吕人社函﹝2024﹞35号

关于印发《吕梁市人力资源和社会保障局网络安全管理规范》的通知

各县（市、区）人力资源和社会保障局，各科室，各局属事业单位：

为深入贯彻落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》，有效保障我市人社系统网络安全，现将制定的《吕梁市人力资源和社会保障局网络安全管理规范》印发给你们，请认真贯彻执行。

吕梁市人力资源和社会保障局

2024年2月21日

吕梁市人力资源和社会保障局

网络安全管理规范

第一章总则

第一条为加强全市人力资源社会保障系统网络安全工作指导，保障网络和信息系统安全，规范操作流程和管理行为，降低安全风险，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国计算机信息系统安全保护条例》等国家有关法律、法规及指导性文件，制定本规范。

第二条　吕梁市人力资源和社会保障局网络安全工作遵循“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，实行统一领导、分级管理、定责到人。

第三条　本制度适用于吕梁人力资源和社会保障局非涉密　网络和信息系统的安全管理，涉密网络信息系统的安全管理应遵守国家保密部门的相关规定和标准。

第四条吕梁人力资源和社会保障局按照“同步规划、同步建设、同步运行”的原则，规划、设计、建设、运行、管理网络和信息系统基础设施，建立健全网络安全防护体系。

第五条　全面落实网络安全等级保护制度和关键信息基础设施安全防护要求，建立与网络和信息系统安全等级相适应的安全管理制度和技术防范措施，保障全市人力资源和社会保障网络安全。

第二章角色与职责

第六条　吕梁市人力资源和社会保障局社会保险中心（工伤中心）是全市人力资源和社会保障系统网络建设和安全管理的负责机构，负责网络和信息系统的建设、管理、运行、维护，主要职责如下：

（一）贯彻落实党中央、人社部和省委省政府、市委市政府有关网络安全和信息化工作的重大战略、决策、规划和工作要求，贯彻落实网络安全工作责任制相关工作要求。

（二）制定全市人社网络和信息系统的安全建设整体规划、　管理制度和技术体系框架，组织开展网络系统安全等级保护工作　和关键信息基础设施安全保护工作，监督、检查、指导安全管理制度和策略的执行。

（三）负责全市人社系统网络和信息系统的需求分析、方案设计、规划建设、测试、部署实施；负责开展网络和信息系统的安全检测和运维管理；督促检查各县（市、区）、各单位相关工作落实情况和任务完成情况。

（四）负责网络和信息系统的稳定运行和信息数据的安全保密工作，对第三方信息技术服务商承担的网络和信息系统维护等具体工作进行安全指导、跟踪、监督和协调。

（五）负责组织全市人社系统网络安全和信息化的宣传培训，制定网络安全和信息化策略，落实各项安全防护措施，排除各类安全隐患，及时处置安全事件，确保网络安全。

第七条　网络和信息系统使用部门依托信息化开展相关业　务，应与局社会保险中心（工伤中心）密切配合，共同保障网络和信息系统的安全稳定运行。主要职责如下：

（一）提出网络和信息系统的性能及安全需求，参与网络系统功能测试、性能测试和安全测试。

（二）按照网络和信息系统安全管理制度的要求，规范网络和信息系统使用行为。

（三）网络和信息系统的使用人员不准随意修改计算机配置、改动调整电缆连接线和所有网络设备，各种设备必须由管理员按操作规程正确操作使用。

（四）使用过程中发现问题，应及时与局社会保险中心（工伤中心）沟通解决。

第八条　局社会保险中心（工伤中心）设置网络管理员、安全管理员和网络审计员，负责网络和信息系统的安全运维管理。

第九条　网络管理员负责网络规划设计和运维管理，主要职责如下：

（一）配置管理：规划设备接入路径和方式，维护网络拓扑结构；负责网络设备和线路的安装部署、更新升级、设备启停、参数配置调整等工作。

（二）用户管理：负责所有参与网络和信息系统管理使用人员的网络身份凭据的创建、变更和撤销。

（三）运行管理：负责网络和信息系统的定期巡检、运行监测、系统备份和异常处理，定期编制网络运行报告。

第十条　安全管理员负责对网络和信息系统安全风险进行控制，对运维管理的规范性和安全性进行监督，主要职责如下：

（一）策略管理：制定并完善安全策略，检查安全策略的符合性和有效性。

（二）权限管理：制定统一权限控制策略，对网络管理员创建的身份凭据进行权限的赋予、变更和撤销。

（三）安全维护：监测安全状态，负责网络和信息系统的漏洞扫描、修补和安全加固，严格落实网络和信息系统相关的安全管理制度。

第十一条　网络审计员对网络管理员和安全管理员的操作日　志和网络用户的访问日志进行审计，对网络访问合规性进行监督，评估网络安全策略的效力。

第三章网络基础设施管理

第十二条　服务器和终端均应安装正版软件，其中杀毒软件　必须定期升级更新，安全管理员定期对服务器查杀病毒，网络用　户定期对终端查杀病毒。不得随意在接入内网的服务器和终端上　安装应用软件，因业务需要确需安装的，应先进行安全测试后再进行安装。

第十三条　需要远程管理服务器、网络设备、安全设备和终　端时，应采取安全的远程管理协议，禁止使用　telnet等明文传送协议，应对允许远程登录系统的　IP　范围进行限制。

第十四条　服务器、网络设备、安全设备的账户应按照用户　分配，根据管理人员的不同身份设定不同的账户和账户组，做到账户和人员一一对应，实现设备特权用户权限分离。

第十五条　服务器、网络设备、安全设备、数据库、中间件、　系统操作等均应启用日志功能，记录账户创建、删除、权限修改　和口令修改等操作，保留不少于6个月的日志，重要服务器日志应建立日志备份机制。

第十六条　服务器、网络设备、安全设备、数据库、中间件、　操作系统等凡是涉及账户口令的，口令长度应大于10位，字符　类型大于3种。账户口令每3个月更换一次，重要设备账户口令应每月更换，不同设备不应使用相同的口令。

第四章网络接入管理

第十七条　接入网络应遵循“统一出口、统一管理”的规定，　服务器、网络设备、安全设备、终端等未经许可不得随意私自接入网络。

第十八条　服务器、终端接入网络前应由责任人填写《计算　机入网申请表》，网络管理员审核通过后为其分配IP　地址和访问权限，对其完成漏洞修复、病毒查杀和安全加固后接入网络。

第十九条　网络用户不得将自己的网络身份共享给其他人，包括但不限于　IP　地址、数字证书和用户账户。

第二十条　网络用户设备为日常工作使用，严禁将网络用户　设备做工作以外的任何用途。严禁从因特网下载非法程序，严禁私自使用代理、端口扫描程序。

第五章网络访问控制管理

第二十一条　根据访问对象和安全需求的不同，人社系统网　络主要分为业务专网和公众服务网，业务专网和公众服务网应物理隔离。

第二十二条　应在网络互连边界部署防火墙、入侵检测防　护、网络监控和审计等防护系统。接入互联网的电脑／终端必须经过许可，并且安装防病毒、防火墙等安全防护软件。

第二十三条　重要业务系统区域应部署数据库访问控制和审计系统。

第二十四条　根据网络使用部门和终端用户的业务内容和　身份，按照最小授权原则，严格网络访问权限设定和身份鉴别管理，控制信息访问范围。

第六章网络日常运维管理

第二十五条　局社会保险中心（工伤中心）通过定期巡检、实时监测、异常处理和问题收集等多种方式确保网络和信息系统运行安全。

（一）按月巡检网络和信息系统运行情况，包括网络服务可用性检查、设备状态和线路负载情况检查等。

（二）建立网络和信息系统正常运行的指标体系，实时监测　网络系统的运行状态，包括设备电源状态、设备　CPU　和内存使用率、端口状态、链路状态、数据吞吐量等。

（三）网络和信息系统运行中出现的硬件损坏、线路中断和　网络访问不可用等情况统称为网络系统故障，网络管理员应及时　处理网络系统故障或给出处理意见，并详细记录故障发生和持续时间、故障原因、处理过程等信息。

（四）网络管理员应跟踪收集网络和信息系统运行过程中发现的风险和漏洞，分析原因并评估其严重性，进行优化和修复；每季度至少进行一次漏洞扫描，对漏洞风险持续跟踪，在经过充　分的验证测试后对必要的漏洞开展修补工作，漏洞扫描或漏洞修补后应进行验证测试，以保证网络和系统的正常运行。

（五）网络维护服务商应在服务期内及时为设备、服务器、　终端等安装操作系统、数据库、中间件等第三方软件的安全补丁，　在安全补丁安装前完成兼容性测试，确保系统不出现高风险漏洞。

第二十六条　局社会保险中心（工伤中心）定期对网络和信息系统相关的访问日志进行审计，分析网络系统改进需求和安全事件发生的可能性，并形成审计报告。

（一）每月对网络和信息系统的安全策略、用户权限以及参数设置等进行审核监督。

（二）检查各类管理人员的操作记录，对操作行为进行安全性分析，发现安全问题及时处理。

（三）审计日志至少保留六个月。

第二十七条　局社会保险中心（工伤中心）定期组织开展等保测评、风险评估等安全测评，对影响网络安全的各种因素进行评估，分析安全措施　的有效性，提出漏洞修补方案并督促整改；定期或不定期组织开　展安全检查，对网络系统安全配置、用户权限设置与安全策略的符合性进行检查，保证网络系统安全防护的有效性。

第二十八条　局社会保险中心（工伤中心）定期对网络设备、安全设备的配置文件进行备份，配置文件变更时应进行备份。配置备份文件应妥善保管，防止非授权访问。

第七章人员安全管理

第二十九条　从事安全岗位的人员，应签署安全保密协议至少包括安全保密义务、违约责任、协议的有效期限和责任人签字等内容。

第三十条　应每年对安全岗位人员进行安全教育和培训，保　存安全教育和培训记录，详细记录培训人员、培训内容、培训结果等内容。

第三十一条　应每年对安全岗位的人员进行一次考核，详细记录考核内容、考核时间、考核结果。

第三十二条　应每年组织对安全岗位人员进行一次安全审　查（如：人员背景审查），对关键岗位人员应有特殊的审查内容　（如：无犯罪行为审查），保存人员安全审查记录，详细记录审查内容和审查结果等内容。如发现其违反规定，应查明原因，令其做出整改承诺；严重者不得继续从事安全岗位工作。

第三十三条　加强人员离岗、离职管理，严格规范人员离岗、　离职过程，收回所发工作证件、钥匙、徽章等以及单位提供的软硬件设备，及时终止离岗人员的所有访问权限，访问权限至少包括物理访问权限、网络设备访问权限、操作系统访问权限、数据　库访问权限、应用系统访问权限、用户终端访问权限等，并签署安全保密承诺书。

第三十四条　应建立外部人员访问机房、业务生产区等重要　区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。

第八章介质安全管理

第三十五条　存储介质是指存储数据的载体，主要包括硬　盘、存储阵列、磁带库等不可移动存储介质，以及移动硬盘、U盘等可移动存储介质。介质管理应遵循“统一购买、统一标识、登记入册、集中管理、责任到人”的原则。

第三十六条　存储阵列、磁带库等大容量介质应托管在数据　中心机房，由局社会保险中心（工伤中心）统一运行维护和管理，并采取必要技术措　施防范数据泄漏风险，确保存储数据安全。介质存放场所必须满足防火、防水、防潮、防磁、防盗等要求。

第三十七条　非涉密移动存储介质不得用于存储涉密信息，不得在涉密计算机上使用。

第三十八条　应记录介质领用、交回、维修、报废、损毁等情况。人员离职离岗前，要将所保管的介质全部退回，备份其设备使用日志，并办理相关移交手续。

第三十九条　移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。

第四十条　介质不得降低重要程度使用，严禁将介质进行重新格式化或删除信息等方式后，作为普通存储介质使用

第四十一条　介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。

第四十二条当介质损坏时不得擅自拆卸，应立即交回局社会保险中心（工伤中心）统一处理，严禁将损坏介质出售或随意丢弃。

第四十三条　重要信息的介质，未经批准，严禁擅自销毁否则追究其个人责任。介质的报废或销毁应采用技术手段确保消除的敏感信息无法还原。

第九章备份安全管理

第四十四条　备份管理工作应由局社会保险中心（工伤中心）安排专人负责制订备份、恢复策略，组织实施备份、恢复操作，指导备份介质的　取放、更换和登记工作。日常备份操作可由备份管理人员或机房值班人员完成。

第四十五条　备份方式说明：

（一）备份方法可以分为完全备份、增量备份和差异备份，应根据实际需要选择适当的备份方式并明确备份计划。

（二）根据备份时间周期，可以分为定期备份和临时备份，可根据实际情况进行选择。

（三）除数据库归档日志文件、输出文件采用增量备份方式外，其他文件应采用完全备份的方式。

第四十六条　备份频率说明：

（一）网络设备、安全设备配置、业务数据每月备份一次；

（二）数据被大规模更新前后，须立即对数据进行备份；

（三）应用系统发生修改或重大改变前后，须立即对系统和数据进行备份并保留最新的版本。

第四十七条　备份实施人员负责每日进行数据库归档日志　备份，每周对重要数据文件、应用软件版本新增进行备份工作。　数据库变更操作的发生前后必须备份完整的数据库数据文件和数据库程序文件。

第四十八条　备份实施人员负责每月对网络设备、安全设备　的配置信息和运行所产生的日志文件进行备份。当网络设备和安　全设备配置信息发生变更时，及时执行设备配置信息备份操作并承担网络设备和安全设备的恢复工作。

第四十九条　备份实施人员负责每日检查业务系统日志、操　作系统日志、数据库日志、应用日志的产生和保存，每周对保存的日志进行备份。

第五十条　一旦发生数据丢失、数据破坏、网络病毒攻击等　情况，必须进行备份数据的恢复，并详细记录具体情况，以免造成不必要的麻烦或更大的损失。

第五十一条　局社会保险中心（工伤中心）每年应至少组织开展一次恢复性测试，编写《恢复性测试报告》。恢复性测试应不影响信息系统正式运行环境的正常运行。

第五十二条　备份操作人员应根据日常备份的工作量提前估算备份需要的空间，避免存储服务器容量不足的情况发生。

第五十三条　存有备份数据的备份介质应贴好标签，写明：

（一）备份介质编号；

（二）备份介质有效期截止日；

（三）备份日期；

（四）备份操作人员；

（五）备份环境名称；

（六）备份内容；

（七）备份用途；

（八）备份数据保存时间。

第五十四条　备份介质要每半年进行检查，以确认介质能否　继续使用、备份内容是否正确。　一旦发现介质损坏，应立即更换，　并对损坏介质进行销毁处理。需要长期保存的数据，应在介质有效期内进行转存，防止存储介质过期失效。

第十章附则

第五十五条　本规范由吕梁人力资源和社会保障局网络安全和信息化领导小组办公室负责解释。

第五十六条　本规范自印发之日起施行。