北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理辦法

　　《北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定》已經(jīng)2005年11月9日市人民政府第45次常務會議審議通過,自2006年1月1日起施行。下文是北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定，歡迎閱讀!

　　北京市公共服務網(wǎng)絡與信息系統(tǒng)安全管理規(guī)定

　　第一條為加強本市公共服務網(wǎng)絡與信息系統(tǒng)(以下簡稱網(wǎng)絡與信息系統(tǒng))的安全管理，根據(jù)國家有關規(guī)定，結合本市實際情況，制定本規(guī)定。

　　第二條本市網(wǎng)絡與信息系統(tǒng)的建設和運行維護單位(以下簡稱運營單位)應當做好網(wǎng)絡與信息系統(tǒng)安全工作，保障網(wǎng)絡與信息系統(tǒng)安全可靠運營。

　　本規(guī)定所稱公共服務網(wǎng)絡與信息系統(tǒng)，是指由本市行政機關和企事業(yè)單位為社會提供的政務、交通、醫(yī)療衛(wèi)生、供水、供電、供氣、供熱、通信、廣播電視以及其他公共服務的網(wǎng)絡與信息系統(tǒng)。

　　第三條市和區(qū)、縣信息化主管部門對本行政區(qū)域內(nèi)的網(wǎng)絡與信息系統(tǒng)安全工作負責綜合協(xié)調(diào)和監(jiān)督管理。

　　公安、國家安全和質(zhì)量技術監(jiān)督等政府有關部門，按照各自職責分工，依法對網(wǎng)絡與信息系統(tǒng)安全相關工作實施監(jiān)督管理。

　　第四條運營單位應當加強對本單位網(wǎng)絡與信息系統(tǒng)的安全管理，做好下列工作：

　　(一)明確網(wǎng)絡與信息系統(tǒng)安全工作的主管負責人和主管機構，并配備具有相應能力的工作人員;

　　(二)建立健全網(wǎng)絡與信息系統(tǒng)安全管理責任制，制定管理制度和操作規(guī)程，并定期檢查落實情況;

　　(三)保障網(wǎng)絡與信息系統(tǒng)安全的資金投入;

　　(四)定期進行網(wǎng)絡與信息系統(tǒng)安全教育和培訓。

　　第五條市信息化主管部門應當會同政府有關部門統(tǒng)一規(guī)劃和組織建設本市網(wǎng)絡與信息系統(tǒng)的安全測評、電子認證、災難備份和應急處理等安全基礎設施。

　　第六條本市對網(wǎng)絡與信息系統(tǒng)實行安全等級保護。

　　網(wǎng)絡與信息系統(tǒng)安全等級分為五級：

　　(一)第一級為自主保護級，由運營單位進行自主保護;

　　(二)第二級為指導保護級，由運營單位在有關主管部門的指導下進行保護;

　　(三)第三級為監(jiān)督保護級，由運營單位在備案監(jiān)督部門的監(jiān)督下進行保護;

　　(四)第四級為強制保護級，由運營單位在備案監(jiān)督部門的強制下進行保護;

　　(五)第五級為專控保護級，由運營單位在備案監(jiān)督部門的專控下進行保護。

　　第七條運營單位應當按照安全等級保護制度的管理規(guī)范和技術標準確定本單位網(wǎng)絡與信息系統(tǒng)的安全等級，并根據(jù)安全等級保護制度的要求進行建設。

　　網(wǎng)絡與信息系統(tǒng)安全等級確定為第三級、第四級、第五級的，運營單位應當將安全等級確定情況報送備案。其中，涉及電子政務的網(wǎng)絡與信息系統(tǒng)運營單位，應當報市信息化主管部門備案;其他的運營單位應當報市公安部門備案。

　　市信息化主管部門、市公安部門應當在30日內(nèi)對備案單位的網(wǎng)絡與信息系統(tǒng)安全等級確定情況進行評估，并提出審查意見。

　　第八條運營單位選用網(wǎng)絡與信息系統(tǒng)相關安全產(chǎn)品或者選擇安全測評、電子認證等服務時，應當符合國家和本市有關網(wǎng)絡與信息系統(tǒng)安全管理的技術規(guī)范。

　　使用財政資金投資建設的網(wǎng)絡與信息系統(tǒng)選用安全產(chǎn)品和服務時，應當依法實行政府采購。

　　第九條運營單位應當依據(jù)網(wǎng)絡與信息系統(tǒng)安全管理要求，對信息系統(tǒng)和信息數(shù)據(jù)進行備份。

　　第十條運營單位應當制定網(wǎng)絡與信息系統(tǒng)安全事件應急預案，并定期進行演練。

　　市和區(qū)、縣人民政府有關行政主管部門應當組織制定相關行業(yè)的網(wǎng)絡與信息系統(tǒng)安全事件應急預案，組織、協(xié)調(diào)有關單位做好應急預案的落實工作。

　　第十一條發(fā)生網(wǎng)絡與信息系統(tǒng)安全事件后，運營單位應當迅速采取措施降低損害程度，防止事件擴大，保存相關記錄，并按規(guī)定要求及時向同級信息化主管部門報告。

　　第十二條本市組建信息安全應急救援服務體系，為發(fā)生信息安全事件的單位提供救援服務。信息安全應急救援服務組織應當公布救援電話，在接到救援請求時，及時提供救援服務。

　　第十三條運營單位違反本規(guī)定，有下列情形之一的，由市或者區(qū)、縣信息化主管部門責令限期改正，給予警告，視情節(jié)輕重處3萬元以下罰款：

　　(一)違反本規(guī)定第四條規(guī)定，未按要求建立并落實安全管理制度的;

　　(二)違反本規(guī)定第九條規(guī)定，未按要求對信息系統(tǒng)和信息數(shù)據(jù)進行備份的;

　　(三)違反本規(guī)定第十條第一款規(guī)定，未按要求制定網(wǎng)絡與信息系統(tǒng)安全事件應急預案的;

　　(四)違反本規(guī)定第十一條規(guī)定，對網(wǎng)絡與信息系統(tǒng)安全事件情況隱瞞不報、謊報或者拖延不報的。

　　行政機關違反前款規(guī)定的，市或者區(qū)、縣信息化主管部門可以對責任單位給予通報批評;造成重大損失的，由上級主管部門或者監(jiān)察機關依法追究責任單位主要負責人和有關責任人員的行政責任。

　　第十四條對于有危害公共安全、國家安全、泄露國家秘密以及其他違反法律、法規(guī)和規(guī)章規(guī)定行為的，由公安、國家安全、保密以及其他監(jiān)督管理部門依法處理;構成犯罪的，依法追究刑事責任。

　　第十五條國家和本市對涉及國家秘密、國家安全的網(wǎng)絡與信息系統(tǒng)有特殊規(guī)定的，從其規(guī)定。

　　第十六條本規(guī)定自2006年1月1日起施行。

　　網(wǎng)絡安全體系

　　與其它安全體系(如保安系統(tǒng))類似，企業(yè)應用系統(tǒng)的安全體系應包含：

　　訪問控制：通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。

　　檢查安全漏洞：通過對 安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。

　　攻擊監(jiān)控：通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應的行動(如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等)。

　　加密通訊 ：主動的加密通訊，可使攻擊者不能了解、修改 敏感信息。

　　認證：良好的認證體系可防止攻擊者假冒合法用戶。

　　備份和恢復：良好的 備份和 恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和 系統(tǒng)服務。

　　多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

　　隱藏 內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。

　　設立安全監(jiān)控中心，為 信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護及緊急情況服務。

猜您感興趣：

1.系統(tǒng)安全管理知識

2.淺談計算機網(wǎng)絡信息系統(tǒng)安全問題的分析與對策論文

3.網(wǎng)絡與信息安全

4.網(wǎng)絡與信息安全培訓工作開展情況總結

5.網(wǎng)絡與信息安全培訓資料

6.2017網(wǎng)絡產(chǎn)品和服務安全審查辦法全文