2022年信息安全等級(jí)保護(hù)管理辦法

1、第PAGE18頁(yè)共NUMPAGES18頁(yè)2022年信息安全等級(jí)保護(hù)管理辦法第一章總則第一條為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)法律法規(guī)，制定本辦法。第二條國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督

2、、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。_信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。第五條信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。第二章等級(jí)劃分與保護(hù)第六條國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、

3、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。第八條信息系統(tǒng)

4、運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等

5、級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章等級(jí)保護(hù)的實(shí)施與管理第九條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南具體實(shí)施等級(jí)保護(hù)工作。第十條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委

6、員會(huì)評(píng)審。第十一條信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-_)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T_1-_)、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T_0-_)、信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T_2-_)、信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求(GB/T_3-_)、信息安全技

7、術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求(GA/T671-_)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T_9-_)、信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T20282-_)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信

8、息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后_日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后_日內(nèi)，由其運(yùn)營(yíng)

9、、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫(xiě)信息系統(tǒng)安全等級(jí)保護(hù)備案表，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度；(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估

10、報(bào)告；(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。第十七條信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的_個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的_個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的_個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工

11、作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國(guó)家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查：(一)信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級(jí)是否準(zhǔn)確；(二)運(yùn)營(yíng)、使用單位安全管理制度、措施的落實(shí)情況；(三)運(yùn)營(yíng)、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況；(四)系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求；(五)信息安全產(chǎn)品使用是否符合要求；(六)信息系統(tǒng)安全整改情況；(七)備案材料與運(yùn)營(yíng)、使用單位、信息系統(tǒng)的符合情況；(八)其他應(yīng)當(dāng)進(jìn)行監(jiān)

12、督檢查的事項(xiàng)。第十九條信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國(guó)家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國(guó)家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件：(一)信息系統(tǒng)備案事項(xiàng)變更情況；(二)安全組織、人員的變動(dòng)情況；2022年信息安全等級(jí)保護(hù)管理辦法（二）1、我公司鄭重承諾尊重并保護(hù)用戶的個(gè)人隱私，除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下，未經(jīng)用戶授權(quán)我公司不會(huì)隨意公布與用戶個(gè)人身份有關(guān)的資料，除非有法律或程序要求。2、所有用戶信息將得到本公司_系統(tǒng)的安全保存，并在和用戶簽署的協(xié)議規(guī)定時(shí)間內(nèi)保證不會(huì)丟失;3、嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用

13、登記和操作權(quán)限管理制度，對(duì)用戶信息專人管理，嚴(yán)格保密，未經(jīng)允許不得向他人泄露。公司定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)并進(jìn)行考核，使員工能夠充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，嚴(yán)格遵守相應(yīng)規(guī)章制度。我公司將嚴(yán)格執(zhí)行本規(guī)章制度，并形成規(guī)范化管理，建立健全信息網(wǎng)絡(luò)安全小組。安全小組由單位領(lǐng)導(dǎo)負(fù)責(zé)，網(wǎng)絡(luò)技術(shù)、客戶服務(wù)等部門參加，并確定兩名安全負(fù)責(zé)人作為_(kāi)處理的聯(lián)系人。二、有害信息發(fā)現(xiàn)受理處置機(jī)制第一條一旦發(fā)現(xiàn)網(wǎng)絡(luò)有害信息的，應(yīng)立即啟動(dòng)預(yù)案，采取“及時(shí)處理、下載保存和_小時(shí)上報(bào)制度”。第二條網(wǎng)絡(luò)有害信息處置前期工作程序：一、發(fā)現(xiàn)有害信息的公司員工要立即報(bào)告公司信息部，由信息部協(xié)調(diào)處理網(wǎng)上_，摸清情況，采取措施，

14、最大限度地遏制有害信息在網(wǎng)上傳播和擴(kuò)散，并在第一時(shí)間內(nèi)向公司主管領(lǐng)導(dǎo)及有關(guān)部門報(bào)告。二、信息部負(fù)責(zé)有害信息的界定及監(jiān)控，一旦發(fā)現(xiàn)不良信息要馬上刪除(如遇緊急情況，可直接關(guān)閉服務(wù)器，暫停網(wǎng)絡(luò)運(yùn)行)。三、信息部及時(shí)對(duì)有害信息予以刪除，取證留樣，對(duì)有害信息的來(lái)源進(jìn)行調(diào)查；在最短時(shí)間內(nèi)向網(wǎng)絡(luò)有害信息處置辦公室報(bào)告情況。四、信息部要對(duì)網(wǎng)絡(luò)安全設(shè)備的記錄留存，監(jiān)督檢查有害信息報(bào)告、清除等情況。五、信息安全員負(fù)責(zé)調(diào)查有害信息散布的原因、經(jīng)過(guò)，收集相關(guān)證據(jù)，以有利于事件處理時(shí)事實(shí)清楚，責(zé)任明確。第三條網(wǎng)絡(luò)有害信息處置后期工作程序：一、信息部要利用網(wǎng)絡(luò)與信息安全技術(shù)平臺(tái)，對(duì)網(wǎng)上有害信息和公共有害短信及時(shí)進(jìn)行封堵

15、：對(duì)違規(guī)從事網(wǎng)上業(yè)務(wù)或傳播有害信息的用戶(包括論壇)，依法采取責(zé)任令整頓，予以封禁用戶等行政處罰措施。二、在事實(shí)清楚、責(zé)任明確的情況下，公司網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組要對(duì)事件做出處理決定：影響較大、存在問(wèn)題較多的網(wǎng)站，要集中力量研究和解決問(wèn)題。對(duì)管理混亂、事故多發(fā)、造成不良影響的網(wǎng)站，要追究有關(guān)責(zé)任人責(zé)任。三、有關(guān)事件的處置經(jīng)過(guò)、結(jié)論等相關(guān)事宜，一律由信息部統(tǒng)一對(duì)外宣傳。四、做好經(jīng)費(fèi)保障工作和技術(shù)開(kāi)發(fā)工作。公司劃撥一定的網(wǎng)絡(luò)安全管理經(jīng)費(fèi)投入，要在技術(shù)管理和軟件開(kāi)發(fā)利用上下工夫，提高網(wǎng)絡(luò)信息安全管理技能。網(wǎng)站服務(wù)器必須_必要的信息安全軟件。三、有害信息投訴受理處置機(jī)制_投訴中心設(shè)在公司信息部。_投訴的

16、受理和回復(fù)工作統(tǒng)一由信息部設(shè)專人負(fù)責(zé)，向社會(huì)公開(kāi)投訴_號(hào)碼，設(shè)置_箱。受理的有害信息投訴事件主要指單位和個(gè)人利用我公司網(wǎng)絡(luò)制作、復(fù)制、查閱和下載下列信息的事件：1.煽動(dòng)抗拒、破壞憲法和國(guó)家法律、行政法規(guī)實(shí)施；2.煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一和民族團(tuán)結(jié)、推翻_制度;3.捏造或者歪曲事實(shí)，散布謠言擾亂社會(huì)秩序;4.侮辱他人或者捏造事實(shí)誹謗他人;5.宣揚(yáng)封建_、_穢、_、_、兇殺、_等。_公然侮辱他人或捏造事實(shí)誹謗他人的；7.損害網(wǎng)站形象和網(wǎng)站利益的；8.其他違反憲法和法律、行政法規(guī)的。_投訴受理中心對(duì)公眾_、投訴事件，按集中管理、登記的原則辦理，由信息部帶領(lǐng)網(wǎng)絡(luò)安全小組集中處理，并將處理結(jié)果備案。對(duì)

17、較重大有害信息事件，應(yīng)立即上報(bào)主管領(lǐng)導(dǎo)。_投訴受理中心受理的事件，要做到即接快辦；夜間、節(jié)假日值班期間接到的投訴_，應(yīng)于次日或節(jié)假日后的第一個(gè)工作日辦理，對(duì)需緊急辦理的重大信息安全事件可先處理后登記。負(fù)責(zé)查辦的相關(guān)人員接到交辦的投訴_事件后應(yīng)及時(shí)安排辦理，要求在法定時(shí)限內(nèi)處理完畢，如遇特殊情況不能按時(shí)處理完畢的，應(yīng)報(bào)主管領(lǐng)導(dǎo)說(shuō)明理由，可適當(dāng)延長(zhǎng)處理時(shí)間；處理結(jié)果應(yīng)及時(shí)反饋給_投訴受理中心，由_投訴受理中心反饋給_人。在處理有害信息投訴事件的記錄、登記、交辦工作流程時(shí)，應(yīng)填寫(xiě)相應(yīng)表單，并隨結(jié)果報(bào)告一同存檔。處理人員應(yīng)對(duì)重大有害信息事件_人或要求保密者做到保密，有關(guān)重大的有害信息事件及處理過(guò)程不得

18、_。四、重大信息安全事件應(yīng)急處置和報(bào)告制度為預(yù)防和及時(shí)處置網(wǎng)絡(luò)_，保證網(wǎng)絡(luò)信息安全，維護(hù)社會(huì)穩(wěn)定，特制訂網(wǎng)絡(luò)信息安全事件應(yīng)急處置預(yù)案。一、在公司領(lǐng)導(dǎo)的統(tǒng)一管理下，貫徹執(zhí)行_計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、_計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定等相關(guān)法律法規(guī)，堅(jiān)持積極防御、綜合防范的方針，本著以防為主、注重應(yīng)急工作原則，預(yù)防和控制風(fēng)險(xiǎn)，在發(fā)生信息安全事故或事件時(shí)最大程度地減少損失，維護(hù)社會(huì)和公司穩(wěn)定，盡快使網(wǎng)絡(luò)和系統(tǒng)恢復(fù)正常，做好網(wǎng)絡(luò)運(yùn)行和信息安全保障工作。二、信息網(wǎng)絡(luò)安全事件定義1、網(wǎng)站受到黑客攻擊，主頁(yè)被惡意篡改、交互式欄目里發(fā)表煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一和民族團(tuán)結(jié)、推翻_制度；煽動(dòng)抗拒、破壞憲

19、法和國(guó)家法律、行政法規(guī)的實(shí)施；捏造或者歪曲事實(shí)，故意散布謠言，擾亂社會(huì)秩序；公然侮辱他人或者捏造事實(shí)誹謗他人；宣揚(yáng)封建_、_穢_、_、兇殺、_；發(fā)送危害國(guó)家安全、宣揚(yáng)“_”等_及_勢(shì)力的信息；破壞社會(huì)穩(wěn)定的信息及損害國(guó)家、公司聲譽(yù)和穩(wěn)定的謠言等。2、網(wǎng)內(nèi)網(wǎng)絡(luò)應(yīng)用服務(wù)器被非法入侵，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，發(fā)生_事件。3、在網(wǎng)站上發(fā)布的內(nèi)容違_的法律法規(guī)、侵犯知識(shí)產(chǎn)權(quán)等，已經(jīng)造成嚴(yán)重后果。三、加大培訓(xùn)和宣傳力度，加強(qiáng)和完善互聯(lián)網(wǎng)安全管理，設(shè)置專門管理部門，采取統(tǒng)一管理體制，落實(shí)負(fù)責(zé)人。各部門要建立健全內(nèi)部安全保障制度，按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”、“誰(shuí)主辦、誰(shuí)負(fù)責(zé)”的原則，落實(shí)責(zé)任制，

20、明確責(zé)任人和職責(zé)，細(xì)化工作措施和流程，建立完善管理制度和實(shí)施辦法，加強(qiáng)信息的_和備案工作，確保網(wǎng)絡(luò)與信息安全。加強(qiáng)我公司互聯(lián)網(wǎng)絡(luò)信息安全管理，連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)用戶絕對(duì)不能存儲(chǔ)涉及國(guó)家_、公司內(nèi)部_的文件。四、加強(qiáng)信息_工作，若發(fā)現(xiàn)主頁(yè)被惡意更改，應(yīng)立即停止主頁(yè)服務(wù)并恢復(fù)正確內(nèi)容，同時(shí)檢查分析被更改的原因，在被更改的原因找到并排除之前，不得重新開(kāi)放主頁(yè)服務(wù)。各級(jí)各類服務(wù)器提供信息服務(wù)，必須事先登記、審批，建立使用規(guī)范，落實(shí)責(zé)任人，并具備相應(yīng)的安全防范措施(如：日志留存、安全認(rèn)證、實(shí)時(shí)監(jiān)控、防黑客、防病毒等)，加強(qiáng)網(wǎng)絡(luò)設(shè)備日志分析，及時(shí)收集信息，排查不安定因素。加強(qiáng)bbs、留言板等交互式欄目

21、的專人管理，交互式欄目?jī)?nèi)容發(fā)布實(shí)行審核制度。對(duì)于非法網(wǎng)站要做到：發(fā)現(xiàn)一個(gè)，禁止一個(gè)，并及時(shí)向主管領(lǐng)導(dǎo)匯報(bào)，杜絕其蔓延。建立有效的網(wǎng)絡(luò)防病毒工作機(jī)制，及時(shí)做好防病毒軟件的網(wǎng)上升級(jí)，保證病毒庫(kù)的及時(shí)更新。五、網(wǎng)絡(luò)部對(duì)互聯(lián)網(wǎng)實(shí)施_小時(shí)值班責(zé)任制，必要時(shí)實(shí)行_。網(wǎng)絡(luò)管理人員應(yīng)定期對(duì)互聯(lián)網(wǎng)的硬件設(shè)備進(jìn)行狀態(tài)檢查。對(duì)用戶上網(wǎng)進(jìn)行監(jiān)控，若發(fā)現(xiàn)有異常行為應(yīng)立即關(guān)閉該用戶的網(wǎng)絡(luò)連接，及時(shí)記錄在案，并對(duì)其警告和批評(píng)教育，嚴(yán)重違法行為立即上報(bào)有關(guān)部門。六、加強(qiáng)_的快速反應(yīng)。網(wǎng)絡(luò)管理員具體負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作，不允許有任何觸犯國(guó)家網(wǎng)絡(luò)管理?xiàng)l例的網(wǎng)絡(luò)信息，對(duì)突發(fā)的信息網(wǎng)絡(luò)安全事件應(yīng)做到：(1)及時(shí)發(fā)現(xiàn)、及時(shí)

22、報(bào)告，在發(fā)現(xiàn)后在第一時(shí)間向上一級(jí)領(lǐng)導(dǎo)或部門報(bào)告。(2)保護(hù)現(xiàn)場(chǎng)，立即與網(wǎng)絡(luò)隔離，防止影響擴(kuò)大。(3)及時(shí)取證，分析、查找原因。(4)消除有害信息，防止進(jìn)一步傳播，將事件的影響降到最低。(5)在處置有害信息的過(guò)程中，任何單位和個(gè)人不得保留、貯存、散布、傳播所發(fā)現(xiàn)的有害信息。(6)追究相關(guān)責(zé)任。根據(jù)實(shí)際情況提出口頭警告、書(shū)面警告、停止使用網(wǎng)絡(luò)，情節(jié)嚴(yán)重和后果影響較大者，提交公司及國(guó)家司法機(jī)關(guān)處理，追究部門負(fù)責(zé)人和直接責(zé)任人的行政或法律責(zé)任。七、及時(shí)整頓，加強(qiáng)防范。各部門要積極配合上級(jí)網(wǎng)絡(luò)安全管理部門的例行檢查，并接受其技術(shù)指導(dǎo)。針對(duì)網(wǎng)絡(luò)存在的安全隱患和出現(xiàn)的問(wèn)題，及時(shí)提出整治方案并具體落實(shí)到位，完

23、善網(wǎng)絡(luò)安全機(jī)制，防范網(wǎng)絡(luò)安全事件再度發(fā)生。逐步建立網(wǎng)絡(luò)信息安全管理長(zhǎng)效工作機(jī)制，實(shí)現(xiàn)公司信息安全管理，創(chuàng)造良好的網(wǎng)絡(luò)環(huán)境。八、在重要、敏感時(shí)期，加大網(wǎng)絡(luò)安全教育宣傳力度，加強(qiáng)員工的法律意識(shí)和安全意識(shí)教育，提高其安全意識(shí)和防范能力；開(kāi)展安全文明上網(wǎng)的教育引導(dǎo)工作，凈化互聯(lián)網(wǎng)網(wǎng)上環(huán)境，及時(shí)收集信息，排查不安定因素；堅(jiān)持_小時(shí)值班制度，開(kāi)通值班電話，保證與上級(jí)主管部門、電信部門和當(dāng)?shù)毓矙C(jī)關(guān)的熱線聯(lián)系，積極做好預(yù)防工作，發(fā)現(xiàn)問(wèn)題及時(shí)處理，防患于未然。九、做好機(jī)房及戶外網(wǎng)絡(luò)設(shè)備的防火、防盜竊、防雷擊、防鼠害等工作。若發(fā)生事故，應(yīng)立即_人員自救，并報(bào)警。十、網(wǎng)絡(luò)安全事件報(bào)告與處置。事件發(fā)生并得到確認(rèn)后，

24、有關(guān)人員應(yīng)立即將情況報(bào)告有關(guān)領(lǐng)導(dǎo)，由領(lǐng)導(dǎo)指揮處理網(wǎng)絡(luò)安全事件。應(yīng)及時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案。阻斷網(wǎng)絡(luò)連接，進(jìn)行現(xiàn)場(chǎng)保護(hù)，協(xié)助調(diào)查取證和系統(tǒng)恢復(fù)等工作，有關(guān)違法事件移交公安機(jī)關(guān)處理。五、信息安全管理政策和業(yè)務(wù)培訓(xùn)制度第一章信息安全政策一、計(jì)算機(jī)設(shè)備管理制度1.計(jì)算機(jī)的使用部門要保持清潔、安全、良好的計(jì)算機(jī)設(shè)備工作環(huán)境，禁止在計(jì)算機(jī)應(yīng)用環(huán)境中放置易燃、_、強(qiáng)腐蝕、強(qiáng)磁性等有害計(jì)算機(jī)設(shè)備安全的物品。2.非本單位技術(shù)人員對(duì)我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本單位相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)有關(guān)部門負(fù)責(zé)人批準(zhǔn)。3.嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開(kāi)機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方

25、法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門報(bào)告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。二、操作員安全管理制度1.操作代碼是進(jìn)入各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作、分級(jí)對(duì)數(shù)據(jù)存取進(jìn)行控制的代碼。操作代碼分為系統(tǒng)管理代碼和一般操作代碼。代碼的設(shè)置根據(jù)不同應(yīng)用系統(tǒng)的要求及崗位職責(zé)而設(shè)置.2.系統(tǒng)管理操作代碼的設(shè)置與管理：(1)、系統(tǒng)管理操作代碼必須經(jīng)過(guò)經(jīng)營(yíng)管理者授權(quán)取得;(2)、系統(tǒng)管理員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，負(fù)責(zé)一般操作代碼的生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù);(3)、系統(tǒng)管理員對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)整理、故障恢復(fù)等操作，必須有其上級(jí)授權(quán);(4)、

26、系統(tǒng)管理員不得使用他人操作代碼進(jìn)行業(yè)務(wù)操作;(5)、系統(tǒng)管理員調(diào)離崗位，上級(jí)管理員(或相關(guān)負(fù)責(zé)人)應(yīng)及時(shí)注銷其代碼并生成新的系統(tǒng)管理員代碼;3.一般操作代碼的設(shè)置與管理(1)、一般操作碼由系統(tǒng)管理員根據(jù)各類應(yīng)用系統(tǒng)操作要求生成，應(yīng)按每操作用戶一碼設(shè)置。(2)、操作員不得使用他人代碼進(jìn)行業(yè)務(wù)操作。(3)、操作員調(diào)離崗位，系統(tǒng)管理員應(yīng)及時(shí)注銷其代碼并生成新的操作員代碼。三、_與權(quán)限管理制度1._設(shè)置應(yīng)具有安全性、保密性，不能使用簡(jiǎn)單的代碼和標(biāo)記。_是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。_分設(shè)為用戶_和操作_，用戶_是登陸系統(tǒng)時(shí)所設(shè)的_，操作_是進(jìn)入各應(yīng)用系統(tǒng)的操作員_。_

27、設(shè)置不應(yīng)是名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測(cè)的數(shù)字和字符串;2._應(yīng)定期修改，間隔時(shí)間不得超過(guò)一個(gè)月，如發(fā)現(xiàn)或懷疑_遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時(shí)間、修改人等內(nèi)容。3.服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶_由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人(不參與系統(tǒng)開(kāi)發(fā)和維護(hù)的人員)設(shè)置和管理，并由_設(shè)置人員將_裝入_信封，在騎縫處加蓋個(gè)人名章或簽字后交給_管理人員存檔并登記。如遇特殊情況需要啟用封存的_，必須經(jīng)過(guò)相關(guān)部門負(fù)責(zé)人同意，由_使用人員向_管理人員索取，使用完畢后，須立即更改并封存，同時(shí)在“_管理登記簿”中登記。4.系統(tǒng)維護(hù)用戶的_應(yīng)至少由兩人共同設(shè)置、保管和使用。5.有關(guān)_授

28、權(quán)工作人員調(diào)離崗位，有關(guān)部門負(fù)責(zé)人須指定專人接替并對(duì)_立即修改或用戶刪除，同時(shí)在“_管理登記簿”中登記。四、數(shù)據(jù)安全管理制度1.存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)必須異地存放，并明確落實(shí)異地備份數(shù)據(jù)的管理職責(zé);2.注意計(jì)算機(jī)重要信息資料和數(shù)據(jù)存儲(chǔ)介質(zhì)的存放、運(yùn)輸安全和保密管理，保證存儲(chǔ)介質(zhì)的物理安全。3.任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進(jìn)行逐級(jí)審批，以保證備份數(shù)據(jù)安全完整。4.數(shù)據(jù)恢復(fù)前，必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過(guò)程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊(cè)執(zhí)行，出現(xiàn)問(wèn)題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，

29、必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。5.數(shù)據(jù)清理前必須對(duì)數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進(jìn)行定期保存或永久保存，并確保可以隨時(shí)使用。數(shù)據(jù)清理的實(shí)施應(yīng)避開(kāi)業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。6.需要長(zhǎng)期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進(jìn)行轉(zhuǎn)存，防止存儲(chǔ)介質(zhì)過(guò)期失效，通過(guò)有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細(xì)的文檔記錄。7.非本單位技術(shù)人員對(duì)本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時(shí)，必須由本公司相關(guān)技術(shù)人員現(xiàn)場(chǎng)全程監(jiān)督。計(jì)算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備

30、管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需將設(shè)備存儲(chǔ)介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營(yíng)管理的信息備份后刪除，并進(jìn)行登記。對(duì)修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對(duì)設(shè)備進(jìn)行驗(yàn)收、病毒檢測(cè)和登記。8.管理部門應(yīng)對(duì)報(bào)廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無(wú)用的資料和介質(zhì)，防止_。9.運(yùn)行維護(hù)部門需指定專人負(fù)責(zé)計(jì)算機(jī)病毒的防范工作，建立本單位的計(jì)算機(jī)病毒防治管理制度，經(jīng)常進(jìn)行計(jì)算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時(shí)清除。10.營(yíng)業(yè)用計(jì)算機(jī)未經(jīng)有關(guān)部門允許不準(zhǔn)_其它軟件、不準(zhǔn)使用來(lái)歷不明的載體(包括軟盤、光盤、移動(dòng)硬盤等。五、機(jī)房管理制度1.進(jìn)入主機(jī)房至少應(yīng)當(dāng)有兩人在場(chǎng)，并登記“機(jī)房出入管理登記簿”，記錄出入機(jī)房時(shí)間、人員和

31、操作內(nèi)容。2.信息部人員進(jìn)入機(jī)房必須經(jīng)領(lǐng)導(dǎo)許可，其他人員進(jìn)入機(jī)房必須經(jīng)信息領(lǐng)導(dǎo)許可，并有有關(guān)人員陪同。值班人員必須如實(shí)記錄來(lái)訪人員_、進(jìn)出機(jī)房時(shí)間、來(lái)訪內(nèi)容等。非信息部工作人員原則上不得進(jìn)入中心對(duì)系統(tǒng)進(jìn)行操作。如遇特殊情況必須操作時(shí)，經(jīng)信息部負(fù)責(zé)人批準(zhǔn)同意后有關(guān)人員監(jiān)督下進(jìn)行。對(duì)操作內(nèi)容進(jìn)行記錄，由操作人和監(jiān)督人簽字后備查。3.保持機(jī)房整齊清潔，各種機(jī)器設(shè)備按維護(hù)計(jì)劃定期進(jìn)行保養(yǎng)，保持清潔光亮。4.工作人員進(jìn)入機(jī)房必須更換干凈的工作服和拖鞋。5.機(jī)房?jī)?nèi)嚴(yán)禁吸煙、吃東西、會(huì)客、聊天等。不得進(jìn)行與業(yè)務(wù)無(wú)關(guān)的活動(dòng)。嚴(yán)禁攜帶液體和食品進(jìn)入機(jī)房，嚴(yán)禁攜帶與上機(jī)無(wú)關(guān)的物品，特別是易燃、_、有腐蝕等危險(xiǎn)品進(jìn)入機(jī)房。6.機(jī)房工作人員嚴(yán)禁違章操作，嚴(yán)禁私自將外來(lái)軟件帶入機(jī)房使用。7.嚴(yán)禁在通電的情況下拆卸，移動(dòng)計(jì)算機(jī)等設(shè)備和部件。8.定期檢查機(jī)房消防設(shè)備器材。9.機(jī)房?jī)?nèi)不準(zhǔn)隨意丟棄