機關(guān)單位信息安全規(guī)范實施細則第一章總則第一條目的依據(jù)為保障機關(guān)單位信息系統(tǒng)安全穩(wěn)定運行，保護國家秘密、工作秘密和公民個人信息安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國保守國家秘密法》等法律法規(guī)，結(jié)合機關(guān)單位實際，制定本細則。第二條適用范圍本細則適用于各級黨政機關(guān)、事業(yè)單位（以下簡稱“單位”）的信息安全管理工作。第三條基本原則（一）誰主管誰負責、誰運行誰負責：單位主要負責人對本單位信息安全工作全面負責，各部門負責人對本部門信息安全工作負責，工作人員對本職崗位信息安全工作負責。（二）分級分類、精準防護：根據(jù)信息資產(chǎn)的敏感程度、重要程度，實行分級分類管理，采取相應(yīng)的防護措施。（三）技術(shù)管理并重、人防技防結(jié)合：既要加強技術(shù)防護手段建設(shè)，又要強化人員管理和制度建設(shè)，形成全方位的安全保障體系。（四）預(yù)防為主、應(yīng)急處置結(jié)合：堅持預(yù)防為主，加強日常監(jiān)測和隱患排查，同時制定應(yīng)急預(yù)案，提高應(yīng)急處置能力。第二章組織管理第四條責任主體單位主要負責人是本單位信息安全第一責任人，負責統(tǒng)籌協(xié)調(diào)本單位信息安全工作，研究解決信息安全重大問題；分管信息工作的負責人是直接責任人，負責具體組織實施本單位信息安全工作；各部門負責人是本部門信息安全責任人，負責本部門信息安全日常管理。第五條機構(gòu)設(shè)置單位應(yīng)設(shè)立信息安全工作領(lǐng)導(dǎo)小組，由主要負責人任組長，分管負責人任副組長，各部門負責人為成員。領(lǐng)導(dǎo)小組職責包括：統(tǒng)籌協(xié)調(diào)本單位信息安全工作；研究制定信息安全政策和制度；解決信息安全重大問題。領(lǐng)導(dǎo)小組下設(shè)辦公室（以下簡稱“信息安全辦”），設(shè)在信息技術(shù)部門，負責日常工作的組織實施。信息技術(shù)部門應(yīng)配備專職信息安全管理人員，負責信息系統(tǒng)的安全運行、維護和管理。第六條制度建設(shè)單位應(yīng)制定完善的信息安全管理制度，包括但不限于：（一）信息安全責任制；（二）信息資產(chǎn)管理制度；（三）網(wǎng)絡(luò)安全管理制度；（四）終端安全管理制度；（五）應(yīng)用系統(tǒng)安全管理制度；（六）數(shù)據(jù)安全管理制度；（七）應(yīng)急管理制度；（八）人員安全管理制度。制度應(yīng)定期修訂（每1-2年一次），適應(yīng)信息安全形勢變化和工作需要。第三章人員安全管理第七條人員錄用單位錄用工作人員時，應(yīng)對其進行背景審查，特別是涉及敏感崗位的人員（如信息系統(tǒng)管理員、數(shù)據(jù)管理員、保密工作人員等），應(yīng)審查以下內(nèi)容：（一）政治面貌；（二）過往工作經(jīng)歷；（三）信用記錄；（四）是否有信息安全違規(guī)記錄。背景審查不合格的，不得錄用。第八條教育培訓(xùn)單位應(yīng)定期開展信息安全教育培訓(xùn)，包括崗前培訓(xùn)和在崗培訓(xùn)：（一）培訓(xùn)內(nèi)容：信息安全法律法規(guī)、本單位信息安全制度、信息安全常識（如密碼管理、釣魚郵件識別、惡意軟件防范等）、應(yīng)急處置流程等；（二）培訓(xùn)頻率：崗前培訓(xùn)應(yīng)覆蓋所有新錄用人員，在崗培訓(xùn)每年至少1次；（三）考核要求：培訓(xùn)應(yīng)考核合格，方可上崗或繼續(xù)工作。第九條離崗管理工作人員離崗（包括辭職、退休、調(diào)崗等）時，應(yīng)辦理信息安全交接手續(xù)，具體包括：（一）收回其使用的信息設(shè)備（如電腦、手機、U盤等）；（二）注銷其信息系統(tǒng)賬號和權(quán)限；（三）銷毀其掌握的敏感信息（如紙質(zhì)文件、電子文檔等）；（四）簽訂離崗保密協(xié)議。離崗手續(xù)未辦理完畢的，不得辦理離崗手續(xù)。第十條責任追究對違反本細則規(guī)定的工作人員，應(yīng)根據(jù)情節(jié)輕重，給予以下處分：（一）情節(jié)較輕的，給予批評教育、警告；（二）情節(jié)較重的，給予記過、降薪、撤職；（三）構(gòu)成犯罪的，依法追究刑事責任。對因信息安全工作不力造成重大損失的部門負責人和單位負責人，應(yīng)依法追究責任。第四章信息資產(chǎn)安全管理第十一條資產(chǎn)分類登記單位應(yīng)建立信息資產(chǎn)臺賬，對信息資產(chǎn)進行分類登記。信息資產(chǎn)包括：（一）數(shù)據(jù)資產(chǎn)：公文、報表、數(shù)據(jù)庫、電子文檔等；（二）硬件資產(chǎn)：服務(wù)器、電腦、路由器、交換機、存儲設(shè)備等；（三）軟件資產(chǎn)：操作系統(tǒng)、辦公軟件、業(yè)務(wù)應(yīng)用系統(tǒng)、殺毒軟件等；（四）其他資產(chǎn)：信息安全管理制度、應(yīng)急預(yù)案、培訓(xùn)資料等。臺賬應(yīng)包括資產(chǎn)名稱、類別、數(shù)量、位置、責任人、使用狀態(tài)等信息，定期更新（每季度至少1次）。第十二條硬件資產(chǎn)防護（一）服務(wù)器機房：應(yīng)設(shè)置在安全區(qū)域，安裝門禁系統(tǒng)、監(jiān)控系統(tǒng)、消防系統(tǒng)、溫濕度控制系統(tǒng)，實行雙人雙崗值班制度，禁止無關(guān)人員進入；（二）辦公設(shè)備：電腦、手機等應(yīng)粘貼資產(chǎn)標簽，明確責任人，禁止私自拆卸或改裝；（三）移動設(shè)備：U盤、移動硬盤等應(yīng)嚴格管理，禁止未經(jīng)審批的移動設(shè)備接入單位信息系統(tǒng)。第十三條軟件資產(chǎn)管控（一）使用正版軟件，禁止使用盜版軟件；（二）定期更新軟件補?。吭轮辽?次），修復(fù)安全漏洞；（三）對業(yè)務(wù)應(yīng)用系統(tǒng)進行安全評估（每年至少1次），確保符合信息安全標準；（四）禁止私自安裝未經(jīng)審批的軟件。第五章網(wǎng)絡(luò)與技術(shù)防護第十四條網(wǎng)絡(luò)邊界防護（一）網(wǎng)絡(luò)分區(qū)：將網(wǎng)絡(luò)劃分為辦公網(wǎng)、業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)等區(qū)域，實行物理或邏輯隔離；（二）安全設(shè)備：在網(wǎng)絡(luò)邊界部署防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、防病毒網(wǎng)關(guān)等，監(jiān)控網(wǎng)絡(luò)流量，防止外部攻擊；（三）訪問控制：禁止辦公網(wǎng)與互聯(lián)網(wǎng)直接連接，如需連接，應(yīng)通過VPN等安全方式；禁止外部人員訪問內(nèi)部網(wǎng)絡(luò)，禁止內(nèi)部人員訪問非法網(wǎng)站。第十五條終端安全管理（一）安全配置：終端設(shè)備應(yīng)安裝殺毒軟件和防火墻，啟用密碼保護（密碼包含大小寫字母、數(shù)字和特殊字符），定期更換密碼（每3個月至少1次）；（三）加密存儲：敏感數(shù)據(jù)終端應(yīng)采用加密存儲（如BitLocker、FileVault等），防止設(shè)備丟失后數(shù)據(jù)泄露；（四）安全檢查：定期對終端設(shè)備進行安全檢查（每月至少1次），及時發(fā)現(xiàn)和修復(fù)安全隱患。第十六條應(yīng)用系統(tǒng)安全（一）權(quán)限管理：實行權(quán)限分級管理，根據(jù)用戶角色分配相應(yīng)的訪問權(quán)限，遵循“最小授權(quán)”原則；（二）身份認證：采用多因素認證（如密碼+短信驗證、密碼+U盾等），確保用戶身份真實；（三）漏洞修復(fù)：定期對應(yīng)用系統(tǒng)進行漏洞掃描（每季度至少1次）和滲透測試（每年至少1次），及時修復(fù)安全漏洞；（四）數(shù)據(jù)加密：應(yīng)用系統(tǒng)中的數(shù)據(jù)應(yīng)采用加密存儲和傳輸（如AES加密、SSL/TLS協(xié)議）；（五）日志審計：記錄應(yīng)用系統(tǒng)的訪問日志，定期審計（每月至少1次），發(fā)現(xiàn)異常行為及時處理。第十七條云服務(wù)安全（一）服務(wù)商選擇：選擇符合國家信息安全標準的云服務(wù)提供商，簽訂安全協(xié)議，明確雙方安全責任；（二）數(shù)據(jù)加密：云服務(wù)中的數(shù)據(jù)應(yīng)采用加密存儲和傳輸；（三）數(shù)據(jù)備份：定期備份云服務(wù)中的數(shù)據(jù)（每周至少1次），存儲在異地或離線介質(zhì)中；（四）訪問監(jiān)控：監(jiān)控云服務(wù)的訪問情況，及時發(fā)現(xiàn)和阻止非法訪問；（五）安全評估：對云服務(wù)進行安全評估（每年至少1次），確保符合本單位信息安全要求。第六章數(shù)據(jù)安全管理第十八條數(shù)據(jù)分類分級單位應(yīng)根據(jù)數(shù)據(jù)的敏感程度和重要程度，將數(shù)據(jù)分為以下幾級：（一）公開數(shù)據(jù)：單位簡介、公開公告、法律法規(guī)等，可向社會公開；（三）敏感數(shù)據(jù)：個人信息（姓名、電話號碼、住址等）、工作秘密（未公開的工作計劃、決策方案等），需嚴格限制訪問；（四）機密數(shù)據(jù)：國家秘密、涉及國家安全的信息等，按照《保守國家秘密法》規(guī)定管理。單位應(yīng)制定數(shù)據(jù)分類分級清單，明確每類數(shù)據(jù)的級別、責任人、存儲位置、訪問權(quán)限等。第十九條數(shù)據(jù)采集與處理（一）采集原則：符合合法、正當、必要的原則，明確采集目的、范圍，取得數(shù)據(jù)主體同意（如個人信息）；（二）處理要求：遵循最小化原則，不得超出采集目的范圍處理數(shù)據(jù)；（三）審批流程：敏感數(shù)據(jù)的采集和處理應(yīng)經(jīng)單位負責人審批。第二十條數(shù)據(jù)存儲與備份（一）存儲要求：數(shù)據(jù)應(yīng)存儲在加密設(shè)備或介質(zhì)中（如加密服務(wù)器、加密硬盤），敏感數(shù)據(jù)采用加密存儲；（二）備份策略：定期對數(shù)據(jù)進行備份（每周至少1次），備份數(shù)據(jù)存儲在異地或離線介質(zhì)中，防止數(shù)據(jù)丟失；（三）驗證機制：定期驗證備份數(shù)據(jù)（每月至少1次），確?？苫謴?fù)。第二十一條數(shù)據(jù)傳輸與共享（一）傳輸安全：數(shù)據(jù)傳輸采用加密方式（如SSL/TLS協(xié)議、VPN），防止數(shù)據(jù)被竊取或篡改；（二）共享原則：遵循“按需共享、最小授權(quán)”原則，明確共享范圍、方式和責任；（三）審批流程：敏感數(shù)據(jù)的共享應(yīng)經(jīng)單位負責人審批，并簽訂數(shù)據(jù)共享協(xié)議，明確雙方安全責任。第二十二條數(shù)據(jù)銷毀與痕跡管理（一）銷毀方式：數(shù)據(jù)銷毀采用徹底方式，如物理銷毀（粉碎、焚燒）、電子銷毀（格式化、擦除、加密覆蓋），確保數(shù)據(jù)無法恢復(fù)；（二）審批流程：敏感數(shù)據(jù)的銷毀應(yīng)經(jīng)單位負責人審批；（三）痕跡管理：對數(shù)據(jù)的操作（采集、存儲、傳輸、使用、共享、銷毀等）應(yīng)記錄日志，日志保留至少6個月，以便審計和追溯。第六章應(yīng)急管理第二十三條應(yīng)急預(yù)案制定單位應(yīng)制定信息安全事件應(yīng)急預(yù)案，明確以下內(nèi)容：（一）事件分類：網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、系統(tǒng)故障、自然災(zāi)害等；（二）應(yīng)急流程：事件報告、事件研判、事件處置、事件總結(jié)；（三）責任分工：應(yīng)急領(lǐng)導(dǎo)小組、信息安全辦、技術(shù)處置組、后勤保障組、宣傳組等；（四）應(yīng)急措施：隔離受感染系統(tǒng)、恢復(fù)備份數(shù)據(jù)、通知相關(guān)人員、上報上級部門等。應(yīng)急預(yù)案應(yīng)定期修訂（每1-2年一次），適應(yīng)信息安全形勢變化。第二十四條應(yīng)急演練單位應(yīng)定期開展應(yīng)急演練（每年至少1次），模擬真實信息安全事件（如釣魚郵件攻擊、服務(wù)器被入侵、數(shù)據(jù)泄露等），檢驗應(yīng)急預(yù)案的有效性和應(yīng)急處置能力。演練應(yīng)記錄演練時間、內(nèi)容、參與人員、處置結(jié)果等，對演練效果進行評估，提出改進意見。第二十五條事件處置發(fā)生信息安全事件時，應(yīng)立即啟動應(yīng)急預(yù)案，采取以下措施：（一）停止擴散：立即停止受影響的系統(tǒng)或服務(wù)，防止事件擴大；（二）收集信息：收集事件發(fā)生時間、地點、原因、影響范圍等信息；（三）處置措施：采取隔離系統(tǒng)、修復(fù)漏洞、恢復(fù)數(shù)據(jù)等措施；（四）報告上級：及時向上級部門和監(jiān)管機構(gòu)（網(wǎng)信部門、保密部門、公安部門等）報告事件情況；（五）配合調(diào)查：配合上級部門和監(jiān)管機構(gòu)的調(diào)查處理。第二十六條事后評估事件處置結(jié)束后，應(yīng)及時開展事后評估，分析事件原因（制度漏洞、技術(shù)缺陷、人員失誤等），總結(jié)處置經(jīng)驗教訓(xùn)，提出改進措施（完善制度、升級技術(shù)、加強培訓(xùn)等）。評估報告應(yīng)報單位負責人和上級部門，作為修訂應(yīng)急預(yù)案和改進信息安全工作的依據(jù)。第七章監(jiān)督與考核第二十七條內(nèi)部監(jiān)督檢查單位應(yīng)定期開展信息安全內(nèi)部檢查（每年至少2次），檢查內(nèi)容包括：（一）信息安全制度執(zhí)行情況；（二）信息資產(chǎn)管情況；（三）網(wǎng)絡(luò)與技術(shù)防護落實情況；（四）數(shù)據(jù)安全管理情況；（五）應(yīng)急管理準備情況；（六）人員安全管理情況。檢查應(yīng)形成檢查報告，指出問題和隱患，提出整改意見，督促相關(guān)部門整改落實。第二十八條外部監(jiān)督配合單位應(yīng)接受上級部門、監(jiān)管機構(gòu)（網(wǎng)信部門、保密部門、公安部門等）的信息安全檢查和監(jiān)督，如實提供相關(guān)資料和情況，配合檢查工作。對檢查中發(fā)現(xiàn)的問題和隱患，應(yīng)及時整改落實，并向檢查部門報告整改情況。第二十九條考核與獎懲（一）獎勵：對信息安全工作表現(xiàn)突出的部門和個人，給予表彰和獎勵（獎金、評優(yōu)、晉升等）；（二）處罰：對信息安全工作不力的部門和個人，給予