北京市公共服务网络与信息系统安全管理办法（共4页）2300字.docx

1、北京市公共服务网络与信息系统安全管理办法北京市公共服务网络与信息系统安全管理规定已经XXXX年11月9日市人民政府第45次常务会议审议通过,自XXXX年1月1日起施行。下文是北京市公共服务网络与信息系统安全管理规定，欢迎阅读!北京市公共服务网络与信息系统安全管理规定第一条为加强本市公共服务网络与信息系统(以下简称网络与信息系统)的安全管理，根据国家有关规定，结合本市实际情况，制定本规定。第二条本市网络与信息系统的建设和运行维护单位(以下简称运营单位)应当做好网络与信息系统安全工作，保障网络与信息系统安全可靠运营。本规定所称公共服务网络与信息系统，是指由本市行政机关和企事业单位为社会提供的政务、

2、交通、医疗卫生、供水、供电、供气、供热、通信、广播电视以及其他公共服务的网络与信息系统。第三条市和区、县信息化主管部门对本行政区域内的网络与信息系统安全工作负责综合协调和监督管理。公安、国家安全和质量技术监督等政府有关部门，按照各自职责分工，依法对网络与信息系统安全相关工作实施监督管理。第四条运营单位应当加强对本单位网络与信息系统的安全管理，做好下列工作：(一)明确网络与信息系统安全工作的主管负责人和主管机构，并配备具有相应能力的工作人员;(二)建立健全网络与信息系统安全管理责任制，制定管理制度和操作规程，并定期检查落实情况;(三)保障网络与信息系统安全的资金投入;(四)定期进行网络与信息系统

3、安全教育和培训。第五条市信息化主管部门应当会同政府有关部门统一规划和组织建设本市网络与信息系统的安全测评、电子认证、灾难备份和应急处理等安全基础设施。第六条本市对网络与信息系统实行安全等级保护。网络与信息系统安全等级分为五级：(一)第一级为自主保护级，由运营单位进行自主保护;(二)第二级为指导保护级，由运营单位在有关主管部门的指导下进行保护;(三)第三级为监督保护级，由运营单位在备案监督部门的监督下进行保护;(四)第四级为强制保护级，由运营单位在备案监督部门的强制下进行保护;(五)第五级为专控保护级，由运营单位在备案监督部门的专控下进行保护。第七条运营单位应当按照安全等级保护制度的管理规范和技

4、术标准确定本单位网络与信息系统的安全等级，并根据安全等级保护制度的要求进行建设。网络与信息系统安全等级确定为第三级、第四级、第五级的，运营单位应当将安全等级确定情况报送备案。其中，涉及电子政务的网络与信息系统运营单位，应当报市信息化主管部门备案;其他的运营单位应当报市公安部门备案。市信息化主管部门、市公安部门应当在30日内对备案单位的网络与信息系统安全等级确定情况进行评估，并提出审查意见。第八条运营单位选用网络与信息系统相关安全产品或者选择安全测评、电子认证等服务时，应当符合国家和本市有关网络与信息系统安全管理的技术规范。使用财政资金投资建设的网络与信息系统选用安全产品和服务时，应当依法实行政

5、府采购。第九条运营单位应当依据网络与信息系统安全管理要求，对信息系统和信息数据进行备份。第十条运营单位应当制定网络与信息系统安全事件应急预案，并定期进行演练。市和区、县人民政府有关行政主管部门应当组织制定相关行业的网络与信息系统安全事件应急预案，组织、协调有关单位做好应急预案的落实工作。第十一条发生网络与信息系统安全事件后，运营单位应当迅速采取措施降低损害程度，防止事件扩大，保存相关记录，并按规定要求及时向同级信息化主管部门报告。第十二条本市组建信息安全应急救援服务体系，为发生信息安全事件的单位提供救援服务。信息安全应急救援服务组织应当公布救援电话，在接到救援请求时，及时提供救援服务。第十三条

6、运营单位违反本规定，有下列情形之一的，由市或者区、县信息化主管部门责令限期改正，给予警告，视情节轻重处3万元以下罚款：(一)违反本规定第四条规定，未按要求建立并落实安全管理制度的;(二)违反本规定第九条规定，未按要求对信息系统和信息数据进行备份的;(三)违反本规定第十条第一款规定，未按要求制定网络与信息系统安全事件应急预案的;(四)违反本规定第十一条规定，对网络与信息系统安全事件情况隐瞒不报、谎报或者拖延不报的。行政机关违反前款规定的，市或者区、县信息化主管部门可以对责任单位给予通报批评;造成重大损失的，由上级主管部门或者监察机关依法追究责任单位主要负责人和有关责任人员的行政责任。第十四条对于

7、有危害公共安全、国家安全、泄露国家秘密以及其他违反法律、法规和规章规定行为的，由公安、国家安全、保密以及其他监督管理部门依法处理;构成犯罪的，依法追究刑事责任。第十五条国家和本市对涉及国家秘密、国家安全的网络与信息系统有特殊规定的，从其规定。第十六条本规定自XXXX年1月1日起施行。网络安全体系与其它安全体系(如保安系统)类似，企业应用系统的安全体系应包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。