《黑龙江省广播电视网络安全管理制度.docx》由会员分享,可在线阅读,更多相关《黑龙江省广播电视网络安全管理制度.docx(11页珍藏版)》请在课桌文档上搜索。
1、黑龙江省广播电视网络安全管理制度第一章总则第一条为加强全省广播电视行业网络安全监督与管理, 落实网络安全责任,健全广播电视网络安全保障体系,根据 中华人民共和国网络安全法等法律法规和国家网络安全 等级保护制度、总局有关规定,制定本管理制度。第二条广播电视网络安全管理范围包括与广播电视采集、 制作、播出、媒资、集成、传输、覆盖、生产控制、生产管 理、业务调度、运营支撑、监测监管等生产业务相关的信息 系统;与新媒体(含交互式网络电视(IPTV)、互联网电视、 手机电视)集成播控平台、网络广播电视台等相关信息系统; 广播电视行业内政府网站、所属单位的机构网站以及与公网 连接的业务系统。第三条全省各级
2、广播电视行政管理部门及其直属单位 的网络安全监督、管理、防护工作;其他广播电视和网络视 听相关系统的网络安全监督、管理、防护工作,适用于本办 法。涉密信息系统的网络安全管理按照国家有关法律法规执 行。广播电视和网络视听内容网络安全管理按照有关规定执 行。第四条广播电视网络安全工作遵循“以安全保发展,以 发展促安全”的指导思想,坚持“谁主管谁负责、谁运行谁负 责”的原则。第五条黑龙江省广播电视局负责指导监督管理全省行 业网络安全工作,组织建立健全广播电视和网络视听网络安 全保障体系。县级广播电视行政管理部门负责指导监督管理 本行政区域内的广播电视网络安全,配合上级广播电视行政 管理部门开展有关工
3、作。各级广播电视监测监管机构(以下简称监测监管机构)在 本级广播电视行政管理部门的领导下,开展网络安全监测监 管工作。网络和信息系统运行使用单位(以下简称运营单位) 承担本单位网络安全主体责任,负责落实主管部门有关要求, 组织实施本单位网络安全工作。第六条各级广播电视行政管理部门、监测监管机构、运 营单位应当加强网络安全责任落实。领导班子主要负责人是 网络安全工作第一责任人,主管网络安全的领导班子成员是 直接责任人。各单位主要负责人应当加强本单位网络安全工 作的统筹管理,把网络安全工作纳入重要议事日程,包括建 立健全体制机制、编制完善制度预案,提供人财物保障,定 期听取汇报,解决重大问题等。第
4、二章监督管理第七条各级广播电视行政管理部门应设立本级网络安 全和信息化领导小组(以下简称“领导小组”),建立网络安全 监测、预警、通报、上报、例会、检查、应急处置等工作机 制。第八条领导小组每年应组织全体成员会议,每季度组织 召开专题会议,对近期网络安全形势进行通报分析,对重要 工作进行部署。第九条各级广播电视行政管理部门应每年至少检查一 次辖区内运营单位的网络安全责任制落实情况,并根据需要 组织专项检查、抽测抽查,对存在问题的单位,要严格责任 追究并督促整改。第十条各级广播电视行政管理部门应督促辖区内运营 单位落实国家和行业等级保护有关要求,了解并掌握辖区内 网络安全保护等级二级及以上信息系
5、统的定级、备案、测评 及整改情况。第十一条重要保障期前,各级广播电视行政管理部门应 组织技术力量,对辖区内重要网络和信息系统开展技术检测 和风险评估。第十二条各级广播电视行政管理部门应编制本级网络 安全事件应急预案,并根据预案建立工作机制,至少每年组 织一次应急演练。第十三条各级广播电视行政管理部门应每年组织网络 安全培训、检查、检测等,并将所需经费纳入年度预算。第十四条各级广播电视行政管理部门应建立协调联动 机制,加强同本级网信、公安等部门沟通协调,实时掌握本 辖区相关网络和信息系统的网络安全情况,以及最新网络安 全风险、威胁等。第十五条各级广播电视行政管理部门应建立网络安全 信息通报制度,
6、及时将发现的网络安全事件、风险、威胁等, 通知辖区内相关单位,根据需要发布预警、组织应急处置。第十六条各级广播电视行政管理部门应建立包含行业 内外网络安全领域相关专家组成的专家组,必要时对网络安 全趋势研判、事件处置、方案制定、专项规划、标准研究等 提供技术支持。第三章安全运行第十七条运营单位应当落实网络安全保护责任,履行安 全保护义务,包括建立完善本单位网络安全运行机制,设立专门的部门负责本单位网络安全工作的组织、协调、运行维护和对外联络,明确各网络和信息系统的网络安全责任主体。第十八条运营单位应加强网络和信息系统的安全管控, 采取有效措施防范网络攻击,包括但不限于:(一)严格控制机房和设备
7、间的进出访问,加强安全监控 和巡检,确保机房符合有关规定要求;(二)在不同网络间设置物理或逻辑隔离,按照最小权限 的原则对网络进行分区分域管理,实施严格的设备系统接入 和访问控制策略;(三)遵循最小授权、最小安装原则,加强对主机账号、口 令、应用、服务、端口的安全管理,定期开展漏洞扫描和恶 意代码检测,及时安装安全补丁,更新恶意代码库;(四)加强业务应用系统的用户管理、认证管理和审计管 理。三级及以上系统应当采用口令、密码技术、生物技术等 两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其 中一种鉴别技术至少应使用密码技术来实现;(五)采取技术措施监测、记录网络运行状态、网络行为和 网络安全
8、事件,并留存网络日志不少于六个月;(六)避免网站系统、后台管理系统相关页面和信息暴露 在互联网,严格管控门户网站信息的发布;(七)严格邮件系统用户注册审批和注销管理,严禁将工 作岖件自动转发至私人或境外邮箱,加强安全意识教育,避 免存在弱口令和访问钓鱼邮件;(八)明确终端安全的使用和管理责任,定期开展针对终 端的弱口令检查、病毒查杀、漏洞修补、操作行为管理和安 全审计等工作。第十九条运营单位应落实国家网络安全等级保护制度 和行业有关要求,并将网络和信息系统定级、备案、等级测评 及建设整改情况报相关部门备案。第二十条运营单位应遵循“同步规划、同步建设、同步 使用”的原则,新建网络和信息系统的网络
9、安全防护体系与主 体工程同时规划、建设、验收和使用。第二十一条新建信息化项目应根据拟定的安全保护等 级及与其他级别系统的关系进行整体安全规划和安全方案 设计,设计内容应包含密码技术相关内容,并形成配套文 件。第二十二条运营单位应组织相关部门和有关安全专家 对安全整体规划及其配套文件的合理性和正确性进行论证 和审定,三级及以上系统的安全整体规划及其配套文件应报 相关部门备案。第二十三条新建系统应在网络安全等级保护测评通过 后方可上线运行。上线运行后,应对系统的安全性和可能存在 的风险每年至少进行一次检测评估,发现问题及时整改。网 络广播电视台等连通互联网的网络和信息系统还应每年由 具备等级保护测
10、评资质的机构进行一次网络安全渗透测 试。第二十四条运营单位应建立包括业务、产品、服务的立 项、开发、测试、验收、上线、运行、检修、维护、合作、 外包、下线等环节在内的安全管理制度,确保产品、数据、 业务等安全。第二十五条运营单位应建立本单位的网络安全监测系 统,实时监测网络和信息系统的运行状态,对可能引发网络 安全事件的信息进行收集、分析和判断,发现异常情况及时 处置和报告。第二十六条运营单位应与属地公安机关及相关的安全 服务提供商、内容分发网络(CDN)服务提供商、互联网接入 服务提供商、网络服务提供商等建立联动机制,发生网络安 全事件时,各负其责,快速处置。第二十七条重要保障期前,运营单位
11、应根据行业网络安 全事件应急预案和本单位系统的实际情优,制定本单位网络 安全事件应急处置预案,并根据网络安全风险及业务变化及 时修订,定期组织开展应急演练。第二十八条发生网络安全事件时,相关单位应立即启动 预案,采取有效措施,阻止有害信息传播,降低系统损害程 度,尽快分析查找事件原因,对发现的问题及时进行整改。 如涉及攻击、破坏等违法犯罪,应尽可能保护好相关数据、 记录、资料和现场,于24小时内向当地公安机关报案,配合 调查取证,并按照相关要求立即报告同级广播电视行政管理 部门。第二十九条运营单位应配合广播电视行政管理部门建 立完善相关工作机制,为监测监管提供必要的数据接口,为 检查提供必要的
12、资料、场地,按要求及时报送相关工作情况、 数据报表、整改落实措施等。第三十条运营单位应当按照安全职责保障数据采集、传 输、存储、处理、交换、共享和销毁等数据全生命周期安全, 对广播电视和网络视听相关工程基础数据、重要资源数据等 重要数据进行容灾备份,对个人信息等敏感数据部署加密措 施,遵循合法、正当、必要的原则进行数据收集和使用。第三十一条运营单位应定期对全体人员进行网络安全 教育,对网络安全技术人员进行网络安全专业知识和技能培 训,定期考核,考核合格后方可上岗。第三十二条运营单位应将网络安全建设、运行维护、教 育培训、测评评估、监测预警、应急演练和处置等所需经费 纳入年度预算。财务管理部门应
13、优先安排该类经费,保证各 项工作顺利开展。第四章关键信息基础设施保护第三十三条关键信息基础设施运营单位负责本单位关 键信息基础设施的网络安全保护工作,领导班子主要负责人 是关键信息基础设施安全保护第一责任人,应当明确一名领 导班子成员作为首席网络安全官,分管关键信息基础设施的 网络安全保护工作。第三十四条关键信息基础设施运营单位应设置专门网 络安全管理机构,在首席网络安全官的领导下,落实广播电 视关键信息基础设施有关保护要求,组织制定安全保护方案 和管理制度,开展网络安全监测预警、风险评估、应急处置、 信息通报,组织全员网络安全教育培训及关键岗位人员专业 技术培训和考核。第三十五条关键信息基础
14、设施运营单位应当根据关键 信息基础设施法律法规和规范要求,在网络安全等级保护制 度基础上,对关键信息基础设施实行重点保护,加强必要的 网络安全管控措施。第三十六条关键信息基础设施运营单位应对本单位安 全性和可能存在的风险至少进行一次检测评估,同时梳理本 年度采购的网络产品和服务、云计算服务采购清单,形成本 单位关键信息基础设施安全状况进行分析形成报告,并将检 测评估情况、整改措施以及安全状况分析报告报相关部门备 案。第三十七条关键信息基础设施运营单位应当全面梳理 掌握本单位重要敏感数据,按照国家有关规定和标准要求, 采取访问控制、加密备份、行为审计等措施严格保护,并对 重要系统和数据库进行容灾
15、备份。严禁非法获取、出售或未 经授权向他人提供关键信息基础设施相关资料。第三十八条关键信息基础设施运营单位应建立健全涉 及关键信息基础设施的事件报告和应急处置机制,每年至少 组织一次针对关键信息基础设施的攻防演练,及时发现安全 隐患,提高突发网络安全事件应急处置能力。第五章责任追究第三十九条监督检查单位对检查发现的问题视严重程 度,提出限期整改、立即整改、下线整改等要求,并跟踪整 改落实情况。被检查单位应当评估、分析问题产生的原因, 采取修补漏洞、系统升级、部署防护措施、完善管理制度等 措施进行整改,并按要求反馈整改结果。第四十条各单位应当建立网络安全责任制考核制度,以 “务实、客观、公正”原则,完善健全考核机制,以网络安全 攻防演练、渗透测试、在线监测、信息通报和应急响应等方 面情况作为主要考核依据。第四十一条黑龙江省广播电视局负责健全省行业网络 安全奖惩和责任追究机制,对网络安全先进单位、部门和个 人给予通报表扬。对于造成网络安全事件和不良影响、违反 本规定的行为,以及监督检查中发现的重大安全隐患,根据 有关法律法规和网络安全工作责任制有关规定,判定责任单 位和责任人,启动问责程序,进行逐级追责。第六章附则第四十二条本制度自印发之日起实施