海盐县审计局审计专网计算机网络与信息安全管理办法

第一章  总  则

第一条  为确保本单位审计专网计算机网络与信息系统安全、稳定、高效运行，依据国家保密局、公安部、审计署有关计算机网络和信息安全的有关规定，结合单位实际，制定本办法。

第二条  本办法所称审计专网是指本单位金审工程建设依托国家电子政务外网互联，承载非集中存储处理的审计机关工作秘密、与审计事项有关的被审计单位工作秘密、商业秘密（以下简称工作秘密、商业秘密）和其他审计工作信息的系统。审计专网属于非涉密网络，不运行存储处理涉及国家秘密的信息。

第三条  本办法适用于单位各科室、下属各单位全体工作人员。

第二章  管理机构与职能

第四条  成立网络与信息安全领导小组，由分管领导任组长，办公室、法规科、计算机审计中心等科室主要负责人为成员。网络与信息安全领导小组负责单位网络与信息安全管理工作，根据国家法律法规有关要求，结合实际组织制订信息安全管理制度，采取有效的技术防范措施，协调处理重大网络信息安全事件。

第五条  计算机审计中心具体承担网络与信息安全管理日常工作，会同办公室、法规科等相关科室，负责组织落实网络与信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查。

第六条 计算机审计中心和办公室确定一名兼职网络信息安全员，负责本单位网络信息安全督促、检查、指导等日常工作。

第三章  人员安全管理

第七条  单位办公室机要、核稿、档案、公文收发等岗位计算机使用人员应与单位网络与信息安全领导小组签订信息安全与保密协议，明确网络信息安全与保密要求和责任。

第八条  单位各科室及下属各单位应与各自签约的外聘单位签订保密协议书，相关人员必须进行保密承诺，明确安全保密要求与责任。

第九条  单位人员离岗离职时，计算机审计中心应终止其信息系统访问权限，收回各种软硬件设备及电子数字证书等，关键岗位人员须承诺离岗离职后的保密义务。

第十条  全单位人员应当接受网络信息安全教育或培训。培训内容包括：网络与信息安全策略、安全职责、安全管理规章制度和有关法律法规。

第四章  账号安全管理

第十一条  加强终端计算机账号与密码安全管理，账号密码长度应采用8位以上，由非纯数字或字母组成，每三个月至少更换一次密码。

第十二条  加强审计专网中各业务系统和办公系统的账号、密码及权限管理。

（一）各系统的账号及初始密码由计算机审计中心统一分配。

（二）用户在初次登录系统后要及时修改密码，密码长度不得小于6位，不得使用生日、电话号码等容易破解的密码，并要定期更换。

第十三条  终端计算机以及各系统的账号、密码只授予本单位人员使用。本单位人员对自己享用的资源有保护责任，口令密码不得泄露给他人，如有泄露应及时改变，由此造成的损失由本人负责。

第十四条  未经许可或授权，任何人不得以任何方式使用他人的账号及密码。否则，使用人承担一切后果。

第五章  网络安全管理

第十五条  单位各科室及下属各单位对涉及到网络变更方面的需求（如网络结构变更、接入Hub等终端网络需求变更）、非常规性网络访问（如外来人员临时性访问），需向计算机审计中心提出书面申请，计算机审计中心对变更申请进行评审通过后，方可进行操作。

第十六条   全单位人员不得在机关办公区域内擅自部署无线网络。如有特殊工作需要，需向计算机审计中心提出申请，报分管领导批准后，由计算机审计中心安装实施并设置密码。

第十七条  计算机审计中心负责网络与其他外部单位网络的安全防护，在网络边界处采取安全措施进行有效隔离防护，并对违规行为进行检查和阻断。

第十八条  严禁已接入审计专网的计算机通过拨号、无线WIFI、无线上网卡、设置代理服务器等方式接入因特网。

第十九条  严禁已接入审计专网的计算机使用WIFI类设备。

第二十条  在审计专网上不得进行任何干扰他人使用、干扰网络服务和网络设备的活动。这些活动具体包括：在网络上发布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机、不以真实身份使用网络资源，导致联网计算机系统发生阻塞、溢出、处理机忙、资源异常消耗、死机、瘫痪等运行异常。

第二十一条  全单位人员不得冒用他人名义从事网上活动。不得通过扫描、侦听、破解口令、安置木马、远程接管、利用系统缺陷等手段获取他人信息。

第二十二条  全单位人员不得利用审计专网网络制作、复制、查阅和传播违反宪法和法律法规的信息。

第六章  终端计算机防护管理

第二十三条  未经批准，全单位人员不得擅自改变终端计算机的内部配置、外观和连线。

第二十四条  任何连入审计专网的计算机均须安装防病毒软件和系统补丁程序，定期对计算机进行查杀毒。一旦发现网络病毒，应立即通知信息安全员，共同采取相应措施，避免病毒扩散。

第二十五条  禁止在终端计算机安装使用来历不明的软件，并且遵守知识产权有关法律法规。

第二十六条  在使用他人计算机软盘、光盘、移动存储等信息存储设备前，必须先进行病毒检查，确信无病毒后，方可使用。

第七章  信息与数据安全管理

第二十七条  全单位人员离开本人座位或在办公区域接待访客时，应将终端计算机退出登录状态。

第二十八条  全单位人员在使用计算机过程中，要做好审计工作信息的保密工作，确保计算机及其他存储设备中的数据不泄漏。

第二十九条  单位各科室及下属各单位应对各自的关键文件、重要数据进行定期备份，并妥善保管，确保数据安全。

第三十条  计算机设备送修时，应确保其中没有存储工作秘密和商业秘密的相关数据，必要时将计算机硬盘拆除后再送修。

第八章  附  则

第三十一条  违反本办法有关规定，视情节分别给予口头批评、通报批评；造成危害后果的，依照有关规定给予行政处分；涉嫌犯罪的，移交司法机关处理。

第三十二条  本办法由单位网络与信息安全领导小组负责解释。

第三十三条  本办法自印发之日起施行。