为贯彻《中华人民共和国网络安全法》,落实网络安全工作责任制,进一步完善延长县气象局网络安全管理体系,提高网络安全保护能力,保障全县气象部门网络安全,特修订本制度。
一、本办法适用于延长县气象部门非涉密系统的网络安全管理。
二、网络安全遵循国家网络安全法律法规和技术标准,坚持依法管理,按照“明确责任、提高能力、加强监控、主动防御、确保安全”方针,构建延长县气象部门网络安全防线。
三、按照“谁主管谁负责,谁建设谁负责,谁运行谁负责,谁使用谁负责”的原则,延长县气象局局长是本单位网络安全第一责任人,分管网络安全的领导班子成员是直接责任人,业务人员是网络安全责任人。
四、延长县气象局网络建设应当符合《中华人民共和国网络安全法》规定,遵循“同步规划、同步建设、同步运行”原则。属于等级保护对象的应当遵照国家等级保护标准进行设计、定级、建设、备案、测评和运维管理。
五、加强机房场地网络安全管理,明确管理部门和责任人,包括但不限于:
1.机房场地应达到所承载等级保护最高级别等级保护对象的网络安全要求,其不间断电源、发电机等系统在需要时应能够正常工作。
2.控制外部人员进入机房,记录其行为。
3.机房管理人员应全面掌握并严格遵守机房消防安全管理制度,切实保证机房防火安全、消防设施完好、事件处置及时。
4.机房防雷设施应当符合信息系统防雷安全规范。
5.机房应当保持整洁,做好防潮、防鼠、防盗工作。
六、建立健全网络管控制度。对气象网络系统实行分区分域管理,严格控制跨区跨域通信,加强应用内容控制,包括但不限于:
1.加强局域网络与气象广域网、行业专线、电子政务外网和互联网的网络边界安全管控。严格禁止非气象部门的单位、组织或个人连接到局域网络中访问气象应用及数据资源。
2.各网络边界应当物理隔离,边界出口应配置防火墙、隔离网闸等网络安全控制设备,并做好安全策略配置。
3.严格禁止在局域网络内设立访问局域网络或互联网的无线网络访问设备。
4.做好网络运行值班工作,定期查看网络设备运行日志,及时处理告警信息。
七、加强用户终端管理,保障用户终端安全,包括但不限于:
1.关闭终端上不必要的端口、共享访问及远程桌面连接。
2.统一部署计算机防病毒系统,实现所有用户计算机、服务器全覆盖。
3.严格执行内网、专网系统的补丁升级和漏洞修复措施。定期对重要数据进行备份。
4.积极使用自主可控的国产正版操作系统、办公软件和防病毒软件。
5.及时更新或升级用户终端的操作系统等系统软件,确保得到安全补丁支持。
6.不得私自使用外来的各种形式光盘、U盘或其他载体连接计算机。经过允许的计算机可以使用经过杀毒的存储设备,仅限设备管理者使用。
7.计算机应设置符合强度要求的开机密码,并确保密码不向外人泄露。重要软件应设置密码与权限。
八、采取有效措施加强气象数据和公民个人信息安全管理,依法收集公民个人信息,不得收集与气象业务、服务无关的公民个人信息。采取技术手段和其他必要措施,保障收集的公民个人信息安全。
九、工作人员不得利用网络从事危害国家安全、泄露国家、单位秘密等活动和制作、查阅、复制、传播有碍社会治安的信息,以及任何干扰其它网络用户、破坏网络服务和网络设备的活动。不浏览、复制和传播危害国家安全、妨碍社会治安及淫秽黄色信息。
十、加强电子邮箱管理。设置符合规定强度的密码并定期更换,严禁将邮箱密码、电子证书、加密硬件设备等密码信息透露给其他无关人员。
十一、计算机病毒的防治工作实行“预防为主,清查为辅”的方针,所有接入我局网络的计算机都必须安装指定的防护病毒软件,并且定期升级和查杀病毒,定期修复系统漏洞,不能清除或清除不完全的应立即断网处理,直到病毒完全清除方可再次接入网络,防止计算机病毒通过网络进行蔓延扩散。
十二、重要业务数据每个月至少进行一次备份操作,以防止由于系统故障造成重要业务信息丢失。业务用的计算机等设备应每个月进行一次全面检查。
十三、加强网络安全宣传与人才培养。积极参与国家网络安全宣传周活动,并在其它时间每年至少组织1-2次网络安全宣传活动。采取多种方式加强网络安全培训,实现网络安全培训全员化、常态化。
十四、对违反或未能正确履行本制度规定的,视情节和产生的后果,依据有关规定追究当事人、网络安全负责人直至主要负责人责任。