公共信息网络安全管理

公共信息网络安全管理一、组织架构与职责分工（一）权责划定。各单位主要负责人是第一责任人，分管领导是直接责任人，信息网络安全管理部门具体负责日常管理工作。各部门应当明确信息网络安全责任人，并建立责任追究制度。（二）部门协同。信息网络安全管理部门负责制定政策、监督执行、应急处置；技术部门负责系统建设、维护升级；业务部门负责数据安全、用户管理；纪检监察部门负责监督问责。各部门应当建立信息网络安全工作联络机制，定期召开联席会议。（三）人员培训。各单位应当每年至少组织一次全员信息网络安全培训，重点岗位人员应当接受专项培训。培训内容应当包括法律法规、管理制度、操作规范、应急响应等。培训结束后应当进行考核，考核不合格人员不得上岗。二、风险评估与隐患排查（一）风险评估。每年应当对信息系统进行一次全面风险评估，重点评估数据安全、系统安全、应用安全等方面。评估结果应当形成报告，报主要负责人审批后实施。（二）隐患排查。每月应当对信息系统进行一次全面隐患排查，重点排查系统漏洞、设备故障、操作违规等隐患。排查结果应当及时整改，并形成台账。（三）整改落实。对排查出的隐患，应当制定整改方案，明确整改责任人、整改时限、整改措施。整改完成后应当进行验收，并报信息网络安全管理部门备案。三、安全防护措施（一）物理安全。信息系统机房应当符合国家标准，设置门禁系统、视频监控系统、温湿度监控系统等。服务器、存储设备等应当放置在专用机柜内，并上锁管理。（二）网络安全。应当建立防火墙、入侵检测系统、漏洞扫描系统等，对网络进行分段管理。禁止未经授权的设备接入网络，禁止使用无线网络传输敏感信息。（三）数据安全。对重要数据进行加密存储，禁止明文存储敏感信息。建立数据备份制度，重要数据应当每天备份，备份数据应当异地存储。四、应急响应机制（一）预案制定。应当制定信息网络安全应急预案，明确应急组织、响应流程、处置措施等。预案应当定期演练，每年至少演练一次。（二）事件报告。发生信息网络安全事件后，应当立即向信息网络安全管理部门报告，并采取应急措施控制事态发展。报告内容应当包括事件时间、事件类型、影响范围、处置措施等。（三）处置流程。发生信息网络安全事件后，应当立即启动应急预案，成立应急处置小组，按照预案流程处置事件。处置过程中应当及时向上级报告，并做好记录。五、安全审计与监督（一）审计内容。每年应当对信息系统进行一次全面安全审计，重点审计访问日志、操作记录、安全配置等。审计结果应当形成报告，报主要负责人审批后实施。（二）监督检查。信息网络安全管理部门应当定期对各部门进行监督检查，重点检查制度落实、操作规范、应急演练等。检查结果应当及时反馈，并督促整改。（三）责任追究。对违反信息网络安全管理制度的行为，应当根据情节轻重给予相应处理。对造成严重后果的，应当追究相关责任人的责任。六、技术保障措施（一）系统升级。应当定期对信息系统进行升级，及时修复系统漏洞。升级前应当进行测试，确保升级后系统正常运行。（二）设备维护。应当定期对信息系统设备进行维护，确保设备正常运行。维护过程中应当做好记录，并形成台账。（三）安全检测。应当定期对信息系统进行安全检测，及时发现并修复安全隐患。检测内容包括系统漏洞、设备故障、操作违规等。七、附则说明（一）本制度适用于本单位所有信息系统和信息网络安全管理工作。（二）本制度由信息网络安全管理部门负责解释。（三）本制度自发布之日起施行。原有制度与本制度不一致的，以本制度为准。