合瑶司【2021】24号-关于印发《合肥市瑶海区司法行政系统信息网络管理暂行规定》的通知.docx

合肥市瑶海区司法局文件合瑶司〔2021〕24 号关于印发《合肥市瑶海区司法行政系统信息网络管理暂行规定》的通知各司法所、局机关各科室、法律援助中心：为全面落实《中华人民共和国网络安全法》相关要求，促进司法部和省司法厅“数字法治智慧司法”信息化体系建设落地生效，提升全区司法行政系统信息化工作建设水平，强化全区司法行政系统信息网络管理能力，《合肥市瑶海区司法行政系统信息网络管理暂行规定》经局领导研究同意，现印发给你们，请严格遵照执行。附件：合肥市瑶海区司法行政系统信息网络管理暂行规定合肥市瑶海区司法局 2021年7月6日合肥市瑶海区司法行政系统信息网络管理暂行规定第一章总则第一条为加强全区司法行政系统信息网络安全管理，保障信息网络稳定运行，根据《中华人民共和国网络安全法》《安徽省信息化促进条例》《安徽省司法行政系统信息网络管理暂行规定》《合肥市司法行政系统信息网络管理暂行规定》等有关规定，结合实际，制定本规定。第二条本规定所称的信息网络是指区司法局基于政法专网上连市司法局，下连全区各基层司法所、局机关各科室之间的通信网络（涵盖依托信息网络所承载的软硬件设备、通信线路、基础设施、业务系统等要素）。第三条信息网络管理工作遵循“谁主管谁负责、谁使用谁负责、谁运行谁负责”的原则，实行“分级管理、分级保障、层级检查”。第二章管理主体及责任第四条网络安全和科技信息化领导小组领导本单位的信息网络管理工作，负责本单位信息网络管理制度的拟订、审核及修订完善。第五条信息网络管理部门接受本级网络安全和科技信息化领导小组的领导，同时接受上级单位信息网络管理部门及保密工作部门的监督、检查和指导。第六条信息网络管理部门具体负责本单位的信息网络管理工作，与本单位保密工作部门和业务信息系统主管部门分工负责、协作工作。应当履行下列职责：（一）落实信息网络管理制度，确保本单位信息网络管理正规有序；（二）落实安全保护技术措施，保障本单位的网络运行和信息安全；（三）落实技术人员力量配备，负责本单位网络的日常保障和巡检维护；（四）会同相关部门开展经常性的网络安全宣传教育和业务技能培训，并指导、督促各司法所做好相关工作；（五）协助业务信息系统主管部门抓好相关业务系统的管理使用、业务流转、信息服务和应急处置。（六）协助公安机关、国家安全机关查处违法犯罪活动，为保密工作部门或者相关单位提供技术支持和帮助。第七条确定分管负责人，建立安全管理员、系统管理员和网络管理员制度。分管负责人总体牵头负责本单位的信息网络管理工作；安全管理员负责本单位的网络安全管理工作, 系统管理员负责本单位的信息系统管理工作，网络管理员负责本单位的网络管理工作。第三章管理工作规范第八条信息化建设项目按照有关规定执行。关键信息基础设施的建设（新建、改建、扩建），应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用，符合国家标准和国家规定。计算机网络机房的建设（新建、改建、扩建，含内部装修）、交付使用及周边环境建设，应当经建设单位信息网络管理部门安全审核和测试验收，确保符合国家有关规定和技术规范。第九条业务信息系统的调研、论证、开发、使用等环节，应遵守国家计算机信息系统安全标准和安全规范。业务信息系统主管部门、信息网络管理部门及使用单位应建立健全运行审批、日志管理、安全审计等安全管理制度并严格落实。信息的维护、增删、更改等，必须经业务信息主管部门和信息网络管理部门共同审核批准。第十条建立计算机网络机房管理、信息网络技术巡检等制度，指定专人负责，或者依托服务公司定期对机房环境、通信设备、通信线路等进行检查检修，做好登记记录，及时维护更新。实行 24 小时运行监控制度，落实网络运行状态记录、网络安全事件处置等日志留存，确保信息网络运行正常。第十一条建立软硬件设备台账及登记统计制度，对各类设备的发放领用、上架安装、维护保养、下架报废等过程进行规范化管理。建立数据灾难备份和存储介质管理制度，制定数据备份、恢复策略，规范存储方式、保存期等。第十二条信息网络实行网络安全等级保护制度，进行分类分级管理，按照网络安全等级保护 2. 0 标准执行。建立计算机病毒防治管理制度，采取计算机病毒安全技术防治措施，加强对信息网络使用人员的病毒防治教育和培训。第十三条信息网络安全事件防范坚持“预防为主，预防与应急相结合”的原则，制定完善相关应急预案，定期组织演练，及时采取有效措施，避免和减少网络与信息安全事件的发生及其危害。当发生网络安全事件时，信息网络管理部门及网络安全管理员应按以下预案开展应急处置：（一）情况报告。发生重大网络安全事件或系统应用异常情况时应坚持“边处置边上报”的原则，及时与区司法局办公室联系上报（发生时间、网络状态、系统情况、影响范围等），区司法局办公室应协助事发地信息网络管理部门处置；（二）攻击源定位。区分攻击源范围，进行网络行为审计，定位或缩小攻击源地址；（三）攻击方法分析。收集异常数据，分析攻击特征，确定攻击手段、攻击方法等内容；（四）攻击阻断。确定攻击位置和攻击方法，阻断相关端口、协议或链路，记录阻断情况，核实阻断效果；（五）状态恢复。检验入侵攻击阻断和漏洞阻塞效果，分析确定攻击处置完结情况，视情恢复被中断的网络、系统、应用等；（六）分析总结。梳理事件发生原因，记录处置措施情况，分析可能存在的安全弱点和可疑事件，监督事态发展，釆取措施避免安全事件再次发生。第十四条建立信息网络安全宣传教育、业务技能培训等制度，强化网络安全意识，提升安全防范水平。加强信息化人才队伍建设，鼓励网络技术创新和应用，支持培养网络安全人才。建立健全信息网络管理保障体系和运行保障通报制度，落实立即整改、限期整改、停网整顿等措施，提高网络安全防护和运维保障能力。第四章管理行为要求第十五条任何单位和个人不得利用信息网络危害国家安全和行业安全，不得泄露国家秘密和商业秘密，不得侵犯国家、社会、集体的利益和个人的合法权益，不得从事违法犯罪活动。第十六条任何单位和个人不得利用信息网络制作、复制、查阅和传播下列信息：（一）涉及国家秘密、商业秘密和具有反动、色情、暴力倾向等破坏社会稳定；（二）涉及编造、传播虚假信息扰乱经济秩序和社会秩序；（三）涉及政策、规划、计划等工作秘密，且未经相关保密工作机构审核或宣布解密；（四）涉及侵害他人名誉、隐私、知识产权和其他合法权益; （五）涉及法律、法规禁止性规定的其他内容。第十七条任何单位和个人不得从事下列危害信息网络安全的活动：（一）未经允许进入全区司法行政系统信息网络、使用信息网络资源或者非法向他人提供；（二）未经允许对全区司法行政系统信息网络功能、数据和应用程序进行删除、修改或者增加；（三）利用全区司法行政系统信息网络，制作或者传播计算机病毒等破坏性程序；（四）擅自将全区司法行政系统信息网络与其他网络进行连接; （五）私自安装使用与工作无关的软件，或者提供与工作无关的下载资源；（六）其他危害全区司法行政系统信息网络安全的行为。第十八条信息系统的使用单位，须配备经信息网络主管部门检测合格的计算机信息系统安全专用产品。已接入信息网络且无网络隔离设备的计算机，在未经技术处理或数据保护的情况下, 不得再接入互联网及其他网络。除涉密专用计算机外，禁止使用其他计算机编辑密码电报、处理涉密信息。第五章责任追究第十九条全区司法行政系统信息网络管理部门、业务信息系统主管部门和其他有关部门及其工作人员，违反本规定第五章及其他禁止事项造成严重后果的，对直接负责的主管人员和其他直接责任人员依据《中华人民共和国网络安全法》及相关规定追究责任。第六章附则第二十条本规定由区局办公室负责解释，自发布之日起施行。附件：1.安全管理员职责 2.系统管理员职责 3.网络管理员职责附件 1 安全管理员职责 1.定期检查信息网络和应用系统安全运行情况，升级杀毒软件，安装系统漏洞补丁，及时处置安全隐患； 2.使用网络安全设备、软件工具监视扫描网络边界、端口及异常攻击行为等； 3.对操作系统、数据库、网络设备用户进行身份标识和鉴别，统一规划、分配、管理登陆口令； 4.定期检查信息网络和应用系统相关参数配置，编写存档资料和日志记录； 5.恪守保密制度，不得泄露各类信息系统中存档资料、配置参数等数据； 6.发生信息网络安全事件时，按照本规定第十三条及时处理，并保护现场； 7.接受安全管理员岗位练兵、考核和技能培训，熟知业务要求和操作规程； 8.安全管理员原则上不能兼任系统管理员、网络管理员、数据库管理员等。附件 2 系统管理员职责 1. 负责各类系统的正常启动与关闭，日志管理、运行状态维护； 2. 负责各类系统权限中的工作流程设置、工作组配备，以及用户名分配、权限调整、登陆口令设置； 3. 负责对系统软件的管理、安装、调试，以及对技术参数调整，性能优化升级等工作； 4. 负责系统数据的日常安全备份、恢复和随机资料、软件介质的存储； 5. 协调做好系统软件的使用答疑和推广过程中技术保障工作； 6. 接受系统管理员岗位练兵、考核和技能培训，熟知业务要求和操作规程。附件 3 网络管理员职责 1. 负责各类路由器、交换机、防火墙、网闸、网关、网桥、语音交换机等网络接入设备的日常管理与维护； 2. 负责各类网络接入设备的地址规划、端口分配、参数配置（备份）等工作； 3. 负责关键网络、设备及信息节点的运行状态、流量监测、冗余备份、恢复及日志管理等工作； 4.配备必要的备用设备和备品附件，建立台账资料，妥善保管好随机资料和软件介质； 5.绘制与当前运行情况相符的网络拓扑图； 6.严格网络设备操作规程，不得违规操作； 7.接受网络管理员岗位练兵、考核和技能培训，熟知业务要求和操作规程。