数字乡村 乡镇网络安全日常管理指南DB1310／T 323-2023.pdf

ICS 65.020.01 CCS B07 1310 廊坊市地方标准 DB 1310/T 3232023 数字乡村 乡镇网络 安全日常 管理指南 2023-12-26 发布 2024-01-26 实施 廊坊市市 场监督 管 理局 发 布 DB 1310/T 323 2023 I 前 言 本文件 按照GB/T 1.1 2020 标 准化 工作 导则 第1 部分：标准 化文 件的 结构 和起草 规则 的 规 定起草。本文件 由中 共廊 坊市 委网 络安全 和信 息化 委员 会办 公室提 出。本文件 起草 单位：中共 大 城县委 网信 办、河 北兰 科 网络工 程集 团有 限公 司、中国联 合网 络通 信有 限公司廊 坊市 分公 司、国 家 互联网 应急 中心 河北 分中 心、中国 软件 与技 术服 务 股份有 限公 司、廊 坊市 标 准化所、中 共大 厂县 委网 信 办、河北 赛克 普泰 计算 机 咨询服 务有 限公 司、阿 里 巴巴集 团数 字乡 村与 区域 经济发展 事业 部。本文件 主要 起草 人：刘顺 海、樊 英雷、刘 朔、刘纪 伟、田 春花、刘 浩洋、姚 鹏、赵 伟力、李 洁、马天午、赵志 滨、刘欣 羽、荣晓彤、马 群、高继 伟、张建平、朱 学海。DB 1310/T 323 2023 1 数 字乡村 乡 镇网络 安全日 常管理指 南 1 范围 本文件 规定 了乡 镇网 络安 全日常 管理 的术 语和 定义、总 体要 求、网 络安 全管 理 要求、网 络数 据安 全管理要 求、个人 信息 处理 要求、网络 安全 应急 处置 要求和 网络 安全 人员 培训 要求。本文件 适用 于廊 坊市 各乡 镇网络 安全 日常 工作 的管 理。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于本文 件；不注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本文件。本文件 没有 规范 性引 用文 件。3 术语和 定义 下列术 语和 定义 适用 于本 文件。网络 由计算 机或 者其 他信 息终 端及相 关设 备组 成的 按照 一定的 规则 和程 序对 信息 进行收 集、存储、传 输、交换、处理 的系 统。网络安 全 是指通 过采 取必 要措 施，防范对 网络 的攻 击、侵入、干扰、破 坏和 非法 使用 以及意 外事 故，使网 络处于稳 定可 靠运 行的 状态，以及 保障 网络 数据 的完 整性、保密 性、可用 性的 能力。网络数 据安 全 是指通 过采 取必 要措 施，确保网 络数 据处 于有 效保 护和合 法利 用的 状态，以 及具备 保障 持续 安全 状态的能 力。网络数 据 是指通 过网 络收 集、存储、传输、处 理和 产生 的各 种电子 数据。网络数 据处 理 对网络 数据 的收 集、存储、使用、加 工、传输、提 供、公 开等。网络数 据处 理 者 在网络 数据 处理 活动 中自 主决定 处理 目的 和处 理方 式的个 人和 组织。DB 1310/T 323 2023 2 重要数据 重要数 据是 指一 旦遭 到篡 改、破 坏、泄露 或者 非法 获取、非法 利用，可 能危 害国家 安全、公 共利 益的数据。个人信息 以 电 子 或者 其 他方 式 记录的 与 已 识别 或 者可 识 别的自 然 人 有关 的 各种 信 息，不 包 括 匿名 化 处理 后的信息。4 总体要 求 以国家 法律法 规为 依据，坚持网 络安全 与信 息化发 展并重，遵循 积极 利用、科学发 展、依 法管 理、确保安 全的 方针，推 进网 络互联 互通，鼓 励网 络技 术创新 和应 用，建立 健全 乡镇网 络安 全保 障体 系，支持培养 网络 安全 人才，提 高网络 安全 保护 能力。5 网络安全 管 理要 求 人员管理 5.1.1 应明确 网络 安全 责任 人，设立网 络安 全管 理部 门，落实网 络安 全保 护责 任。5.1.2 应明确 网络 安全 管理 人员 岗位职 责，落实 岗位 人员，保障 网络 安全 管理 工作 开展。5.1.3 应对录 用人员 身份、安全 背景、专业资 格或 资质等 进行审 查，对 其技 术技能 进行验 证，应 与 关键岗位 人员 签署 岗位 责任 协议，确认 责任 到人，完 善人员 录用 制度。5.1.4 应对离 岗人员 进行 权限回 收，清 除本地 针对 离岗人 员的相 关权限 和介 质，签 署离岗 协议和 遵 守保密义 务，建立 人员 离岗 制度。5.1.5 应与第 三方 合作 人员 签订 合作协 议及 保密 协议，明 确保密 责任 与义 务。制度要 求 5.2.1 应明确 部门 负责 本地 网络 安全管 理制 度的 制定，确 定 本地 网 络安 全工 作的 总体 目标、涉及 范围、安全框 架 和 整改 措施 等内 容。5.2.2 应贯彻 执行好 国家、省、市、县 关于网 络安 全、数 据安全、个人 信息 安全相 关法 律 法规、工 作部署和 本地 网络 安全 管理 相关制 度。5.2.3 应定期 对本 地网 络安 全管 理制度 的合 理性 和适 用性 进行评 估，对需 要改 进的，进行整 改和 完善。5.2.4 应定期 检查 网络 安全 策略 是否与 制度 相适 宜，并对 其进行 持续 的改 进和 完善。合作方 要求 5.3.1 应建立 对合 作方 的遴 选、管理、监督、评 价机 制。5.3.2 应与合 作方 签订 合作 协议，确保协 议中 明确 规定 双方 在网络 安全 和日 常行 为方 面的责 任和 义务，确保合 作过 程中 不发 生任 何违反 法律 法规 或损 害对 方利益 的行 为，同时 加入 保密要 求条 款，每年 不 低 于一次审 核合 作方 资质 背景、网络 安全 保障 能力 等，并组织 合规 评估。5.3.3 应对合 作方 的安 全 能 力进 行评估，对 合作 方履 行安 全责任 义务 的情 况进 行监 督和检 查。5.3.4 合作方 应确 保接 入的 系统、接入 方式、使 用的 技术 工具等 不存 在安 全问 题。DB 1310/T 323 2023 3 5.3.5 合作方 应在 合作 结束 后，清除相 关权 限和 介质，按 要求对 数据 进行 妥善 处理，遵守 保密 义务。日常 工 作要 求 5.4.1 应贯彻 执行网 络安 全相关 法律法 规和标 准，全面落 实网络 安全等 级保 护制度，健全 本地网 络 安全管理 制度 和操 作规 范，履行网 络安 全保 护义 务。5.4.2 应对办 公网 络进 行安 全管 理限制，禁 止私 接无 线路 由器，尽量 限制 外接 存储 设备的 使用。5.4.3 应定期 维护 办公 设备 的安 全性，限制 非办 公设 备的 接入，定期 更新 补丁、杀 毒软件 等。5.4.4 应对办 公设 备、办公 软件、办公 邮箱 等进 行口 令复 杂度要 求，并且 设置 口令 有效期。5.4.5 接收外 部机构 数据 前，应 对外部 机构数 据源 的合法 性、合 规性进 行鉴 别；应 确保接 收的数 据 不含有恶 意代 码或 恶意 软件。6 网络数 据安 全管 理要 求 应严格 贯彻落 实 网络安 全审查 办法，配 合网信 部门做 好对影 响国 家安全、社会 稳定的 网络 数据处理 活动 进行 安全 审查 的相关 工作。应采取 必要的 措施，确保 网络数 据得到 有效 的保护 和合法 的利用，确 保网络 数据的 利用符 合法 律法规和 道德 规范。应针对 网络数 据接 收、存 储、使 用、加 工、传输、公开、销毁制 定安 全策略，具备 保障网 络数 据持续安 全状 态的 能力。应对重 要数据 进行 分级分 类，按 照不同 等级 不同种 类进行 分级保 护，使用数 据加密、访问 控制、安全审 计等 方式 保障 数据 的机密 性、完整 性和 可用 性。应建立 数据 安全 应急 处置 机制，发生 网络 数据 安全 事 件时，应采 取应 急处 理措 施，防止 危害 扩大，消除安 全隐 患，及时 向社 会发布 与公 众有 关的 警示 信息。7 个人 信 息处 理要 求 在工作 中接 收、存储 和使 用的个 人信 息，须依 法使 用和保 护。应指定 专人对 个人 信息进 行处理，承担 接收、存储 相关环 节数据 和个 人信息 安全的 指导监 督、督促检查 责任，实 际处 置数 据和个 人信 息的 部门 负主 体责任。传输和 存储 个人 敏感 信息 时，应 采用 加密 等安 全措 施，禁止 未授 权访 问和 非法 使 用用户 个人 信息，相关部 门内 部人 员不 得以 非工作 原因 查询、使 用个 人信息，防 止造 成信 息泄 露。对个人 敏感信 息的 访问、修改等 行为，应在 对角色 的权限 控制的 基础 上，保 证只有 授权账 号可 进行相关 操作，个 人信 息在 进行交 换和 共享 时，须经 数据提 供部 门（单位）单 位领导 批准。应对访 问数 据的 内部 数据 操作人 员，按最 小授 权原 则进行 访问。涉及公 开展示 个人 信息的，应对 展示的 个人 信息采 取去标 识化 处 理等 措施，降低个 人信息 在展 示环节的 泄露 风险。DB 1310/T 323 2023 4 个人信 息保存 期限 应为实 现目的 所必需 的最 短时间，超出 保存期 限后，应对 个人信 息进行 删除 或匿名化 处理。应采取 积极有 效的 防范措 施，防 止数据 被非 法使用、窃取、篡改 和破 坏，任 何单位 和个人 发现 使用数据 的违 规行 为都 有权 举报。在中华 人民共 和国 境内收 集和产 生的重 要数 据和个 人信息，应当 在境 内存储。因业 务需要 确需 向境外提 供的，应 通过 国家 网信部 门组 织的 安全 评估，经专 业机 构进 行个 人信 息保护 认证 等。8 网络安 全 应 急处 理要 求 应急预案 8.1.1 应制定 本地网 络安 全应急 预案，并明确 启动 条件，包括应 急处理 流程、系统 恢复流 程、个 人 数据恢复 和敏 感数 据恢 复等 方面的 详细 内容。8.1.2 网络安 全应急 预案 应包括 应急组 织构成、资 源保障、处置 流程、事后 的教育 与培训 等方面 核 心内容。8.1.3 应定期 对系 统相 关人 员进 行应急 预案 培训，并 定期 进行应 急预 案的 模拟 演练。8.1.4 应定期 对应 急预 案进 行重 新评估，并 对其 进行 修订 和完善。应急处置 8.2.1 应急组 织 8.2.1.1 应建立 应急 组织，包 括决 策层、指挥 层和 执行 层，各层级 应职 责明 确，相互 配合。8.2.1.2 在应急 处置 过程 中，应加 强与各 相关 部门 的协 调，确保信 息畅 通，资源 共享。8.2.2 应急预 案启 动 8.2.2.1 发生网 络安 全事 件时 应立 即启动 应急 预案，采 取相 应 的应急 处置 措施，及 时告 知 相关权 利人，并按照 有关 规定 向网 信、公安部 门和 有关 行业 主管 部门报 告。8.2.2.2 在应急 预案启 动后，应急 组织应 迅速展 开处 置工作。应根 据突发 事件 的具体 情况，采取相 应的处置 措施。在 处置 过程 中，应 加强 信息 报告 和沟 通，及 时反 馈进 展情 况，以便于 决策 层做 出正 确 的 判断和决 策。8.2.3 总结和 评估 在突发 事件 处置 完成 后，应进行 总结 和评 估。分析 事件发 生的 原因、影 响范 围、损 失程 度以 及应 急处置的 效果 等。总结 经验 教训，提出 改进 措施，不 断完善 应急 处置 管理 体系。9 网络安 全人 员培 训要 求 应针对 网络安 全人 员制定 培训计 划，对 网络 安全基 础知识、数据 安全 基础知 识、岗 位操作 规程 和基础技 能等 进行 定期 培训，关键 岗位 和管 理人 员每 年参培 时间 不少 于八 小时，并进 行技 能考 核。应进行 日常网 络安 全培训，包含 并不限 于日 常病毒 查杀、高强度 口令 设置、风险隐 患排查、钓 鱼攻击防 范与 应对 等内 容。DB 1310/T 323 2023 5