欢迎来到浙江省交通运输厅在线教育网!
设为首页
|
加入收藏
当前位置:首页 >> 政策文件

浙江省交通 运输厅网络安全管理暂行办法

信息来源:浙江省交通运输厅  发布日期:2019-10-25   阅读:811 次  字体:       

  浙江省交通运输厅网络安全管理暂行办法

  第一章  总则

  第一条 为加强浙江省交通运输厅网络安全管理,落实网络安全责任,提高网络安全保障水平,依据《中国人民共和国网络安全法》以及国家、交通运输部和省有关网络安全管理规定,结合我省交通运输行业实际,制定本办法。

  第二条 本办法适用于厅机关及厅属各单位网络建设、运行、维护和使用等方面的安全保护及监督管理。涉密信息系统的网络安全管理,按照国家涉密信息系统相关管理规定执行。

  第三条 网络安全管理工作遵循“谁主管谁负责、谁建设谁负责、谁运行谁负责”和“归口管理、属地化管理”的原则,实行分级管理、分工负责。

  第二章  职责分工

  第四条 厅网络安全和信息化领导小组是省级交通运输网络安全和信息化工作的领导机构,负责统筹协调和监督指导职责:

  (一)贯彻落实国家、交通运输部、省委省政府有关网络安全和信息化发展战略和规划、网络安全工作方针政策和责任制要求;监督厅属单位和厅机关各处室按照职责分工开展网络和信息安全工作,落实网络安全责任制;

  (二)组织制定省级交通运输网络安全规划和管理制度;研究解决涉及网络安全的重大事项;

  (三)监督厅属单位开展网络等级保护、风险评估、关键信息基础设施认定和安全防护等工作;

  (四)组织建立省级交通运输网络安全预警、应急处置和信息通报机制;督促厅属单位制定网络安全应急预案;组织开展网络安全检查,通报网络安全信息,调查处理重大网络安全事件;

  (五)配合交通运输部、省委网信办、省公安厅等部门开展网络安全管理相关工作,负责跨部门跨层级的网络安全协调工作,完成省委省政府交办的其他任务。

  厅网络安全和信息化领导小组办公室(设在厅科教信息化处),具体组织落实。

  厅机关各处室按照职责分工,负责相应信息系统使用的安全工作。

  第五条 省交通信息中心负责由其统一建设、统一运维系统的网络安全具体工作:

  (一)执行国家、行业和省有关网络安全法律法规规章、标准和责任制要求,编制省级交通运输网络安全规划、具体规章制度和技术要求;

  (二)负责省级交通运输有关重大网络安全基础设施建设;

  (三)落实网络安全等级保护制度,开展风险评估、安全自查、关键信息基础设施认定等工作,负责做好安全防护工作;

  (四)加强省级交通运输网络安全监测预警,及时跟踪交通运输部、省委网信办和省公安厅等部门发布的网络安全漏洞,组织、指导厅属单位做好漏洞修复工作;

  (五)制定省级交通运输网络安全应急预案,组织开展应急演练,及时应对网络安全事件,采取有效措施予以整改;

  (六)做好与交通运输部、省委网信办、省公安厅等部门的网络安全信息日常报送工作;

  (七)协助厅网信办开展交通运输行业网络安全检查和重大网络安全事件的调查工作;

  (八)协助厅网信办开展网络安全宣传和培训工作,完成厅网信领导小组交办的其他任务。

  厅属行业管理中心按照职责分工,负责相应信息系统使用的安全工作;做好由其建设、运维系统的网络安全等级保护、风险评估、监测预警、安全自查、应急演练、响应处置、信息通报、宣传培训等具体工作;协助省交通信息中心对移交后的网络开展相关安全工作。

  第六条 厅属其他有关单位负责本单位的网络安全具体工作:

  (一)执行国家、行业和省有关网络安全法律法规规章、标准和责任制要求,编制本单位网络安全工作方案和具体管理制度;

  (二)落实网络安全等级保护制度,开展风险评估、安全自查、关键信息基础设施认定等工作,负责做好安全防护工作;

  (三)加强网络安全监测预警,及时修复系统安全漏洞,并将有关情况反馈省交通信息中心;

  (四)制定本单位网络安全应急处置预案,组织开展应急演练,及时应对网络安全事件, 采取有效措施予以整改,并将有关情况反馈省交通信息中心;

  (五)制定网络安全信息通报流程,做好网络安全信息报送工作;

  (六)配合上级开展网络安全检查和事件调查,对发现问题及时进行整改;

  (七)开展网络安全宣传和培训工作,完成厅网信领导小组交办的其他任务。

  第三章  建设安全管理

  第七条 各有关单位应当按照网络安全保护制度和规范要求,坚持网络安全与信息化项目同步规划、同步建设、同步运行的原则,加强信息化项目规划设计、建设开发、部署上线各环节的网络安全工作。明确信息化项目各参建单位的安全责任,落实网络安全责任制,签署网络安全责任书及有关保密协议。

  第八条 信息化建设项目可行性研究报告中,应当按照《网络安全等级保护条例》和有关技术要求,确定安全保护等级,并严格按照所定等级确定项目实施方案。

  系统功能发生重大变更的,应当重新定级,并根据定级结果重新评估系统安全防护能力,开展安全整改建设。

  第九条 项目建设应当采购和使用符合国家法律法规和强制性标准要求的网络产品(包括安全产品、密码产品)和服务,推进国产化替代,推广安全技术应用,并有效应对技术升级更新导致的供应链安全威胁。

  第十条 项目建设应当采用数据分类、数据备份和加密等技术措施,针对配置数据、业务数据等不同类型,确定相应的数据备份和恢复策略。对重要网络设施设备和通信线路等应当进行冗余设计和建设。重要信息系统应当符合行业和省有关密钥身份认证要求。

  第十一条 建设项目验收前,承建单位应当提供开发软件的设计文档、使用指南和软件源代码。建设单位应当组织开展软件安全检测、功能测试、代码安全审计,并留档备查。未通过安全检测、功能测试、代码安全审计的,应在整改通过后方可投入试运行。试运行应在测试环境进行,并严格控制非授权访问。

  第十二条 安全保护等级为二级及以上的建设项目,由项目建设单位在投入试运行后30天内,向公安机关备案,并在备案完成后10天内将备案结果报厅网信办;项目承建单位在试运行期间,应当委托第三方机构进行安全等级保护测评,其中安全保护等级为三级及以上的,还应当委托开展风险评估。

  未通过安全等级保护测评和备案的,风险评估不合格的,整改合格后方可申请竣工验收。

  第四章  运行安全管理

  第十三条 各有关单位应当按照网络安全保护制度和规范要求,建立健全覆盖运行各环节的网络安全管理制度和操作规程,落实网络安全责任制,做好网络安全日常防护工作,确定网络运行安全。

  第十四条 运维过程中严格控制改变连接、安装系统组件或调整配置参数等变更行为,严格控制运维工具的使用和远程运维的开通。对网络进行分区域管理,在不同网络区域实行边界安全防护。

  加强门户网站等互联网系统的安全防护,部署安全防护设备,严格设置访问控制策略,控制非授权网络访问,建立安全访问路径,加强后台维护终端的控制管理。

  加强互联网接入管理,接入方案及安全测评报告经审核评估后确认达到安全要求的,方可授权接入,不得随意变更接入要求。

  第十五条 建立健全网络安全检查制度、日常维护操作规程和巡检流程,定期开展网络安全检查。加强网络安全配置、日志审计的管理,定期开展漏洞扫描、恶意代码检测等工作,及时升级防病毒软件,防止病毒侵入破坏和网络攻击,有效处置网络安全风险隐患。有关日志留存时间不小于6个月。

  建立备份与恢复安全管理制度,制定详细的备份与恢复策略和操作规程,对备份过程进行记录,定期执行恢复测试。

  第十六条 严格按照网络安全等级保护要求,对安全保护等级为三级及以上的系统,每年至少开展一次等级符合性测评。未到达安全等级保护要求的,应当及时进行整改。

  第十七条 建立健全网络安全保护人员管理制度,明确相关人员录用、转岗、离岗和外包服务人员安全管理要求,定期进行培训和考核,并签订安全保密协议。

  加强对硬件设施设备和存储介质的安全管理并建立资产清单。严格机房进出安全管理,定期对机房开展安全检测,确保机房条件符合安全等级保护要求。对不满足安全管理规定的设施设备,应按有关规定及时更新、报废。

  第十八条 国家举行重要会议、重大活动等期间,按要求实现网络安全重点保障。各有关单位应当按照“减风险、保关键”的原则,做好事前检查和风险漏洞检查整改,加强重点防护;并按要求实行专项信息通报,严格执行“零事件”报告制度。

  第十九条 各有关单位应当按照行业和省关键信息基础设施相关认定规范,对信息系统进行梳理和认定。关键信息基础设施主管单位应当对关键信息基础设施,在安全等级保护的基础上,实行重点保护和7×24小时监测,且每年至少开展一次风险评估。涉及密码应用的,每年至少开展一次密码应用安全性评估。

  第五章  预警、处置与通报

  第二十条 各有关单位应当加强网络安全预警能力建设,主动及时掌握网络安全态势,加强安全风险漏洞管控,及时发现和处置风险漏洞,避免发生安全事件。

  省交通信息中心应结合交通运输部、省委网信办、省公安厅等部门的监测,及时通报安全漏洞隐患,并督促有关单位及时完成隐患整改。

  第二十一条 各有关单位应当制定完善网络安全事件应急预案,明确应急工作机构和职责、响应流程、临机处置权限等内容;每年至少开展一次应急演练,充分运用攻击性测试等手段开展实战化攻防对抗演练,提高演练效果,以战促改、以战促防,并做好应急演练档案记录。

  第二十二条 各有关单位应当建立健全科学有效、反应迅速的应急工作机制。省交通信息中心应当建立技术支撑队伍,并加大与网信、公安部门协调力度,提高安全事件处置能力。

  第二十三条 网络安全事件发生后,应根据事件类型和级别,立即启动应急预案,采取相应的补救措施,最大程度减少损失和危害,严控系统间关联风险,严防发生连锁连片式网络安全事件,确保重要信息系统的实体安全、运行安全和数据安全,并向网信、公安和上级主管部门上报信息。对处置过程进行记录,对可能涉及攻击、破坏等违法犯罪的,应当保护相关数据、记录、资料和现场,并向公安部门报案。

  第二十四条 网络安全事件处置完成后,应当及时对事件的起因、性质、影响、责任等进行调查、分析和评估工作,提出处理意见和改进措施。

  第二十五条 各有关单位应当建立健全网络安全信息收集、分析、研判和通报制度,规范网络安全信息通报工作,按规定要求及时报告网络安全信息,不得瞒报、缓报和推诿责任。

  第六章  网络信息安全

  第二十六条 厅机关各处室和厅属各单位应当按照谁收集信息、谁负责保护的原则,落实国家、行业和省有关用户信息和重要数据保护的相关要求,加强用户信息和重要数据的安全保障。跨部门、跨层级开展数据资源共享的,按照职责分工做好数据资源安全管理。

  第二十七条 厅机关各处室和厅属各单位收集、使用个人信息应当遵循合法、正当、必要的原则,明确收集和使用的目的、方式和范围,不得收集与其提供的服务无关的个人信息,不得违法收集、使用、处理其保存的个人信息。

  厅机关各处室和厅属各单位应当采取必要措施,确保用户信息和重要数据的安全,防止泄露、毁损、丢失。当发生或者可能发生用户信息和重要数据泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向网信、公安部门报告。

  第二十八条 厅机关各处室和厅属各单位发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防治信息扩散,保存有关记录并向网信、公安部门报告。

  第七章  监督与考核

  第二十九条 省厅将各单位的网络安全工作纳入年度综合考核内容,重点是网络安全责任制落实情况和关键信息基础设施保护、网络安全等级保护、网络安全事件等情况。

  各单位党委主要负责人为网络安全第一责任人,负责本单位网络安全工作的统筹管理,每年至少主持召开一次会议,听取网络安全工作整体情况汇报,研究分析重大事项,协调解决重大问题。主管网络安全的领导班子成员为直接责任人,每季度至少主持召开一次会议,听取网络安全工作情况汇报,研究部署有关工作。

  第三十条 网络安全运行管理、安全检查、测试评估、监测预警、应急处置、防护加固、升级改造、教育培训等费用应当纳入年度预算,保障网络安全经费投入。

  第三十一条 各单位应当组织开展网络安全教育工作,加强全员网络安全意识和知识技能培训。在职人员年度人均接受网络安全培训时间不少于4个学时;对网络安全专业技术岗位人员开展专业技能培训,年度人均接受相关培训时间不少于8个学时。

  第三十二条 厅网信办每年至少组织开展一次网络安全检查工作,在重点保障时期对网络安全开展专项检查。各有关单位应当按要求开展自检自查,并配合做好网络安全检查工作;对检查过程中发现的问题,应当限期完成整改,并将整改结果及时反馈厅网信办。

  省交通信息中心等有关单位应及时分析总结网络安全管理情况和存在的问题,并按规定向厅网信办提交年度工作报告和有关专项工作报告。

  第三十三条 违反网络和信息安全管理规定的,视情予以通报批评;情节严重并造成不良影响的,依照有关法律法规和网络安全责任制的规定,启动约谈和问责程序,约谈、追究有关单位、当事人、网络安全负责人直至主要负责人的责任。

  第八章  附则

  第三十四条 本办法自2019年11月1日起试行。

打印本页 】【关闭窗口
其他相关信息