重庆市渝北区城市管理局

关于印发《重庆市渝北区城市管理局网络安全管理办法》的通知

局属各单位，机关各科（室）：

   《重庆市渝北区城市管理局网络安全管理办法》已经局党委会通过，现印发给你们，请严格遵照执行。

附件：重庆市渝北区城市管理局网络安全管理办法

                             重庆市渝北区城市管理局

                                  2024年1月3日

附件

重庆市渝北区城市管理局网络安全管理办法

第一章 总则

     第一条 为加强计算机信息网络安全保护，保证全系统各业务数据的安全和各业务软件的正常运行，根据《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》及相关法律、法规的规定，制定本办法。

    第二条 区城管局系统内部的计算机信息网络安全保护管理，适用本办法。

    第三条 本办法所称的计算机信息网络系统，是指计算机及其相关的、配套的设备、设施（含网络）构成的、按照一定的应用目标和规则对信息进行采集、加工、储存、传输、检索等处理的人机系统，包括城市管理行业应用系统。

    第四条 区城管局科技法制科负责统筹计算机信息网络的安全保护管理工作，局机关办公室负责局机关办公楼的网络安全，局属各单位负责本单位的网络安全，建设单位（科室）负责自建、购买服务的行业应用系统的网络安全。

    第五条 计算机信息网络系统的安全保护，应当保障计算机及其相关的配套设备、设施（含网络）的安全、运行环境的安全、信息的安全以及行业应用系统的安全运转。

    第六条 任何部门和个人不得利用计算机网络危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得泄露本系统的业务信息，不得从事违法犯罪活动。

第二章  网络安全

    第七条 任何部门和个人不得利用计算机网络制作、复制、查阅和传播下列信息：

   （一）煽动抗拒、破坏宪法和法律、法规实施的；

   （二）煽动颠覆国家政权，推翻社会主义制度的；

  （三）煽动分裂国家、破坏国家统一的；

  （四）煽动民族仇恨、民族歧视，破坏民族团结的；

  （五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

   （六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

  （七）公然侮辱他人或者捏造事实诽谤他人的；

  （八）损害国家机关信誉的；

  （九）其他违反宪法和法律、法规的。

   第八条  任何部门和个人不得从事下列危害计算机信息网络安全的活动：

   （一）未经允许，进入内网计算机或者使用内网计算机信息资源的；

   （二）未经允许，对内网计算机功能进行删除、修改或者增加的；

   （三）未经允许，对内网计算机中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

   （四）故意制作、传播计算机病毒等破坏性程序的；

  （五）其他危害计算机信息网络安全的行为。

    第九条 互联网的上行链路、设备要求符合区信息化管理部门的相关要求；内网办公电脑，任何部门或个人不得自行以各种方式接入互联网。

    第十条 严格管理连接到互联网的计算机，对涉及有关国家秘密、上级文件要求的系统或信息，须做到专网专机专用，严禁上互联网。

   第十一条 不得随意从互联网上下载文件，通过移动介质（如软盘、光盘、U盘等）将文件复制到连接内部网络的计算机中；确有需要，须检查确定文件没有附带病毒或木马程序。

    第十二条 内部信息资料的传递，须通过内部移动介质完成，不能在互联网上传递，对涉密信息须加密处理，防止信息泄露。

    第十三条  局机关办公室、局属各单位应不定期对内部网络进行安全扫描，对发现的系统漏洞及时修补。

    第十四条 局机关办公室、局属各单位负责对本单位（机关）的IP地址进行分配、登记，局域网内部计算机严格使用分配的IP地址，不得盗用、出让、私自修改。计算机的工作组名或域名、计算机名等区分计算机特征的配置信息不得随意修改，防止影响网络通讯。

    第十五条 局域网中各计算机应专人专用，设置登陆用户及口令；对因条件限制多人共用一台计算机的，应分别设置每人的登陆用户名及口令，保存在该计算机上的秘密资料应设置口令，登陆口令要求定期更改。

    第十六条 任何部门或个人，未经允许，不得擅自安装、拆卸或改变网络设备；对获准允许安装、拆卸或改变网络设备的，局机关办公室、局属各单位应对该设备档案进行记录。

                                  第三章 计算机安全

     第十七条  局机关办公室负责局机关计算机防病毒软件的统一部署，局属各单位负责本单位计算机防病毒软件的统一部署。系统内的每一台计算机都必须安装防病毒软件，未安装防病毒软件的计算机严禁接入内网。

      第十八条  局机关办公室、局属各单位（科室）网络安全员应不定期对本部门的计算机进行病毒扫描，发现病毒应立即查杀。

      第十九条 任何单位和个人不得擅自停用或删除计算机中的防病毒软件；使用计算机时要关注防病毒软件的状态，确保防病毒软件正常工作；发现问题及时与信息管理员联系。

     第二十条局属各单位（科室）发现计算机感染病毒，应立即启用防病毒软件进行杀毒处理，同时应阻断计算机接入、交换机端口等。如发现防病毒软件无法清除病毒且无法隔离的，应立即启动如下措施：

   （一）迅速断开本机的网络连接并向网络安全员报告；

   （二）网络安全员接到病毒报告后及时赶到现场，确认无法查杀该病毒后，应作好相关记录，并立即报告局科技法制科；

   （三）局科技法制科接到病毒安全事件报告后，立即向局分管领导报告，情况严重的，应召开信息安全评估会议，启动应急预案快速处置。

第四章  移动存储介质安全

     第二十一条 可移动介质主要是指用于记录、存储、拷贝数据信息的移动硬盘、软盘、光盘、U盘、存储卡等磁、光及半导体介质载体。移动存储介质包括：软盘、光盘、磁盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒、xD卡及手机、相机、磁带等。

    第二十二条  局机关办公室、局属各单位应对可移动介质进行登记管理。登记信息应包含介质类型、重要程度、存放地点等内容。介质重要程度根据存储信息数据类型分为“工作秘密”、“内部公开”、“外部公开”三种类型。原则上只能使用由本单位（机关）统一派发的移动存储设备，禁止外来移动存储设备在内使用，确因工作需要须到指定专用计算机上使用。涉及敏感信息的移动存储介质应当存放在带锁的屏蔽文件柜中，对重要的数据信息还应做到异地存放，其他移动存储介质应存放在统一的位置。

局机关办公室、局属各单位对移动存储介质要定期（每年至少一次）进行检查盘点，随时掌握每个移动存储设备的工作状态。

     第二十三条  移动存储设备严禁外借，严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。移动存储介质存储的数据必须与密级相符，禁止通过移动存储介质将涉密信息拷贝在家用电脑或其他电脑上。职工离职离岗前，要将所保管的移动存储介质全部退回，备份其设备使用日志，并办理相关移交手续。如因工作等原因确需将移动介质带出本单位时，必须进行登记。

     第二十四条  移动介质的销毁必须经单位分管负责人同意后由文档管理员当众销毁，任何人不得自行销毁本单位的移动介质。

第五章  机房安全

     第二十五条  加强机房出入管理

   （一）所有外来人员进入机房必须填写机房进入申请单，经过单位分管负责人书面审批后方可进入；

   （二）进入人员由本单位网络安全员陪同，并登记“机房出入管理登记簿”；

   （三）机房工作人员严禁违章操作，严禁私自将外来软件带入机房使用，严禁在通电的情况下拆卸、移动计算机等设备或部件。

    第二十六条  加强机房环境管理

   （一）各种机器设备按维护计划定期进行保养，保持清洁光亮；

  （二）定期（每季度至少一次）检查机房消防设备器材，做好检查记录，不定期对空调系统运行的各项性能指标(如风量、湿度、洁净度、温度上升率等)进行检查并做好记录；

  （三）机房内严禁吸烟、喝水、吃东西、乱扔杂物，禁止放置易燃、易爆、腐蚀、强磁性物品，禁止将机房内的电源引出挪做他用，未经许可不得任意改动机房内机柜、设备；

  （四）进入机房工作的人员须在工作完成后及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。

    第二十七条  加强机房设备管理

   （一）实行机房设备清单式管理，完整登记保存相关设备的驱动程序、保修卡、合格证及重要随机文件；

  （二）路由器、交换机和服务器等网络设备，非机房专职人员不得自行配置或调试；

  （三）机房管理员和外包服务单位应严格保密网络安全所涉及的各种帐号，同时应对网络数据流量情况进行监控，从中检测出攻击行为并及时应对处理。

    第二十八条  加强机房设备运行维护管理

    （一）各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换须经单位分管负责人审批后进行，须进行详细登记，同时对各类软硬件、现场资料等进行存档。

    （二）禁止在服务器上随意安装软件或进行试验性质的软件调试，如需对服务器进行配置、维护，必须在单位分管负责人批准后进行。

第六章  信息资产安全

     第二十九条  局机关办公室、局属各单位对信息资产进行清单式管理，将每项资产的资产名称、资产类别、在用部门、IP地址、责任人等相关信息进行登记。

    第三十条  加强硬件资产的规范使用。所有硬件资产必须明确设备的使用人员、管理人员，硬件资产的使用人或管理人在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体毁坏或信息泄漏。对设备定期进行维护保养，发生毁坏、丢失等问题时及时处置。当设备迁移时，如果设备中存储有重要信息须事先进行备份；设备迁移完成后，须检查设备是否损坏；设备迁移出本单位时，禁止设备中存放重要信息，以防止信息泄露或增加泄露的风险。

     第三十一条  加强软件资产的规范使用。所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失、泄密；本单位开发的系统软件的源代码应进行备份管理；人员离职或岗位变动，须回收、卸载或删除有关软件。

第七章 责任

     第三十二条  对违反操作规范，造成计算机信息网络系统硬件损坏的，按实际损坏金额赔偿；造成系统数据损坏、丢失的，按实际修复所需费用赔偿；造成内部数据泄露、失密的，视其情节轻重予以处分。

     第三十三条  对不按本办法执行，造成不良影响的，依法追究相关人员责任。

      第三十四条  本办法由局科技法制科负责解释，并自印发之日起实施。