机关事业单位网络安全管理制度

机关事业单位网络安全管理制度为全面加强机关事业单位网络安全管理，防范网络安全风险，保障信息系统稳定运行和数据安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规，结合本单位实际，制定本制度。一、组织架构与职责分工本单位网络安全管理实行“统一领导、分级负责、协同联动”的工作机制，明确各层级、各部门的职责边界，确保责任落实到人。1.1网络安全领导小组成立由主要负责人任组长，分管信息化工作的领导任副组长，办公室、信息技术部门、保密部门及各业务部门负责人为成员的网络安全领导小组（以下简称“领导小组”）。主要职责包括：（1）统筹规划本单位网络安全工作，审议网络安全重大政策、制度、预案及年度工作计划；（2）研究决定网络安全重大投入、重大项目建设及重大事件处置方案；（3）定期听取网络安全工作汇报，协调解决跨部门网络安全问题；（4）监督指导网络安全责任落实，对重大网络安全事件进行责任认定。1.2网络安全主管部门指定信息技术部门作为网络安全主管部门（以下简称“主管部门”），具体负责网络安全日常管理工作。主要职责包括：（1）制定网络安全管理制度、技术规范及操作流程，报领导小组审批后组织实施；（2）统筹网络安全基础设施建设，包括边界防护、入侵检测、漏洞管理、日志审计等系统的部署与维护；（3）组织开展网络安全监测、预警、评估及应急处置，定期形成安全态势分析报告；（4）指导各使用部门落实网络安全措施，对违规行为提出整改意见并跟踪闭环；（5）组织网络安全培训、演练及考核，提升全员安全意识和防护能力。1.3各使用部门各业务部门、内设机构为网络安全使用责任主体（以下简称“使用部门”），主要职责包括：（1）落实本部门终端设备、业务系统及数据的安全管理要求，指定1名网络安全联络员，负责对接主管部门；（2）规范使用信息系统，严格执行访问权限、数据操作等审批流程，杜绝越权访问、违规导出数据等行为；（3）及时报告本部门网络安全异常情况（如设备故障、账号被盗、数据泄露等），配合主管部门开展调查处置；（4）组织本部门人员参与网络安全培训，督促落实个人信息保护、密码管理等日常安全要求。1.4技术支撑单位根据工作需要，可委托具备相应资质的第三方技术服务机构作为技术支撑单位（以下简称“支撑单位”），提供网络安全检测、评估、运维等专业服务。支撑单位需签订保密协议，明确安全责任，其服务范围、操作权限及数据访问需经主管部门审批，并接受全程监管。二、网络资产全生命周期管理网络资产包括网络设备（交换机、路由器等）、计算设备（服务器、终端电脑等）、安全设备（防火墙、入侵检测系统等）、软件系统（业务系统、办公软件等）及数据资源。对网络资产实施“采购-登记-运维-报废”全生命周期管理，确保资产状态可查、风险可控。2.1资产采购与准入（1）采购网络设备、安全设备及重要软件时，需优先选择通过国家网络安全认证（如中国网络安全审查技术与认证中心认证）的产品，禁止采购未通过安全检测或存在已知重大漏洞的设备、软件；（2）新购资产需经主管部门进行安全检测，重点核查是否存在后门程序、默认弱口令、未授权服务等安全隐患，检测合格后方可接入内部网络；（3）定制开发或外购业务系统时，需在需求分析阶段明确网络安全要求（如数据加密、访问控制、日志审计等），在开发、测试、上线各环节同步开展安全评估，未通过安全验收的系统不得投入使用。2.2资产登记与台账管理（1）所有网络资产需在投入使用后5个工作日内完成登记，建立电子台账，内容包括资产名称、型号、IP地址、所属部门、责任人、上线时间、安全等级等信息；（2）台账实行动态管理，资产发生变更（如IP地址调整、责任人更换、设备迁移等）时，使用部门需在3个工作日内更新信息，主管部门每月核对台账与实际资产状态，确保账实一致；（3）对涉及核心业务、存储敏感数据的高安全等级资产（如财务系统服务器、人事信息数据库），需单独标注并采取额外防护措施（如物理隔离、双因素认证等）。2.3资产运维与日常管理（1）网络设备、服务器等关键资产由主管部门统一运维，实行“双人操作”制度，重要操作（如系统升级、配置修改）需填写《运维操作审批单》，经部门负责人签字确认后方可执行，并留存操作日志备查；（2）终端设备（电脑、打印机、移动存储设备等）由使用部门管理，需安装统一的终端安全管理软件（具备补丁升级、病毒查杀、外设管控等功能），禁止私接无线上网设备、安装非授权软件；（3）定期开展资产巡检，主管部门每季度对关键资产进行全面检查，使用部门每月对本部门终端设备进行自查，检查内容包括设备运行状态、安全软件有效性、账号密码强度等，发现问题立即整改并记录。2.4资产报废与退出（1）资产达到使用年限或因故障无法修复需报废时，使用部门需填写《资产报废申请单》，经主管部门确认资产内数据已安全清除（删除后通过数据擦除工具覆盖3次以上）、设备无残留敏感信息后，方可进入报废流程；（2）涉及存储敏感数据的硬盘、U盘等存储介质，报废前需进行物理销毁（如切割、粉碎），禁止直接丢弃或转作他用；（3）停用的业务系统需关闭互联网访问权限，数据备份后离线存储，确需删除的需经数据所属部门负责人审批，并在主管部门监督下完成清除。三、访问控制与权限管理严格落实“最小权限”原则，对物理环境、信息系统及数据的访问实施分级、分域控制，防止未授权访问和越权操作。3.1物理访问控制（1）核心机房、网络设备间等重要区域实行门禁管理，仅允许授权人员进入，进入时需登记姓名、时间、事由，禁止无关人员尾随进入；（2）重要区域安装视频监控系统，监控录像保存时间不少于90天，调阅监控需经主管部门负责人审批；（3）外部人员（如设备厂商、支撑单位人员）因维护需要进入重要区域时，需提前提交申请，由使用部门负责人和主管部门负责人双审批，全程由本单位人员陪同，并限制其访问范围。3.2逻辑访问控制（1）信息系统用户账号实行“一人一账号”，禁止共享账号或使用默认账号（如admin）；（2）账号权限根据岗位职责设定，仅授予完成工作所需的最小权限，业务系统管理员、数据库管理员等关键角色需实行权限分离（如管理权限与操作权限分离）；（3）登录重要系统（如财务系统、公文系统）需采用双因素认证（如账号密码+短信验证码、动态令牌），禁止使用弱口令（长度小于8位、包含简单组合如“123456”“password”等），密码每90天需更换一次；（4）临时账号（如外单位协作人员使用的账号）需设定有效期（最长不超过30天），到期后自动禁用，特殊情况需延长的需重新审批。3.3权限审批与审计（1）账号创建、权限变更需填写《权限审批表》，经使用部门负责人审核、主管部门负责人批准后生效；（2）主管部门每季度对账号权限进行一次审计，重点检查权限合理性、账号活跃度（超过6个月未使用的账号需停用）及异常权限变更记录，发现问题立即调整；（3）业务系统需开启操作日志功能，记录用户登录、数据查询、修改、删除等关键操作，日志保存时间不少于6个月，禁止删除或篡改日志。四、数据安全管理加强数据分类分级保护，规范数据全流程操作，防止数据泄露、篡改或丢失，确保数据安全与业务需求相平衡。4.1数据分类分级（1）根据数据敏感性和影响程度，将数据分为三级：一级数据（核心数据）：涉及国家秘密、工作秘密、个人隐私（如身份证号、联系方式）、财务数据、人事档案等，泄露或篡改可能对国家安全、单位利益或个人权益造成重大损害；二级数据（重要数据）：涉及内部工作流程、统计报表、一般业务信息等，泄露或篡改可能对工作正常开展造成较大影响；三级数据（普通数据）：公开信息或无敏感内容的数据，泄露或篡改无显著影响。（2）数据分类分级由数据产生部门提出初步意见，经保密部门、主管部门审核后确定，并在数据存储介质、系统界面等位置标注安全等级。4.2数据存储安全（1）一级数据需加密存储（采用AES-256等高强度加密算法），密钥由主管部门专人管理，禁止明文存储或与数据同介质存放；（2）二级数据存储需采取访问控制措施（如设置读写权限、限制访问IP），三级数据可按常规方式存储，但需防止误删；（3）数据备份实行“两地三备份”原则（本地实时备份、异地异机备份、离线介质备份），备份介质需存放在安全场所，定期（每季度）检测备份有效性。4.3数据传输安全（1）内部网络传输一级数据时，需通过加密通道（如SSLVPN、IPSecVPN），禁止使用未加密的HTTP、FTP等协议；（2）通过互联网传输一级数据时，需经主管部门审批，采用安全传输方式（如加密邮件、安全文件传输系统），并记录传输时间、接收方、数据内容等信息；（3）移动存储设备（U盘、移动硬盘）仅允许用于传输三级数据，传输一级、二级数据需通过单位内部文件交换系统，禁止使用私人移动存储设备拷贝数据。4.4数据使用安全（1）查询、导出一级数据需填写《数据使用审批单》，注明使用原因、范围、期限，经数据产生部门负责人、保密部门负责人、主管部门负责人三级审批后，由系统管理员授权操作；（2）外部单位申请获取本单位数据时，需提供书面公函，明确数据用途及安全保护措施，经领导小组审批同意后，签订数据安全协议，限制数据使用范围和期限；（3）数据使用过程中禁止截屏、拍照或通过即时通讯工具（如微信、QQ）传输，确需展示的需隐去敏感信息（如打码处理）。4.5数据销毁安全（1）数据销毁需由数据产生部门提出申请，经主管部门确认数据已无保存价值后，采用安全方法（如逻辑删除+物理擦除、存储介质物理销毁）进行销毁；（2）销毁一级数据时，需由主管部门、保密部门共同监督，留存销毁过程记录（如照片、视频），并形成《数据销毁报告》存档；（3）外包数据处理服务结束后，需要求服务方删除或返还所有数据，并提供数据已清除的书面证明。五、安全监测与预警管理建立“技防+人防”相结合的监测体系，实时感知网络安全风险，及时预警并处置，最大限度降低安全事件影响。5.1监测体系建设（1）部署网络安全监测平台，集成防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、日志审计系统等工具，对网络流量、系统日志、用户行为进行集中监控；（2）重点监测以下内容：异常网络流量（如大流量攻击、异常连接）；系统漏洞（如未修复的高危漏洞）；用户异常行为（如高频次登录失败、越权访问）；恶意代码（如病毒、木马、勒索软件）。（3）主管部门安排专人24小时值守监测平台，工作日期间每小时巡查一次，非工作日期间每2小时巡查一次，确保监测无盲区。5.2预警分级与响应（1）根据威胁程度，将网络安全预警分为四级（从高到低）：红色预警：可能导致核心系统瘫痪、大量敏感数据泄露的重大威胁（如勒索软件攻击、国家级APT攻击）；橙色预警：可能导致重要系统中断、部分敏感数据泄露的较大威胁（如大规模病毒感染、账号批量被盗）；黄色预警：可能影响业务正常开展的一般威胁（如单个系统漏洞、异常流量波动）；蓝色预警：需关注的潜在威胁（如低危漏洞、弱口令账号）。（2）预警响应要求：红色预警：立即启动应急预案，报告领导小组，30分钟内采取断网、隔离受影响设备等措施，1小时内形成初步处置方案；橙色预警：1小时内报告主管部门负责人，2小时内定位问题并限制影响范围，4小时内完成处置；黄色预警：2小时内报告网络安全联络员，4小时内完成整改；蓝色预警：当日内通知相关人员，24小时内完成修复。5.3日志管理与分析（1）所有信息系统、网络设备需开启日志记录功能，记录内容包括用户操作、系统事件、网络流量等，日志字段需完整（含时间戳、IP地址、用户账号、操作类型等）；（2）日志存储在独立服务器或专用存储设备中，禁止本地存储，一级、二级数据相关日志保存时间不少于1年，三级数据日志保存时间不少于6个月；（3）主管部门每月对日志进行一次分析，重点排查异常操作（如非工作时间登录、跨权限数据访问），形成《日志分析报告》，发现可疑行为立即调查。六、应急响应与处置管理建立健全网络安全应急机制，提升突发事件应对能力，确保在安全事件发生时快速响应、有效处置，最大程度减少损失。6.1应急预案制定（1）主管部门负责制定《网络安全应急预案》（以下简称《预案》），明确应急组织架构（应急指挥组、技术处置组、后勤保障组、信息发布组）、事件分级标准（特别重大、重大、较大、一般）、处置流程（监测预警、事件报告、现场处置、恢复重建、总结评估）及保障措施（物资储备、通信联络、技术支撑）；（2）《预案》需经领导小组审批后发布，并根据法律法规更新、技术发展及实际工作需要，每2年修订一次；（3）针对重点系统（如公文系统、财务系统）制定专项应急预案，明确具体处置步骤和责任人。6.2应急演练实施（1）每年至少开展1次综合应急演练（如模拟勒索软件攻击、数据泄露事件），每半年开展1次专项演练（如服务器宕机恢复、网络攻击处置）；（2）演练前制定详细方案，明确场景、角色、流程和评估标准；演练中全程记录，重点观察响应时间、协同配合、处置效果；演练后形成《演练总结报告》，针对薄弱环节修订预案、完善措施；（3）鼓励使用仿真环境开展实战演练，提升真实场景下的应急处置能力。6.3事件报告与处置（1）发现网络安全事件后，现场人员需立即报告本部门网络安全联络员，联络员在15分钟内报告主管部门；主管部门确认事件等级后，特别重大、重大事件需在1小时内报告领导小组及上级主管单位，较大、一般事件需在2小时内报告；（2）事件处置遵循“控制影响、消除威胁、恢复功能”原则：控制影响：隔离受感染设备、关闭受攻击服务、限制用户访问，防止事件扩散；消除威胁：清除恶意代码、修复系统漏洞、重置被盗账号密码；恢复功能：从备份中恢复数据，逐步重启服务，验证系统运行正常；（3）处置过程中需留存证据（如日志、截图、设备状态），配合公安机关、网信部门等开展调查。6.4事后复盘与改进（1）事件处置完成后，主管部门需在7个工作日内形成《事件处置报告》，内容包括事件经过、原因分析、处置措施、损失评估及改进建议；（2）领导小组召开复盘会议，对事件暴露的问题（如制度漏洞、技术缺陷、人员疏漏）进行责任认定，明确整改任务、责任人和完成时限；（3）整改完成后，主管部门对整改效果进行验证，形成《整改验证报告》，确保同类事件不再发生。七、安全教育培训管理将网络安全纳入全员教育培训体系，通过常态化、多样化的培训，提升干部职工的安全意识、责任意识和防护技能。7.1培训对象与内容（1）培训对象覆盖全体干部职工，包括新入职人员、借调人员、临聘人员及第三方服务人员；（2）培训内容分为基础培训和专题培训：基础培训：网络安全法律法规（如《网络安全法》《数据安全法》）、单位网络安全制度、日常安全操作规范（如密码管理、防范钓鱼邮件、正确使用移动存储设备）；专题培训：针对关键岗位（如系统管理员、数据管理员、网络安全联络员）的专业技能培训（如漏洞扫描、应急处置、数据加密），以及新型安全威胁（如勒索软件、AI诈骗）的防范知识。7.2培训形式与频率（1）新入职人员需在入职1个月内完成基础培训，考核合格后方可上岗；（2）全体人员每年至少参加1次集中培训（线下授课或线上学习），每季度至少接收1次安全提醒（如邮件、短信、公告）；（3）关键岗位人员每半年参加1次专题培训，培训时长不少于8学时；（4）鼓励通过知识竞赛、案例分享、情景模拟等方式增强培训趣味性和实效性。7.3培训效果评估（1）培训结束后通过在线测试、实操演练等方式评估效果，测试成绩低于80分的人员需重新参加培训；（2）主管部门每季度统计各部门培训参与率、测试通过率，作为部门网络安全考核的重要指标；（3）对培训中表现突出的部门和个人予以表彰，对未按要求参加培训的人员进行批评教育并督促整改。八、考核与责任追究建立网