定期升

级。

二、任何上传至本网站服务器的文件，必须先进行病毒检测,

确保没有病毒感染后方可上传。

三、本网站所有计算机应严禁安装病毒制作软件、黑客软件,

严禁攻击其它联网主机，严禁散布黑客软件和病毒。

四、本网站所有计算机应定期进行病毒检测，防止病毒感染

和传播。

五、服务器提供方负责装备防火墙和有效的病毒检测程序,

并保证实时监控程序正常运行。

六、网站开发维护方负责对服务器及数据库等系统软件进行

系统扫描和版本升级，避免安全漏洞出现，防止黑客利用系统漏

洞和弱点非法入侵。

账号使用登记和操作权限管理制度

为加强信息系统用户账号和权限的规范化管理，确保各信息

系统安全、有序、稳定运行，防范应用风险，特制定本制度。

本制度适用于建设和管理的、基于角色控制和方法设计的各

型信息系统，以及以用户口令方式登录的网络设备、网站系统等。

信息系统用户、角色、权限的划分和制定，以县政府办公室对部

门职能定位和各业务部门内部分工为依据。

一、信息系统用户和权限管理的基本原则

L用户、权限和口令设置由电子政务中心全面负责。

2.用户、权限和口令管理必须作为项目建设的强制性技术标

准或要求。

3.用户、权限和口令管理采用实名制管理模式。

4.严禁杜绝一人多账号登记注册。

二、系统管理员职责

系统管理员负责本级用户管理以及对下一级系统管理员管

理。包括创建各类申请用户、用户有效性管理、为用户分配经授

权批准使用的业务系统、为业务管理员提供用户授权管理的操作

培训和技术指导。

三、业务管理员职责

业务管理员负责本级本业务系统角色制定、本级用户授权及

下一级本业务系统业务管理员管理。负责将上级创建的角色或自

身创建的角色授予相应的本级用户和下一级业务管理员，为本业

务系统用户提供操作培训和技术指导，使其有权限实施相应业务

信息管理活动。

四、用户职责

用户须严格管理自己用户名和口令，遵守俣密性原则，除获

得授权或另有规定外，不能将收集的个人信息向任何第三方泄露

或公开。系统内所有用户信息均必须采用真实信息，即实名制登

记。

五、用户申请和创建

1.申请人在《用户账号申请和变更表》上填写基本情况，提

交县电子政务中心负责人；

2.部门负责人确认日请业务用户的身份权限，并在《用户账

号申请和变更表》上签字确认。

3.信息系统管理人员进行审批后，由系统管理员和业务员创

建用户或者变更权限。

4.系统管理员和业务管理员将创建的用户名、口令告知申请

人本人，并要求申请人及时变更口令；

5.系统管理员和业务管理员将《用户账号申请和变更表》存

档管理。

六、用户变更和停用

1.县电子政务中心确认此业务用户角色权限或变更原因，并

在《用户账号申请和变更表》上签字确认；

2.执行部门主管确认此业务用户角色权限或变更原因，并在

《用户账号申请和变更表》上签字确认；

3.系统管理员变更。系统管理员变更，应及时向上级系统管

理员报告，并核对其账户信息、密码以及当时系统中的各类用户

信息及文档，核查无误后方可进行工作交接。新任系统管理员应

及时变更账户信息及密码。

4.业务管理员变更。业务管理员变更应及时向本级系统管理

员及上级业务管理员报告，上级业务管理员和系统管理员及时变

更业务管理员信息。

5.用户注销。用户因工作岗位变动，调动、离职等原因导致

使用权限发生变化或需要注销其分配账号时，应填写《用户账号

申请和变更表》，按照用户账号停用的相关流程办理，由系统管

理员和业务管理员对其权限进行注销。

七、口令管理

1.系统管理员创建月户时，应为其分配独立的初始密码，并

单独告知申请人。

2.用户在初次使用系统时，应立即更改初始密码。

3.用户应定期变更登陆密码。

4.用户不得将账户、密码泄露给他人。

八、账号审计

账号审计工作由信息系统管理部门的负责人或者主管进行

审计，并应定期向其领导进行汇报，由场信息系统管理部门负责

人定期和不定期检查。

九、应急管理

1.用户及业务管理员账户信息泄露遗失。用户及业务管理员

账户信息泄露遗失时，应在24小时内通知县电子政务中心系统

管理员。县电子政务中心系统管理员在查明情况前，应暂停该用

户的使用权限，并同时对该账户所报数据进行核查，待确认没有

造成对报告数据的破坏后，通过修改密码，恢复该账户的报告权

限，同时保留书面情况记录。

2.系统管理员账户信息泄露遗失。系统管理员账户信息泄露

遗失时，应立即向上级系统管理员报告，暂停其系统管理员账户

权限，同时对系统账户管理及数据安全进行核查，采取必要的补

救措施，在最终确认系统安全后，方可恢复其系统管理员账户功

能。

信息账号申请、变更表

申请人:部门:申请日期:

账号类别申请内容

□开通账号口关闭账号口变更权限口其他_________

说明：

开通专栏

□已注册需审核账号口重置密码口其他_________

说明：

□开通账号口关闭账号口变更信息口其他________

1.姓名：座机：手机：（此项开通新账号人员填写）

信息发布

2.变更信息说明：

（此项变更账号信息人员填写）

□开通账号□重置密码

信息管理说明：

部门主管领导签字:

网络安全教育和培训工作制度

为进一步提高网站管理人员的网络安全意识，增强遵章守纪

的自觉性，根据相关规定，特制订本制度。

一、定期组织全县网络安全管理人员培训。由县电子政务中

心单独或联合县网信办等单位定期组织开展全县网络安全教育

培训，原则上每年举办一次。

二、定期开展各单位网络安全教育培训。各责任单位定期组

织本单位工作人员认真学习《网络安全法》《政府网站发展指引》

《计算机信息网络安全保护》《信息安全等级保护管理办法》《国

家安全监管总局政府网站信息发布管理办法》《国家网络安全事

件应急预案》《互联网电子公告服务管理规定》《中华人民共和国

计算机信息系统安全保护条例》《计算机信息快络国际互联网安

全保护管理办法》等业务知识，不断提高工作人员的安全工作能

力。每个单位原则上每年至少举行一次教育培训活动。

三、加强管理人员职业道德教育。各单位在日常工作中要加

强对管理人员的职业道德教育，教育管理人员要严格遵守相关规

程及制度。管理人员不得制造、发布虚假信息，向非业务人员提

供有关数据资料；不得利用网站的漏洞偷窃客户资料，进行诈骗

和转移资金；不得制造和传播计算机病毒等。

违法案件报告和协助查处制度

为加强网站管理，维护网络秩序，配合国家有关执法部门打

击、查处网络违法案件，确保卢龙县人民政府网站安全，特制定

本制度。

一、一旦发现网络违法案件，应详细、如实记录事件经过,

保存相关日志，并及时通知网络安全负责人和上级领导。

二、接到有关网络违法案件举报，要进行详细的记录，对举

报人身份等要严格保密，及时报告有关领导，并立刻与公安部门

取得联系。

三、当有关计算机安全监管部门进行网络违法案件及其他网

络进行安全检查时，网站安全负责人和其他有关人员必须积极配

合。

四、对本单位发生的计算机违法行为，发现人员应及时制止

并立即上报上级领导，同时做好系统保护工作。

五、违法使用网络行为如下：

1.盗用他人账号：电子邮件账号、信息发布账号等；

2.故意通过电子邮件、网络、FTP、存储介质等传播计算机

病毒；

3.利用系统漏洞、网络漏洞或使用黑客工具等攻击他人计算

机，或向网络上发送干扰正常通信的数据；

4.传播色情、反动、邪教等不良信息。

密码管理制度

为保障县政府门户网站安全，防止网站密码泄露，保护网站

系统及文件资料不受侵害，特制定网站密码管理制度。

一、密码内容设置规则

密码必须由数字、大小写字母与字符组成；长度不能少于8

字符；设置密码时应避开有规律、易破译的数字或字符组合作为

密码。

二、密码需定期更换

密码要定期更换，更换周期不得大于90天，且避免重新使

用旧密码或周期性使用旧密码。

三、账号与密码的保存

1.严禁用户私自将自用密码转告非工作人员；若工作需要必

须转告，需请示上级领导批示。非工作人员使用密码完成工作后,

管理员应该及时更改密码，保证密码安全。

2.避免遗留密码的纸质记录，除非可以安全的保存。

3.如果发现密码有任何泄密迹象，管理员要立刻修改密码,

报告主管领导，联系维护人员，严查泄密源头，检查泄密期间网

站内容是否被篡改或发布违规内容并将其修复、删除，并将详细

情况以书面形式上报主管领导。

政府信息公开保密审查制度

为做好拟公开的政府信息的保密审查，根据《中华人民共和

国保守国家秘密法》《中华人民共和国政府信息公开条例》的规

定，制定本制度。

一、政府信息公开保密审查应遵循“谁主管、谁负责；谁公

开、谁审查”的原则。

二、政府网站建立健全政府信息发布保密审查机制，依照国

家有关规定和本制度的要求，结合业务工作流程和特点，明确审

查的程序和责任，明确专人负责保密审查工作。

三、政府网站任何工作人员不得公开涉及国家秘密、商业秘

密、个人隐私的下列政府信息：

1.依照国家保密范围和定密规定，明确标识为“秘密”、“机

密”、“绝密”的信息；

2.虽未标识，但内容涉及国家秘密、商业秘密、个人隐私的

信息；

3.其他公开后可能危机国家安全、公共安全、经济安全和社

会稳定的信息。

四、对政府信息的保密审查应当依照以下程序进行：

L由信息发布单位负责保密审查工作人员提出是否公开的

初步意见；

2.信息发布单位主管领导提出审查意见；

3.政府网站主管领导审查批准后方可公开。

五、与其他单位共同形成的政府信息拟公开时，本单位要进

行保密审查，并以文字形式征得其他单位同意后方可予以公开。

六、政府网站信息审核人员对政府信息是否属于国家秘密和

属于何种密级不明确的，属于主管业务方面的，逐级报至有权确

定该事项密级的上级机关或保密工作部门确定。

七、已确定为国家秘密但已超过保密期限并拟公开的政府信

息，政府网站应在保密审查确认能够公开后，按保密规定办理解

密手续，再予以公开。

八、负责保密审查工作的人员接到信息审查申请后，应在3

个工作日内提出审查确认的意见。

九、拟公开的政府信息中含有部分涉密内容的，应当按照有

关规定进行非密处理，采取属于国家秘密的部分不予公开、其余

部分公开的方法处理。

十、负责保密信息安全的股室应当依法对本单位政府信息公

开工作中的保密审查进行监督检查，发现违反国家保密规定的应

当予以纠正。

常态化检查制度

为保证我县政府门户网