资阳市统计局
资统计〔2023〕21号
资阳市统计局
关于印发《资阳统计网络安全管理办法(试行)》的通知
各县(区)统计局、高新区经科局、临空经济区科经局,市局各科室:
现将《资阳统计网络安全管理办法(试行)》印发你们,请认真贯彻执行。
资阳市统计局
2023年9月4日
资阳统计网络安全管理办法(试行)
第一章 总 则
第一条 为加强和规范统计网络安全管理,保障统计网络和信息安全,维护国家安全和社会公共利益,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》《党委(党组)网络安全责任制实施办法》等法律法规和相关标准制度,以及《四川统计局网络安全管理办法(试行)》和资阳市统计局网络安全有关规定,制定本办法。
第二条 本办法适用于全市统计系统(包括市统计局内设机构,县级统计局)网络安全工作保护对象(以下简称统计网络安保对象)的安全管理。
第三条 本办法所称统计网络安保对象,是指由计算机或者其他信息终端及相关设备组成的,并按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络系统,主要包括统计业务网络、政务应用系统等。
第四条 全市统计部门网络安全工作坚持总体国家安全观,按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”和属地管理的原则,坚持统一领导、分级负责、强化监管、确保安全。
第五条 全市各级统计部门主要负责人是本单位网络安全工作第一责任人;主管网络安全工作的领导班子成员是直接责任人;其他班子成员根据工作分工对职责范围内的网络安全工作负相应领导责任;内设机构负责人对职能职责范围内的网络安全工作负管理责任;所有工作人员对岗位职责范围内的网络安全工作负直接责任。
第二章 职责分工
第六条 市统计局设立网络安全和信息化领导小组(以下简称领导小组)。组长由局党组书记担任,副组长由局党组(领导班子)成员担任,成员由局各内设机构、直属事业单位主要负责人组成。
第七条 市统计局网络安全和信息化领导小组在局党组领导下,负责贯彻落实党中央、国务院以及市委、市政府和省统计局关于网络安全工作的战略部署,指导、监督全市统计部门网络安全管理工作。
第八条 市统计局网络安全和信息化领导小组办公室(以下简称市统计局网信办),负责领导小组日常事务性工作和网络安全监管工作,其主要职责是:
(一)建立完善统计网络安全技术规范,指导、督促、检查全市统计部门网络安全各项规章制度落实,保障统计业务网络运行安全。
(二)制定全市统计部门网络安全事件应急预案及有关制度,开展监测预警和应急处置,配合省统计局和同级网信、公安、密码等部门开展相关工作,并报告有关情况。
(三)定期分析研判网络安全形势,组织开展网络安全风险评估,研究解决网络安全重要问题,配合做好网络安全审查工作。
(四)组织开展全市统计部门网络安全教育和培训,加强网络安全防护建设。
(五)履行法律法规规定的其他网络安全责任和义务。
第九条 各县(区)统计局设立网络安全和信息化工作领导小组,负责指导、监督本地区统计网络安全工作。其主要职责是:
(一)贯彻落实网络安全工作方针政策和法律法规,执行国家、省、市统计局关于网络安全的工作部署。
(二)加强本地区统计网络安全工作组织领导,将网络安全与业务工作同谋划、同部署,指导、督促、检查本地区统计网络安全各项规章制度落实。
(三)制定本地区统计网络安全事件应急预案及有关制度,开展监测预警和应急处置,配合上级统计部门和同级网信、公安、密码等部门开展相关工作,并报告有关情况。
(四)定期分析研判本地区统计网络安全形势,组织开展网络安全风险评估,研究解决网络安全重要问题,配合做好网络安全审查工作。
(五)组织开展本地区统计网络安全教育和培训,加强网络安全防护能力建设。
(六)对本单位建设、运行维护的统计网络安保对象和所委托的外包服务等,实施网络安全管理,严格实施人员权限管理,及时收回和撤销离岗离职人员相关权限。
(七)履行法律法规规定的其他网络安全责任和义务。
第十条 网络使用人员的主要职责是:
(一)学习网络安全常识,增强网络安全意识,严格执行网络安全各项规章制度和保护要求,自觉维护统计网络安全。
(二)配合完成网络安全管理和检查工作,及时报告、协助处理网络安全隐患和事件。
(三)不得实施危害统计网络安全的行为,不得擅自改变或简化网络安全保护有关工作流程或操作步骤,不得擅自修改系统或终端安全配置,不得擅自对外提供或泄露统计网络安全配置或重要参数,不得将本人用户账号和口令信息交由他人使用。
(四)履行法律法规规定的其他网络安全责任和义务。
第三章 网络建设安全
第十一条 全市统计部门网络安全应当与统计信息化同步规划、同步建设、同步使用,在规划设计、建设开发、上线运行等环节落实网络安全要求和保护责任。
第十二条 统计网络安保对象的建设单位应当按照网络安全等级保护制度和相关标准规范要求,组织开展本单位统计网络安保对象的等级保护定级、备案、测评工作。
等级保护二级及以上统计网络安保对象,应经等级保护测评并通过后,方可正式上线运行。投入运行后,应当按照国家网络安全等级保护相关标准制度要求,定期开展测评。
开发测试阶段的统计网络安保对象确需上线测试的,需经本地区信息化主管部门审批,并向上级统计部门备案,并在系统显著位置标注“测试系统”、“培训系统”、“试运行”等字样,禁止冠以正式的系统名称,且禁止加载真实业务数据。
第十三条 建设单位应加强本单位统计网络安保对象的供应链安全管理。
(一)签订安全责任书,明确咨询设计、集成实施、软件开发、产品及服务供应商、监理等单位的网络安全建设责任。
(二)应当采购安全可信的信息技术产品和服务,网络关键设备、网络安全专用产品应当符合国家网络安全及行政法规有关规定和相关国家标准的强制性要求。
(三)采购的产品和服务可能影响国家安全的,应当通过国家安全审查,并与提供者签订安全保密协议,明确安全保密义务与责任。
(四)严控第三方组件安全风险,规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理,明确开发单位关于第三方组件的安全责任,建立第三方组件清单,对使用的开源代码库和共享代码组件应做好台账记录。
(五)按照安全需求、软件工程规范进行应用软件的设计开发,等级保护二级及以上统计网络安保对象的软件代码应通过相关检测机构的安全性测试,避免存在恶意代码和后门,严禁将源代码托管在第三方平台。
第十四条 统计网络安保对象委托企业、专业机构建设、运营、维护的,网络安全责任不因外包而转移。
第十五条 全市统计部门各单位应当加强互联网接入管理,使用国家公用电信网络接入互联网。县(区)级统计部门不独立设置互联网出口,应当通过省统计局统一出口或同级电子政务外网接入互联网,并明确本单位和电子政务外网管理单位各自应承担的网络安全责任。
第十六条 全市统计部门应当按照虚拟专用网络(VPN)管理办法有关规定,加强VPN系统管理。
第四章 网络运行安全
第十七条 统计网络安保对象的运行管理单位应当加强运行阶段的安全管控,采取措施防范网络攻击。
(一)建立健全机房管理制度,严格控制机房和设备间的进出访问,加强安全监控和巡检,确保机房符合有关规定要求。
(二)加强网络边界防护,在不同网络间设置物理或逻辑隔离,按照最小权限的原则对网络进行分区分域管理,在不同安全域间进行访问控制,实施严格的设备系统接入和访问控制策略,禁止在统计业务网内搭建无线网络。
(三)遵循最小授权、最小安装原则,加强对主机账号、口令、应用、服务、端口的安全管理,定期开展漏洞扫描、计算机病毒查杀和恶意代码检测,及时安装安全补丁、更新计算机病毒库和恶意代码库,并开展安全审计。
(四)加强统计业务应用系统的用户管理、认证管理和审计管理,实行账户实名制,对于重要应用、虚拟专用网络(VPN)、关键信息基础设施,应当采用口令、密码技术、生物技术等两种及以上组合的鉴别技术进行用户身份鉴别,且鉴别技术应符合国家密码技术标准,对用户口令信息进行加密存储,防止扩散或泄露。
(五)采取技术措施监测、记录网络运行状态和网络安全事件,记录包括但不限于核心网络设备、安全设备、重要应用系统、服务器、数据库的网络日志,日志保存时间不少于6个月。
(六)应当根据关键信息基础设施安全保护相关法律法规和规范要求,在等级保护制度基础上,采取加强型和特殊型安全保护措施,对关键信息基础设施实行重点保护。
(七)在履行网络运行安全职责过程中所获取的信息,只能用于维护网络安全的需要,不得用于其他用途,对收集的用户信息应严格保密。
第十八条 电子邮件系统的运行管理单位应建立管理制度,严格落实账户实名制要求,依规执行用户注册审批和注销工作,设置账号有效期、口令强度和每3个月更改口令等强制策略,防范垃圾邮件、钓鱼邮件。
电子邮件系统用户应严格执行账号、口令管理要求,严禁将工作邮件自动转发至私人或境外邮箱,不访问来源不明的可疑邮件及其链接、附件等。
第十九条 终端计算机应安装全省统一的安全管理软件,定期查杀病毒,禁止使用弱口令。使用者应主动防范感染病毒或木马,不安装来历不明软件或存在安全风险的国外软件,不打开来源不可靠的网站,不点击即时通讯工具(如QQ、微信等)上推送或转发的可疑文件,禁止安装使用网络云盘程序上传、下载文件,使用U盘等存储介质前应查杀病毒。
第二十条 统计网络安保对象发生重要信息和关键业务调整等重大变更时,应重新组织开展定级、备案和测评等工作。不再提供服务的统计网络安保对象应及时废止,妥善处理数据、系统及相关设备资产,并按要求及时向上级统计部门备案。
第二十一条 全市统计部门应做好国家、省重要活动及会议期间的网络安全重点保障。
(一)围绕重点保护目标,有效收敛互联网暴露面,做好事前网络安全风险隐患排查和漏洞整改工作,严格管控可能影响统计网络安保对象稳定运行的变更操作。
(二)落实白名单访问控制要求,加强重点防护,并要求参与重点保障工作的第三方人员签署网络安全责任承诺书。
(三)实行网络与信息安全信息通报,严格执行“零报告”制度。
(四)关键岗位、关键时间节点实行领导带班和7×24小时值班值守。
第五章 监测预警和应急处置
第二十二条 市统计局建立统计网络安全事件监测预警和应急工作机制,统筹指导全市统计部门网络安全监测预警能力建设。
各县(区)统计局按照市统计局和属地主管部门工作要求,负责组织实施本地区统计部门网络安全监测预警和应急处置工作,结合实际建立完善监测预警和应急处置机制,做好技术保障。
第二十三条 各县(区)统计局发现网络攻击入侵行为应立即报告,特殊时期每日“零报告”。关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,应当按照有关规定及时向市统计局及所在地主管部门报告。
第二十四条 日常监测发现统计网络安保对象存在的风险漏洞,应当限期修复。对于通用型网络产品和服务的风险漏洞,应当在产品厂商和安全机构修复方案公开发布后立即核查整改;对于地方网络安全主管部门和市统计局等通报的高危漏洞,应当按照时限要求立即组织整改。
第二十五条 市统计局制定全市统计部门网络安全事件应急预案,并定期组织演练。各县(区)统计局制定本地区统计部门网络安全事件应急预案,报市统计局网信办备案。
第六章 监督考核与责任追究
第二十六条 市统计局建立网络安全考核评价制度,对各县(区)统计局的网络安全工作开展考核。
第二十七条 市统计局网信办负责对全市统计部门网络安全工作开展情况进行监督检查,并通报有关情况。全市统计部门应当定期开展网络安全自查,对发现的问题立即整改,及时消除安全隐患。
第二十八条 市统计局网络安全和信息化工作领导小组在履行统计网络安全监督管理职责中,发现网络安全工作存在安全风险或隐患的,可以按照规定权限和程序约谈相关单位,并要求采取措施整改到位。
第二十九条 违反本办法造成危害或不良后果的,依法依规对直接负责的主管人员和直接责任人员追究责任,并对负有领导责任的人员进行问责;构成犯罪的,依法移交相关单位追究刑事责任。
第七章 附 则
第三十条 本办法由市统计局网信办负责解释。
第三十一条 其他部门接入统计业务网的统计网络安保对象参照本办法执行。接入电子政务内网、电子政务外网以及其他行业专网的,遵照相关管理制度执行。
第三十二条 本办法自印发之日起施行。
