发改部门网络安全工作责任制实施办法或细则

发改部门网络安全工作责任制实施办法或细则一、总则1.为深入落实《党委（党组）网络安全工作责任制实施办法》，筑牢发展改革部门网络安全防线，保障政务网络、核心业务系统、敏感经济数据安全，结合发改工作实际，制定本细则。2.本细则适用于本级发展改革部门机关各科室、所属企事业单位、主管的行业社会组织，以及为发改部门提供信息化、网络运维服务的第三方机构。3.网络安全工作坚持“党管网络、谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，实行分级负责、属地管理，将网络安全要求融入发改业务全流程，统筹发展和安全，构建权责清晰、保障有力、监督到位的责任体系。二、责任体系划分（一）党组（党委）主体责任党组（党委）对本单位网络安全工作负全面主体责任，具体责任如下：（1）坚决贯彻落实党中央、国务院关于网络安全工作的决策部署，以及上级网信部门、发改系统的工作要求，将网络安全纳入发改工作全局统筹谋划，纳入党组（党委）重要议事日程，每年至少2次专题研究网络安全工作，听取专项工作汇报，研究解决重大网络安全问题，重大事件第一时间专题研究部署。（2）成立由主要负责人任组长的网络安全和信息化工作领导小组，明确专门网络安全管理职能部门（信息中心/办公室），配齐配强专兼职网络安全管理人员，落实经费保障，要求网络安全专项经费投入不低于本单位年度信息化项目投入总额的10%，专项经费用于安全设备升级、漏洞修复、等级保护测评、安全服务购买、应急处置等，保障网络安全工作常态化开展。（3）统筹推进本单位网络安全保障体系和能力建设，建立完善网络安全监测预警、信息报送、应急处置、信息审核、数据保护等工作制度，对本单位涉密网络、门户网站、政务服务平台、核心业务系统、办公终端等重点领域网络安全负总责。（4）统筹推进网络安全宣传教育培训，将网络安全知识纳入党员干部教育培训体系，落实网络意识形态工作责任制，加强本单位网络内容管理，坚决防范不良信息传播，维护网络意识形态安全。（5）督促指导机关各科室、所属单位落实网络安全工作责任，每年组织开展全系统网络安全工作监督检查，推动问题整改到位。（二）主要负责人第一责任人责任党组（党委）主要负责人是本单位网络安全第一责任人，具体责任如下：（1）牵头落实党组（党委）网络安全主体责任，组织研究制定网络安全重大政策，协调解决网络安全重大问题，对网络安全重点工作亲自部署、重大问题亲自过问、重要环节亲自协调、重要事件亲自督办。（2）督促领导班子成员履行“一岗双责”，每年至少开展1次网络安全工作专题调研，检查责任落实情况，督促整改突出问题。（3）带头执行网络安全各项管理制度，自觉接受监督。（三）分管网络安全工作领导直接责任人责任分管网络安全工作的领导班子成员承担网络安全直接领导责任，具体责任如下：（1）协助主要负责人统筹推进本单位日常网络安全工作，组织制定落实网络安全管理制度和年度工作任务，组织开展网络安全监督检查、风险排查和问题整改。（2）定期向党组（党委）和主要负责人汇报网络安全工作情况，及时报送重大网络安全风险、重大网络安全事件。（3）协调解决网络安全建设、人员配置、经费保障等具体问题，推动网络安全保障能力提升。（四）其他领导班子成员“一岗双责”责任其他领导班子成员对分管领域、分管业务范围内的网络安全工作负领导责任，具体责任如下：（1）将网络安全要求融入分管业务工作，做到同部署、同推进、同检查、同考核，重点做好分管领域经济运行监测系统、项目在线审批监管平台、公共信用信息共享平台、地方政府专项债券管理系统、政务服务一体化平台发改板块、价格监测系统等核心业务系统的网络安全管理。（2）定期检查分管领域、联系单位网络安全工作，督促整改发现的风险隐患，及时上报分管领域发生的网络安全事件。（五）网络安全管理职能部门具体责任本单位网络安全管理职能部门（信息中心/办公室）承担网络安全日常管理责任，具体责任如下：（1）牵头落实各项网络安全管理制度，制定年度网络安全工作计划，分解任务到责任主体，组织开展日常网络安全监测、检查、考核工作。（2）严格落实信息化项目“三同步”要求，所有新建信息化项目必须同步规划、同步建设、同步运行网络安全设施，项目立项阶段开展网络安全风险预判，竣工验收阶段必须包含网络安全验收内容，未通过网络安全验收的项目不得上线运行；按要求组织开展网络安全等级保护、密码应用安全性评估、风险评估工作，对完成定级备案的信息系统，二级系统每2年至少开展1次等级保护测评，三级及以上系统每年至少开展1次等级保护测评；三级及以上系统每半年至少开展1次安全风险评估和漏洞扫描；三级及以上系统必须按要求开展密码应用安全性评估，每3年开展1次复评。（3）落实724小时网络安全值班值守制度，对接上级网信部门、上级发改部门网络安全预警平台，及时处置预警信息，牵头开展网络安全事件应急处置和事件调查，按规定上报事件信息。（4）组织开展网络安全宣传教育培训和实战化应急演练，做好网络安全工作档案台账管理。（5）监督管理第三方运维服务机构、云服务提供商的网络安全工作，在服务合同中明确网络安全责任和保密义务，签订安全保密协议，定期开展第三方服务安全审计。（六）机关各科室业务安全责任机关各科室对本科室业务范围内网络安全负直接使用管理责任，具体责任如下：（1）落实“谁使用谁负责”要求，对本科室使用的业务系统、办公终端、存储的工作数据负安全责任，明确科室网络安全联络员。（2）严格执行网络安全管理制度，不违规使用移动存储介质，不违规将涉密终端连接互联网，不越权访问业务系统，不随意泄露工作敏感信息；涉及GDP、固定资产投资、物价等核心经济数据的发布，必须严格按照信息发布审批流程报批，严禁擅自提前发布或泄露未公开数据。（3）做好本科室职责范围内发布信息的内容审核、保密审查，未经审核的信息不得在本单位门户网站、新媒体平台发布。（4）配合开展网络安全检查、应急处置，及时上报本科室发现的网络安全风险隐患。（七）所属单位主体责任各所属企事业单位、主管社会组织对本单位网络安全负主体责任，具体责任如下：（1）明确本单位主要负责人为第一责任人，配备专兼职网络安全管理人员，落实各项网络安全管理制度。（2）按要求开展等级保护、风险排查、应急演练等工作，定期整改安全隐患，及时上报网络安全事件。（3）加强本单位自有网站、新媒体平台的内容审核和安全防护，落实网络安全工作各项要求。（八）关键岗位人员岗位责任网络安全管理岗、系统运维岗、涉密信息岗、核心数据管理岗等关键岗位人员，具体责任如下：（1）签订网络安全保密承诺书，严格落实岗位安全操作规范，不得擅自离岗，离岗按规定办理工作交接和脱密手续。（2）每年至少参加1次专业网络安全技能培训，考核合格方可上岗，熟练掌握风险识别、应急处置技能。三、重点领域网络安全责任1.涉密网络与涉密信息安全严格执行保密法律法规，涉密信息系统按要求完成分级保护测评，落实“上网不涉密、涉密不上网”要求，严禁涉密信息在非涉密系统、互联网存储传输，严禁涉密计算机私接无线设备，每季度开展1次涉密终端、涉密信息安全专项排查，及时整改违规问题。2.核心业务系统安全对投资项目在线审批监管平台、公共信用信息共享平台、经济运行监测预警系统、地方政府专项债券项目管理系统、政务服务一体化平台发改业务板块、价格监测系统、粮食安全监测系统等核心业务系统，业务主管科室负主体安全责任，运维单位负直接安全责任；落实身份鉴别、权限管理、访问控制、数据加密等安全措施，三级及以上核心系统必须部署防火墙、入侵检测、病毒防护、入侵防御等安全设施；核心业务数据每日增量备份、每周全量备份，每月开展1次备份数据恢复验证，确保数据可追溯、可恢复。3.门户网站与新媒体平台安全本单位门户网站、官方微信、微博、抖音等新媒体平台，落实“三审三校”信息发布制度，明确专人管理账号密码，密码每季度更换1次，严禁账号转借他人使用；定期开展网站漏洞扫描和安全加固，落实网站防篡改、防挂马措施，门户网站部署Web应用防火墙，每月至少开展1次安全排查。4.数据安全与个人信息保护落实《数据安全法》《个人信息保护法》要求，建立本单位政务数据资产台账，对掌握的核心经济数据、市场主体信用信息、公民个人信息、项目敏感信息进行分类分级保护，建立数据全生命周期安全管理制度，数据采集、存储、传输、使用、销毁全流程落实安全管控措施；每年开展1次数据安全风险评估，数据出境按规定报批，严禁违规向第三方提供信用信息、个人信息，销毁存储敏感数据的硬件介质必须进行专业消磁处理，严禁随意丢弃。5.办公网络与终端安全所有办公终端必须安装正规杀毒软件，开启系统自动更新，严禁私自接入非单位授权网络，严禁私接无线路由器，严禁访问不良网站、下载非正规软件；移动存储介质交叉使用必须先进行病毒查杀，远程办公必须使用单位统一授权的VPN，严格身份认证，严禁使用公共网络传输敏感工作信息；每半年开展1次全单位办公终端安全排查，清理违规软件和违规接入设备。6.网络供应链安全采购信息化产品和服务严格落实网络安全审查要求，严禁采购使用未经安全审查的境外产品和服务；对第三方运维人员定期开展安全背景审查，严禁第三方人员未经授权访问敏感数据和核心系统，定期对第三方服务开展安全审计，落实供应链安全管控责任。四、工作落实机制1.专题研究机制每年年初制定年度网络安全工作要点，明确任务分工和责任清单，党组（党委）每半年至少召开1次专题会议研究网络安全工作，重大网络安全事件随时召开会议研究处置。2.监测预警与信息报送机制建立覆盖本单位所有网络、系统的监测预警体系，接到上级网络安全预警信息，必须在1小时内完成处置并反馈结果；发生网络安全事件，必须在2小时内向属地网信部门和上级发改部门报告，不得迟报、瞒报、漏报。3.风险排查与隐患整改机制每季度组织开展1次日常网络安全风险排查，国家重大活动、重要节假日之前组织开展1次专项排查；对排查发现的隐患建立整改台账，明确责任人和整改时限，实行销号管理，一般隐患7个工作日内整改完成，重大隐患15个工作日内整改完成，无法按时整改的必须落实临时管控措施并向上级部门报备。4.应急处置机制制定完善网络安全事件总体应急预案，针对系统篡改、数据泄露、勒索病毒攻击、系统宕机等常见事件制定专项处置方案，每年至少组织1次实战化应急演练；发生网络安全事件遵循“先处置、后溯源，先恢复、再调查”的原则开展处置，最大限度降低危害。5.宣传教育培训机制把网络安全纳入党组理论学习中心组年度学习计划，每年至少安排1次专题学习；每年组织1次全员网络安全培训，新入职工作人员上岗前必须完成网络安全岗前培训，关键岗位人员年度专业技能培训不少于8学时。五、监督与考核1.监督检查机制网络安全管理职能部门每半年对各科室、所属单位网络安全责任制落实情况开展1次专项检查，检查内容包括责任落实、制度建设、隐患整改、经费保障、应急准备等，主动接受上级网信部门、纪检监察机关的监督检查，对上级检查发现的问题按时完成整改。2.考核评估机制把网络安全工作责任制落实情况作为领导班子和领导干部年度考核、评先评优的重要内容，网络安全工作占年度绩效考核权重不低于5%；对发生重大网络安全事件的科室、所属单位，取消年度评先评优资格。3.社会监督机制公布本单位网络安全举报电话和电子邮箱，接受干部职工和社会公众监督，及时处置网络安全问题举报。六、责任追究1.有下列情形之一的，对相关责任单位和责任人进行约谈，责令限期整改：（1）未按要求开展网络安全培训、应急演练的；（2）未按要求开展风险排查，对排查发现的隐患拒不整改的；（3）迟报、漏报网络安全事件的；（4）日常管理不规范，多次被通报存在安全隐患的。2.有下列情形之一的，依纪依法追究相关人员责任，给予党纪政务处分，构成犯罪的移送司法机关依法处理：（1）发生重大网络安全事件，造成核心经济数据泄露、核心业务系统大面积瘫痪、影响政务服务正常开展，造成重大不良影响的；（2）