测绘信息安全保护制度

测绘信息安全保护制度一、测绘信息安全保护制度

本制度旨在规范测绘信息的安全保护工作，明确相关责任，确保测绘信息安全存储、传输、使用和销毁的全过程符合国家法律法规及行业标准。制度涵盖测绘信息采集、处理、存储、传输、使用、销毁等各个环节，以实现测绘信息的安全性和保密性。

1.总则

测绘信息安全保护是测绘工作的基础保障，关系到国家安全、社会公共利益和个人隐私。本制度适用于所有涉及测绘信息采集、处理、存储、传输、使用和销毁的单位和个人。制度遵循“谁主管、谁负责，谁使用、谁负责”的原则，确保测绘信息安全保护责任落实到位。

2.测绘信息分类分级

测绘信息按照敏感程度分为以下类别：

（1）核心测绘信息：涉及国家主权、安全、军事等核心利益的测绘信息，如国家大地坐标系、国家基本比例尺地形图等。

（2）重要测绘信息：涉及经济社会发展和公共利益的测绘信息，如城市基础地理信息、自然资源调查数据等。

（3）一般测绘信息：涉及个人或单位内部使用的测绘信息，如项目设计图、内部管理数据等。

不同类别的测绘信息对应不同的保护措施，核心测绘信息需采取最高级别的安全保护措施，重要测绘信息需采取较强的安全保护措施，一般测绘信息需采取基础的安全保护措施。

3.测绘信息采集安全保护

（1）测绘信息采集应严格遵守国家法律法规和行业规范，采集过程中需采取技术手段防止信息泄露。

（2）采集设备需进行安全检查，确保设备无病毒、无木马，采集数据前需进行加密处理。

（3）采集人员需经过专业培训，具备信息安全意识和操作技能，采集过程中需记录操作日志，确保可追溯。

4.测绘信息处理安全保护

（1）测绘信息处理应在安全可控的环境下进行，处理设备需具备防火墙、入侵检测等安全防护措施。

（2）处理过程中需对数据进行加密存储，处理完成后需及时清除临时文件，防止信息泄露。

（3）处理人员需遵守保密协议，不得擅自复制、传播测绘信息，处理过程中需进行双人复核，确保数据准确性。

5.测绘信息存储安全保护

（1）测绘信息存储应采用专用存储设备，存储设备需进行物理隔离和逻辑隔离，防止未授权访问。

（2）存储设备需定期进行安全检查，包括硬件故障检测、病毒扫描、数据完整性校验等。

（3）核心测绘信息需采用离线存储方式，并设置多重密码保护和访问权限，确保信息安全。

6.测绘信息传输安全保护

（1）测绘信息传输应采用加密传输方式，传输前需对数据进行加密处理，传输过程中需采用安全的传输协议。

（2）传输过程中需进行传输日志记录，包括传输时间、传输路径、传输内容等，确保传输可追溯。

（3）传输人员需经过专业培训，具备信息安全意识和操作技能，传输前需进行安全检查，确保传输设备无病毒、无木马。

7.测绘信息使用安全保护

（1）测绘信息使用应严格遵守国家法律法规和行业规范，使用人员需经过授权后方可使用测绘信息。

（2）使用过程中需进行权限管理，不同权限的人员只能访问其职责范围内的测绘信息。

（3）使用人员需签订保密协议，不得擅自复制、传播测绘信息，使用过程中需进行操作日志记录，确保可追溯。

8.测绘信息销毁安全保护

（1）测绘信息销毁应采用物理销毁或加密销毁方式，确保信息无法恢复。

（2）销毁过程需进行记录，包括销毁时间、销毁方式、销毁人员等，确保销毁可追溯。

（3）销毁后的存储设备需进行安全检查，确保信息无法恢复。

9.安全管理制度

（1）单位应设立信息安全管理部门，负责测绘信息的安全保护工作。

（2）信息安全管理部门需定期进行安全检查，发现安全隐患及时整改。

（3）单位应定期对人员进行信息安全培训，提高人员的安全意识。

10.责任追究

（1）违反本制度规定，造成测绘信息泄露的，需追究相关责任人的责任。

（2）责任追究包括行政处分、经济处罚等，情节严重的需移交司法机关处理。

（3）单位应建立健全责任追究制度，确保责任追究落实到位。

二、测绘信息安全保护制度实施细则

1.组织机构与职责

单位应设立测绘信息安全保护领导小组，由单位主要负责人担任组长，分管负责人担任副组长，相关部门负责人为成员。领导小组负责制定测绘信息安全保护政策，审定重大信息安全事项，协调解决信息安全重大问题。

信息安全保护领导小组下设办公室，办公室设在信息安全管理部门，负责日常信息安全管理工作，包括制定信息安全管理制度，组织实施信息安全培训，开展信息安全检查，监督信息安全措施落实情况等。

各部门应指定专人负责信息安全工作，负责本部门信息安全管理工作，包括组织本部门人员学习信息安全知识，监督本部门信息安全措施落实情况，报告信息安全事件等。

2.人员安全管理

2.1岗位职责

测绘信息采集、处理、存储、传输、使用和销毁等岗位人员应明确自身职责，严格遵守信息安全管理制度，确保测绘信息安全。

2.2培训与教育

单位应定期对人员进行信息安全培训，培训内容包括信息安全法律法规、信息安全管理制度、信息安全技术等。培训后应进行考核，考核不合格者不得上岗。

2.3保密协议

所有接触测绘信息的人员需签订保密协议，明确保密责任，不得擅自复制、传播测绘信息。保密协议应存档备查。

2.4背景调查

对接触核心测绘信息的人员应进行背景调查，确保其具备良好的政治素质和道德品质。

3.技术安全管理

3.1系统安全

测绘信息系统应采用防火墙、入侵检测、漏洞扫描等技术手段，防止未授权访问和网络攻击。系统应定期进行安全检查，发现安全隐患及时整改。

3.2数据安全

测绘数据应进行加密存储，存储设备应进行物理隔离和逻辑隔离，防止未授权访问。数据备份应定期进行，确保数据可恢复。

3.3设备安全

测绘信息采集、处理、存储、传输设备应进行安全检查，确保设备无病毒、无木马。设备使用后应进行清屏处理，防止信息泄露。

3.4安全审计

测绘信息系统应记录操作日志，包括登录时间、登录IP、操作内容等，便于安全审计。安全审计应定期进行，发现异常操作及时处理。

4.物理安全管理

4.1机房安全

测绘信息存储机房应设置门禁系统，只有授权人员方可进入。机房内应配备消防系统、温湿度控制设备等，确保机房安全运行。

4.2设备安全

测绘信息采集、处理、存储、传输设备应放置在安全的环境中，防止盗窃、损坏。设备使用后应进行清屏处理，防止信息泄露。

4.3线路安全

测绘信息传输线路应采用加密线路，防止信息泄露。线路敷设应符合安全规范，防止线路损坏。

5.应急管理

5.1应急预案

单位应制定测绘信息安全应急预案，明确应急响应流程、应急处理措施、应急物资储备等。应急预案应定期进行演练，确保应急响应能力。

5.2应急响应

发生信息安全事件后，应立即启动应急预案，采取措施防止事件扩大，并及时报告上级主管部门。

5.3应急恢复

信息安全事件处理完毕后，应进行恢复工作，包括系统恢复、数据恢复等，确保测绘信息系统正常运行。

6.监督检查

6.1内部检查

信息安全管理部门应定期进行内部检查，检查内容包括信息安全管理制度落实情况、信息安全技术措施落实情况、人员信息安全意识等。检查发现的问题应及时整改。

6.2外部检查

单位应定期邀请外部机构进行信息安全检查，检查内容包括信息安全管理制度、信息安全技术措施、信息安全应急能力等。检查结果应及时整改。

6.3持续改进

单位应根据内部检查、外部检查结果，持续改进信息安全管理工作，提高信息安全保护水平。

7.法律责任

7.1违规处理

违反本制度规定，造成测绘信息泄露的，应追究相关责任人的责任。违规处理包括行政处分、经济处罚等。

7.2法律责任

违反国家法律法规，造成测绘信息泄露的，应承担相应的法律责任。法律责任包括行政责任、民事责任、刑事责任等。

7.3责任追究

单位应建立健全责任追究制度，确保责任追究落实到位。责任追究包括对个人的追究、对部门的追究、对单位的追究。

8.附则

8.1制度解释

本制度由信息安全管理部门负责解释。

8.2制度修订

本制度应根据国家法律法规和行业规范进行修订。

8.3制度实施

本制度自发布之日起实施。

三、测绘信息安全保护制度操作规程

1.测绘信息采集操作规程

1.1采集准备

测绘信息采集前，采集人员需核对采集任务书，明确采集范围、采集内容、采集标准等。采集人员需检查采集设备，确保设备正常运行，并进行安全设置，包括设置密码、关闭不必要功能等。采集人员需携带必要的身份证明和采集证件，确保采集活动合法合规。

1.2采集实施

采集过程中，采集人员需遵守采集规范，确保采集数据准确性。采集人员需注意保护采集环境，避免对采集对象造成破坏。采集人员需及时记录采集数据，并做好数据备份工作。采集过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

1.3采集结束

采集结束后，采集人员需清理采集现场，确保采集环境恢复原状。采集人员需将采集数据上传至指定存储设备，并进行加密存储。采集人员需填写采集工作日志，包括采集时间、采集地点、采集内容、采集数据等，并提交上级主管部门审核。

2.测绘信息处理操作规程

2.1处理准备

测绘信息处理前，处理人员需核对处理任务书，明确处理内容、处理标准、处理要求等。处理人员需检查处理设备，确保设备正常运行，并进行安全设置，包括设置密码、关闭不必要功能等。处理人员需登录处理系统，并进行身份验证。

2.2处理实施

处理过程中，处理人员需遵守处理规范，确保处理数据准确性。处理人员需注意保护处理环境，避免对处理数据造成破坏。处理人员需及时记录处理过程，并做好数据备份工作。处理过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

2.3处理结束

处理结束后，处理人员需清理处理现场，确保处理环境恢复原状。处理人员需将处理数据上传至指定存储设备，并进行加密存储。处理人员需填写处理工作日志，包括处理时间、处理内容、处理数据等，并提交上级主管部门审核。

3.测绘信息存储操作规程

3.1存储准备

测绘信息存储前，存储人员需核对存储任务书，明确存储内容、存储方式、存储要求等。存储人员需检查存储设备，确保设备正常运行，并进行安全设置，包括设置密码、关闭不必要功能等。存储人员需携带必要的身份证明和存储证件，确保存储活动合法合规。

3.2存储实施

存储过程中，存储人员需遵守存储规范，确保存储数据安全性。存储人员需注意保护存储环境，避免对存储数据造成破坏。存储人员需及时记录存储过程，并做好数据备份工作。存储过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

3.3存储结束

存储结束后，存储人员需清理存储现场，确保存储环境恢复原状。存储人员需将存储数据上传至指定存储设备，并进行加密存储。存储人员需填写存储工作日志，包括存储时间、存储内容、存储数据等，并提交上级主管部门审核。

4.测绘信息传输操作规程

4.1传输准备

测绘信息传输前，传输人员需核对传输任务书，明确传输内容、传输方式、传输要求等。传输人员需检查传输设备，确保设备正常运行，并进行安全设置，包括设置密码、关闭不必要功能等。传输人员需携带必要的身份证明和传输证件，确保传输活动合法合规。

4.2传输实施

传输过程中，传输人员需遵守传输规范，确保传输数据安全性。传输人员需注意保护传输环境，避免对传输数据造成破坏。传输人员需及时记录传输过程，并做好数据备份工作。传输过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

4.3传输结束

传输结束后，传输人员需清理传输现场，确保传输环境恢复原状。传输人员需将传输数据上传至指定存储设备，并进行加密存储。传输人员需填写传输工作日志，包括传输时间、传输内容、传输数据等，并提交上级主管部门审核。

5.测绘信息使用操作规程

5.1使用申请

测绘信息使用前，使用人员需填写使用申请表，明确使用内容、使用方式、使用要求等。使用人员需提交申请表至上级主管部门，经审核批准后方可使用。

5.2使用实施

使用过程中，使用人员需遵守使用规范，确保使用数据安全性。使用人员需注意保护使用环境，避免对使用数据造成破坏。使用人员需及时记录使用过程，并做好数据备份工作。使用过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

5.3使用结束

使用结束后，使用人员需清理使用现场，确保使用环境恢复原状。使用人员需将使用数据上传至指定存储设备，并进行加密存储。使用人员需填写使用工作日志，包括使用时间、使用内容、使用数据等，并提交上级主管部门审核。

6.测绘信息销毁操作规程

6.1销毁申请

测绘信息销毁前，销毁人员需填写销毁申请表，明确销毁内容、销毁方式、销毁要求等。销毁人员需提交申请表至上级主管部门，经审核批准后方可销毁。

6.2销毁实施

销毁过程中，销毁人员需遵守销毁规范，确保销毁数据彻底销毁。销毁人员需注意保护销毁环境，避免对销毁数据造成破坏。销毁人员需及时记录销毁过程，并做好数据备份工作。销毁过程中如遇特殊情况，需及时报告上级主管部门，并根据指示进行处置。

6.3销毁结束

销毁结束后，销毁人员需清理销毁现场，确保销毁环境恢复原状。销毁人员需填写销毁工作日志，包括销毁时间、销毁内容、销毁数据等，并提交上级主管部门审核。

四、测绘信息安全保护制度监督与审计

1.监督管理机制

1.1监督组织

单位设立测绘信息安全保护监督小组，由单位分管负责人担任组长，信息安全管理部门负责人、技术管理部门负责人、纪检监察部门负责人担任成员。监督小组负责对测绘信息安全保护制度执行情况进行监督，对发现的问题进行督促整改。监督小组定期召开会议，分析信息安全形势，研究解决信息安全问题。

1.2监督内容

监督小组对测绘信息安全保护制度执行情况进行全面监督，包括人员安全管理、技术安全管理、物理安全管理、应急管理等方面。监督内容包括：

（1）人员是否按照制度要求进行信息安全培训；

（2）技术安全措施是否落实到位；

（3）物理安全环境是否符合要求；

（4）应急预案是否有效；

1.3监督方式

监督小组通过定期检查、不定期抽查、专项检查等方式进行监督。监督过程中，监督小组有权查阅相关记录、资料，询问相关人员，对发现的问题进行核实。

2.内部审计制度

2.1审计组织

单位设立内部审计部门，负责对测绘信息安全保护制度执行情况进行审计。内部审计部门独立于其他部门，确保审计工作的客观性。内部审计部门定期开展审计工作，对发现的问题进行报告，并提出整改建议。

2.2审计内容

内部审计部门对测绘信息安全保护制度执行情况进行全面审计，包括人员安全管理、技术安全管理、物理安全管理、应急管理等方面。审计内容包括：

（1）人员是否按照制度要求进行信息安全培训；

（2）技术安全措施是否落实到位；

（3）物理安全环境是否符合要求；

（4）应急预案是否有效；

2.3审计程序

内部审计部门按照以下程序进行审计：

（1）制定审计计划，明确审计目标、审计内容、审计方法等；

（2）组织实施审计，包括查阅资料、询问相关人员、进行现场检查等；

（3）分析审计结果，撰写审计报告；

（4）向单位领导报告审计结果，并提出整改建议；

（5）跟踪整改情况，确保问题得到有效解决。

3.外部审计与评估

3.1外部审计

单位定期邀请外部审计机构进行信息安全审计，外部审计机构独立于单位，对测绘信息安全保护制度执行情况进行全面评估。外部审计机构根据审计结果出具审计报告，单位根据审计报告进行整改。

3.2外部评估

单位定期邀请外部评估机构对测绘信息安全保护水平进行评估，评估机构根据评估结果出具评估报告，单位根据评估报告进行改进。

4.安全检查制度

4.1检查内容

单位定期进行安全检查，检查内容包括：

（1）信息系统安全检查，包括防火墙、入侵检测、漏洞扫描等；

（2）数据安全检查，包括数据加密、数据备份等；

（3）设备安全检查，包括设备运行状态、设备安全设置等；

（4）物理安全检查，包括机房安全、线路安全等；

4.2检查方式

单位通过定期检查、不定期抽查、专项检查等方式进行安全检查。安全检查由信息安全管理部门组织实施，其他部门配合。

4.3检查结果

安全检查发现的问题及时记录，并提交相关部门进行整改。整改完成后，信息安全管理部门进行复查，确保问题得到有效解决。

5.安全事件报告与处理

5.1事件报告

发生信息安全事件后，相关责任人应立即报告上级主管部门，并采取措施防止事件扩大。事件报告应包括事件时间、事件地点、事件内容、事件原因等。

5.2事件处理

上级主管部门接到事件报告后，应立即启动应急预案，采取措施处理事件。事件处理包括：

（1）采取措施防止事件扩大；

（2）进行事件调查，查明事件原因；

（3）采取措施恢复信息系统和数据；

（4）报告事件处理结果。

5.3事件总结

事件处理完毕后，应进行事件总结，分析事件原因，提出改进措施，防止类似事件再次发生。

6.持续改进机制

6.1制度修订

单位根据内外部审计结果、安全检查结果、安全事件处理结果等，持续改进测绘信息安全保护制度。制度修订包括：

（1）修订制度内容，确保制度符合实际情况；

（2）完善制度流程，确保制度可操作；

（3）加强制度培训，确保制度得到有效执行。

6.2技术更新

单位根据技术发展趋势，及时更新技术安全措施，提高信息安全保护水平。技术更新包括：

（1）更新信息系统，采用更先进的信息安全技术；

（2）更新设备，采用更安全的设备；

（3）更新安全策略，提高信息安全保护能力。

6.3人员培训

单位定期对人员进行信息安全培训，提高人员的安全意识和操作技能。人员培训包括：

（1）组织信息安全知识培训；

（2）组织信息安全技能培训；

（3）组织信息安全案例分析培训。

通过持续改进机制，单位不断提高测绘信息安全保护水平，确保测绘信息安全。

五、测绘信息安全保护制度责任追究

1.责任体系

1.1单位责任

单位对测绘信息安全保护工作负全面责任，主要负责人对测绘信息安全保护工作负总责。单位应建立健全测绘信息安全保护制度，提供必要的资源支持，确保制度有效执行。单位应定期组织开展测绘信息安全保护工作检查，对发现的问题及时整改。单位应建立测绘信息安全保护责任追究制度，对违反制度规定的行为进行追究。

1.2部门责任

各部门对本部门测绘信息安全保护工作负直接责任。各部门应按照单位测绘信息安全保护制度要求，落实本部门测绘信息安全保护措施。各部门应定期组织开展本部门测绘信息安全保护工作检查，对发现的问题及时整改。各部门应配合单位开展测绘信息安全保护工作检查，如实报告本部门测绘信息安全保护工作情况。

1.3人员责任

人员对本人职责范围内的测绘信息安全保护工作负直接责任。人员应严格遵守单位测绘信息安全保护制度，履行职责，确保测绘信息安全。人员发现测绘信息安全问题或隐患，应及时报告部门负责人和单位信息安全管理部门。人员对违反测绘信息安全保护制度的行为，有权制止并及时报告。

2.违规行为认定

2.1认定原则

对违规行为的认定，应遵循实事求是、依法依规、教育和惩戒相结合的原则。对违规行为的认定，应以事实为依据，以制度为准绳，确保认定结果的公正性和准确性。对违规行为的处理，应坚持教育和惩戒相结合，既要追究违规行为人的责任，又要帮助其认识错误，改正错误。

2.2违规行为种类

违规行为包括但不限于以下种类：

（1）违反测绘信息安全保护制度规定，未履行职责或未正确履行职责；

（2）擅自复制、传播、提供测绘信息；

（3）未经授权访问、使用、修改、删除测绘信息；

（4）测绘信息存储设备未设置密码或密码设置不当；

（5）测绘信息存储设备未进行加密存储；

（6）测绘信息传输设备未设置密码或密码设置不当；

（7）测绘信息传输设备未进行加密传输；

（8）测绘信息使用未按照规定进行申请和审批；

（9）测绘信息销毁未按照规定进行申请和审批；

（10）测绘信息安全事件报告不及时、不准确；

（11）测绘信息安全事件处理不力；

（12）其他违反测绘信息安全保护制度规定的行为。

3.追责程序

3.1追责启动

对违规行为的追责，由单位信息安全管理部门启动。信息安全管理部门接到举报或发现违规行为后，应进行调查核实，并根据调查结果决定是否启动追责程序。

3.2调查取证

启动追责程序后，信息安全管理部门应进行调查取证，包括：

（1）查阅相关记录、资料；

（2）询问相关人员；

（3）进行现场检查；

（4）其他必要的调查取证措施。

调查取证应形成书面记录，并由调查人员进行签字确认。

3.3初步核实

信息安全管理部门对调查取证的结果进行初步核实，确认是否存在违规行为，以及违规行为的性质和情节。初步核实结果应报单位分管负责人审阅。

3.4事实认定

单位分管负责人对初步核实结果进行审阅，并组织相关人员对违规行为的事实进行认定。事实认定应形成书面文件，并由相关人员签字确认。

3.5处理决定

单位分管负责人根据事实认定结果，结合违规行为的性质和情节，作出处理决定。处理决定应包括：

（1）处理方式；

（2）处理依据；

（3）处理结果。

处理决定应报单位主要负责人审批。

3.6处理执行

单位主要负责人审批处理决定后，由相关部门执行处理决定。处理执行应形成书面记录，并由执行人员进行签字确认。

4.追责方式

4.1行政处分

对违反测绘信息安全保护制度规定的人员，根据违规行为的性质和情节，给予行政处分。行政处分包括警告、记过、记大过、降级、撤职等。行政处分的具体适用，应参照国家有关规定执行。

4.2经济处罚

对违反测绘信息安全保护制度规定的人员，根据违规行为的性质和情节，给予经济处罚。经济处罚的具体适用，应根据违规行为造成的损失程度确定。经济处罚的金额，应参照国家有关规定执行。

4.3责任追究

对违反测绘信息安全保护制度规定，造成严重后果的，应追究相关责任人的责任。责任追究包括对部门负责人的追究、对人员个人的追究。责任追究的具体适用，应根据违规行为造成的后果程度确定。

4.4法律责任

对违反测绘信息安全保护制度规定，构成犯罪的，应移交司法机关处理。法律责任包括行政责任、民事责任、刑事责任等。法律责任的追究，应根据国家有关规定执行。

5.申诉与复核

5.1申诉程序

对处理决定不服的人员，有权向上级主管部门提出申诉。申诉应自收到处理决定之日起三十日内提出。申诉应书面上报，并说明申诉理由和依据。

5.2复核程序

上级主管部门接到申诉后，应进行复核。复核应包括：

（1）审查申诉理由和依据；

（2）重新调查取证；

（3）重新作出处理决定。

复核结果应书面通知申诉人。

6.附则

6.1追责时效

追责时效一般为自违规行为