社中央機關(guān)各部門：

《九三學社中央信息網(wǎng)絡(luò)管理規(guī)定》已經(jīng)社第十四屆中央委員會第六十五次主席辦公會議審議通過?，F(xiàn)予印發(fā)，請遵照執(zhí)行。

                         九三學社中央辦公廳

                         2022年4月22日   

九三學社中央信息網(wǎng)絡(luò)管理規(guī)定

（2022年4月1日九三學社第十四屆中央委員會第六十五次主席辦公會議通過）

第一章  總則

第一條  為規(guī)范社中央信息網(wǎng)絡(luò)管理工作，明確工作職責，規(guī)范工作流程，提高工作效率，確保信息網(wǎng)絡(luò)安全、穩(wěn)定、高效運行，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等有關(guān)法律法規(guī)，制定本規(guī)定。

第二條  社中央成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（以下簡稱網(wǎng)信領(lǐng)導(dǎo)小組），由社中央常務(wù)副主席任組長、分管網(wǎng)絡(luò)安全與信息化建設(shè)工作的副主席為副組長，機關(guān)各部門主要負責人和網(wǎng)絡(luò)安全與信息化建設(shè)分管負責人為成員。社中央網(wǎng)信領(lǐng)導(dǎo)小組在主席辦公會議統(tǒng)一領(lǐng)導(dǎo)下負責領(lǐng)導(dǎo)和管理社中央網(wǎng)絡(luò)安全與信息化建設(shè)和軟件正版化等工作。

第二章  網(wǎng)絡(luò)信息安全

第三條  九三學社中央機關(guān)法定代表人為社中央機關(guān)網(wǎng)絡(luò)安全第一責任人，機關(guān)各部門主要負責人為本部門網(wǎng)絡(luò)安全第一責任人。

第四條  機關(guān)網(wǎng)絡(luò)和信息系統(tǒng)依法實行網(wǎng)絡(luò)安全等級保護制度。

第五條  計算機終端數(shù)據(jù)信息安全原則為“誰使用，誰負責”；信息系統(tǒng)數(shù)據(jù)信息安全原則為“誰主管，誰負責”。

第六條  社中央機關(guān)應(yīng)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。

第七條  社中央機關(guān)應(yīng)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月。

第八條  機關(guān)工作人員不得利用機關(guān)網(wǎng)絡(luò)進行任何干擾網(wǎng)絡(luò)用戶、私自竊取他人計算機信息、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動。

第九條  機關(guān)工作人員不得通過機關(guān)網(wǎng)絡(luò)制造、散布、傳播謠言，發(fā)布不真實的信息或散布計算機病毒，不得查閱、復(fù)制和傳播有礙社會治安和淫穢、色情的信息。

第十條  機關(guān)工作人員嚴禁利用非涉密計算機及其信息系統(tǒng)存儲、處理涉密信息。

第十一條  違反規(guī)定的行為，視情節(jié)和后果輕重，給予教育、批評、行政處分等；違反法律的，依法追究法律責任。

第三章  計算機使用

第十二條  本規(guī)定所稱“計算機”，主要指社中央機關(guān)為機關(guān)工作人員配備辦公用非涉密臺式計算機、便攜式計算機。涉密計算機的管理與使用，按照《九三學社中央機關(guān)保密工作規(guī)定》執(zhí)行。

第十三條  計算機由領(lǐng)用部門指定專人管理，使用人應(yīng)妥善保管所領(lǐng)用計算機。

第十四條  計算機的放置和使用應(yīng)遠離磁性物質(zhì)、水源、熱源、塵埃等。使用人下班后應(yīng)關(guān)閉計算機并切斷電源。

第十五條  使用人不得自行打開設(shè)備外殼，私自拆換零配件，不得安裝非正版軟件。

第十六條  使用人在上班時間不得利用計算機從事與工作無關(guān)的活動。

第十七條  使用人不得將計算機交由非機關(guān)工作人員或非機關(guān)指定的專業(yè)維護人員操作使用。

第十八條  計算機統(tǒng)一安裝防病毒軟件，使用人不得擅自停止運行或卸載防病毒軟件。

第十九條  使用人禁止使用計算機制造任何形式的惡意代碼。

第二十條  使用人必須定期進行業(yè)務(wù)數(shù)據(jù)備份。在計算機數(shù)據(jù)備份前，必須對存放備份數(shù)據(jù)的物理介質(zhì)進行計算機病毒檢查，確保無病毒后，方可使用。

第二十一條  使用人攜帶計算機外出使用網(wǎng)絡(luò)時，應(yīng)確保接入安全的網(wǎng)絡(luò)。

第四章  機關(guān)辦公網(wǎng)絡(luò)

第二十二條  本規(guī)定所稱的“機關(guān)辦公網(wǎng)絡(luò)”是指社中央機關(guān)辦公使用的有線局域網(wǎng)絡(luò)和無線局域網(wǎng)絡(luò)。

第二十三條  機關(guān)辦公網(wǎng)絡(luò)為非涉密網(wǎng)絡(luò)。不得將涉密計算機及設(shè)備和未安裝殺毒軟件的個人計算機接入機關(guān)辦公網(wǎng)絡(luò)，不得在機關(guān)辦公網(wǎng)絡(luò)處理和存儲涉密信息。

第二十四條  接入機關(guān)辦公網(wǎng)絡(luò)的計算機不得通過其它方式另行接入互聯(lián)網(wǎng)。

第二十五條  計算機接入機關(guān)有線局域網(wǎng)絡(luò)時，使用統(tǒng)一分配的局域網(wǎng)靜態(tài)IP地址，靜態(tài)IP地址與計算機MAC地址綁定。

第二十六條  機關(guān)無線網(wǎng)絡(luò)覆蓋區(qū)域為機關(guān)辦公樓辦公區(qū)域。設(shè)置“93wifi”和“93wifi-guest”兩個SSID無線網(wǎng)絡(luò)。

第二十七條  機關(guān)工作人員的無線設(shè)備，可通過統(tǒng)一設(shè)置的無線網(wǎng)絡(luò)賬號接入“93wifi”。機關(guān)工作人員應(yīng)妥善保管用戶名和密碼等個人信息，不得將用戶名和密碼轉(zhuǎn)給他人，因個人密碼泄漏導(dǎo)致的相關(guān)安全問題和責任，由用戶自行承擔。

機關(guān)訪客的無線設(shè)備可接入“93wifi-guest”，由機關(guān)受訪人員掃描二維碼進行審批，網(wǎng)絡(luò)安全責任由審批人負責。

第二十八條  任何用戶不得擅自修改接入機關(guān)辦公網(wǎng)絡(luò)計算機的連接關(guān)系、運行狀態(tài)和系統(tǒng)網(wǎng)絡(luò)配置。

第二十九條  不得在機關(guān)辦公網(wǎng)絡(luò)擅自架設(shè)網(wǎng)絡(luò)設(shè)備，不得在連接機關(guān)辦公網(wǎng)絡(luò)的計算機上設(shè)置無線熱點。對因擅自安裝個人設(shè)備造成網(wǎng)絡(luò)安全事故的，依法追究當事人的責任。

第五章  信息系統(tǒng)建設(shè)與管理

第三十條  本規(guī)定所稱的“信息系統(tǒng)”是指社中央根據(jù)業(yè)務(wù)、管理等需要而購置、研發(fā)和部署的非涉密信息系統(tǒng)。涉密信息系統(tǒng)的管理使用，按照《九三學社中央機關(guān)保密工作規(guī)定》執(zhí)行。

第三十一條  宣傳部為業(yè)務(wù)主管部門，負責主管社中央機關(guān)信息系統(tǒng)建設(shè)、運維、監(jiān)管，負責信息系統(tǒng)的規(guī)劃、建設(shè)、運行維護和技術(shù)支持。機關(guān)各部門為應(yīng)用主管部門，負責分管相關(guān)信息系統(tǒng)的應(yīng)用，負責信息系統(tǒng)的需求提出與完善、培訓和應(yīng)用管理。

第一節(jié)  信息系統(tǒng)建設(shè)

第三十二條  機關(guān)各部門根據(jù)業(yè)務(wù)需要提出信息系統(tǒng)建設(shè)需求，宣傳部對建設(shè)需求進行匯總、初審，報網(wǎng)信領(lǐng)導(dǎo)小組批準。

第三十三條  宣傳部與需求提出部門共同成立項目工作組，負責確定信息系統(tǒng)項目建設(shè)的內(nèi)容、范圍、技術(shù)參數(shù)和實施周期，編寫需求說明，編制招標文件，組織招投標活動，確定項目實施單位，對信息系統(tǒng)進行網(wǎng)絡(luò)安全等級保護定級和備案工作。

第三十四條  項目實施單位須向項目工作組提交系統(tǒng)建設(shè)方案和實施方案及保密協(xié)議，實施方案包括：實施計劃、人員職責、崗位職責、行為準則、進度控制、責任和權(quán)利等條款。

第三十五條  明確項目實施單位的數(shù)據(jù)安全責任，建立數(shù)據(jù)安全事前審核、事中留痕、事后追溯機制，確保安全事件可定責，可追溯。

第三十六條  對于數(shù)據(jù)安全保護程度高的項目，應(yīng)委托有關(guān)方面，對參與項目建設(shè)的關(guān)鍵數(shù)據(jù)崗位人員開展必要的安全背景審查。

第三十七條  信息系統(tǒng)中的軟件開發(fā)項目須遵照軟件開發(fā)管理規(guī)范進行開發(fā)。信息數(shù)據(jù)必須符合國家電子政務(wù)相關(guān)技術(shù)標準。所開發(fā)的軟件產(chǎn)權(quán)歸社中央所有。

第三十八條  定制開發(fā)或版本升級及需要大量培訓的信息系統(tǒng)須部署測試環(huán)境。系統(tǒng)開發(fā)調(diào)試、用戶使用培訓等在測試環(huán)境中進行。

第三十九條  信息系統(tǒng)安裝部署完成后，項目實施單位應(yīng)在驗收前進行功能、性能和安全測試，出具檢測報告。信息系統(tǒng)須通過網(wǎng)絡(luò)安全等級保護測評后，方可進入試運行期。

第四十條  項目實施完畢，應(yīng)按照合同要求進行驗收。項目工作組應(yīng)對信息系統(tǒng)的部署實施、性能、安全性和功能及應(yīng)用情況進行確認。

第四十一條  信息系統(tǒng)全部實施文檔、技術(shù)資料、源程序交付宣傳部歸檔，使用手冊等文檔交付應(yīng)用主管部門。項目工作組成員和項目實施單位成員不得泄露信息系統(tǒng)的技術(shù)資料、源程序和加密措施等。

第二節(jié)  信息系統(tǒng)應(yīng)用

第四十二條  信息系統(tǒng)應(yīng)用主管部門應(yīng)指定專人擔任信息系統(tǒng)業(yè)務(wù)管理員，負責管理信息系統(tǒng)業(yè)務(wù)應(yīng)用、推廣及用戶操作指導(dǎo)；信息系統(tǒng)使用部門和單位應(yīng)指定專人擔任信息系統(tǒng)操作人員，負責管理、開展相關(guān)業(yè)務(wù)工作。

第四十三條  應(yīng)用主管部門應(yīng)積極引導(dǎo)和促進信息系統(tǒng)的使用。應(yīng)用主管部門須在系統(tǒng)上線運行3個月內(nèi)，組織各級管理員和普通操作人員進行使用培訓。

第四十四條  應(yīng)用主管部門應(yīng)根據(jù)業(yè)務(wù)需要和信息系統(tǒng)的實際情況，及時提出修改和完善業(yè)務(wù)工作流程需求。

第四十五條  業(yè)務(wù)管理員和操作人員應(yīng)熟練掌握信息系統(tǒng)的使用方法，根據(jù)業(yè)務(wù)要求及時處理相關(guān)業(yè)務(wù)信息數(shù)據(jù)，并根據(jù)情況及時更新業(yè)務(wù)數(shù)據(jù)信息。

第四十六條  信息系統(tǒng)用戶采用實名制管理。信息系統(tǒng)帳號為各操作節(jié)點人員認證的唯一憑證。帳號擁有者應(yīng)重視帳號安全，不得轉(zhuǎn)借他人。信息系統(tǒng)中任何登錄帳號所進行的操作，均視為帳號擁有者本人操作，出現(xiàn)的任何責任由帳號擁有者承擔。業(yè)務(wù)管理員應(yīng)及時變更離職或調(diào)職人員的信息系統(tǒng)管理使用權(quán)限。

第四十七條  用戶密碼更換周期不得超過6個月，不得使用弱口令。原則上用戶初始密碼不能用于業(yè)務(wù)實現(xiàn)。

第四十八條  未經(jīng)授權(quán)，任何人不得通過打印、拷貝、截屏等方式泄露各信息系統(tǒng)中的信息數(shù)據(jù)等給非授權(quán)人員。

第四十九條  因工作人員個人原因?qū)е滦畔⑾到y(tǒng)信息泄露等安全事故并造成重大損失的，按照國家有關(guān)法律法規(guī)處理。

第三節(jié)  信息系統(tǒng)運維

第五十條  信息系統(tǒng)運維工作包含基礎(chǔ)環(huán)境、安全性、可用性、功能性管理保障和數(shù)據(jù)運維等。

第五十一條  信息系統(tǒng)基礎(chǔ)環(huán)境運維：

（一）服務(wù)器管理、虛擬機管理、應(yīng)用服務(wù)器須建立安裝、配置、安全掃描、升級、補丁修復(fù)、日志記錄與歸檔、異常檢測等操作規(guī)程。

（二）承載重要應(yīng)用的操作系統(tǒng)，須建立密碼定期更換機制。

（三）承載重要應(yīng)用的系統(tǒng)環(huán)境，須根據(jù)實際情況建立定期巡檢、掃描、分析機制。

第五十二條  信息系統(tǒng)安全性運維：

（一）應(yīng)定期對信息系統(tǒng)進行安全掃描，對潛在的系統(tǒng)漏洞與安全漏洞進行定期檢測。

（二）應(yīng)定期對信息系統(tǒng)的賬戶、密碼、權(quán)限進行統(tǒng)計清理；重要系統(tǒng)的賬戶登錄、權(quán)限分配應(yīng)進行行為審計。

（三）具有內(nèi)容交互式功能的信息系統(tǒng)，應(yīng)建立敏感關(guān)鍵字監(jiān)測機制，并定期對關(guān)鍵字進行更新維護。

（四）定制開發(fā)系統(tǒng)及采購的成品系統(tǒng)存在安全隱患的，應(yīng)及時向宣傳部負責人匯報和系統(tǒng)業(yè)務(wù)主管部門反饋。

第五十三條  信息系統(tǒng)可用性運維：

（一）因網(wǎng)絡(luò)原因?qū)е滦畔⑾到y(tǒng)不可用時，由運維管理員及時排查處理網(wǎng)絡(luò)故障。

（二）因服務(wù)器或網(wǎng)絡(luò)硬件故障等原因?qū)е滦畔⑾到y(tǒng)不可用時，由運維管理員及時重啟或更換備件。

（三）因操作系統(tǒng)、應(yīng)用軟件故障導(dǎo)致信息系統(tǒng)不可用時，由應(yīng)用主管部門管理員協(xié)調(diào)項目技術(shù)支持單位進行處理。

第五十四條  信息系統(tǒng)功能性運維：

（一）因為業(yè)務(wù)變動，需要對信息系統(tǒng)的流程進行調(diào)整、新增或變更功能模塊、進行結(jié)構(gòu)性改動的，由應(yīng)用主管部門提出版本升級需求，按照信息系統(tǒng)建設(shè)處理。

（二）信息系統(tǒng)功能模塊出現(xiàn)缺陷需要修復(fù)或存在安全性隱患需要調(diào)整，且不存在結(jié)構(gòu)性改動的，由項目工作組協(xié)調(diào)項目實施單位按照合同約定進行功能性維護。

（三）賬戶、權(quán)限調(diào)整的功能性維護，由信息系統(tǒng)業(yè)務(wù)主管部門負責。

第五十五條  信息系統(tǒng)數(shù)據(jù)運維：

（一）數(shù)據(jù)管理權(quán)不得向企業(yè)轉(zhuǎn)讓。信息系統(tǒng)維護單位要履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、使用、泄露或向他人提供數(shù)據(jù)，不得商用，不得擅自向境外提供。

（二）數(shù)據(jù)中敏感個人信息要進行脫敏處理和加密保護。

（三）網(wǎng)絡(luò)安全等級保護等級定級為第三級的信息系統(tǒng)至少每日執(zhí)行一次全備，備份保留期不得低于7天。

（四）網(wǎng)絡(luò)安全等級保護等級定級為第二級的信息系統(tǒng)至少每周執(zhí)行一次全備，每日執(zhí)行一次差異備份或者增量備份，備份保留期不得低于30天。

（五）網(wǎng)絡(luò)安全等級保護等級定級為第二級以下的信息系統(tǒng)至少每月執(zhí)行一次全備，每周執(zhí)行一次差異備份或者增量備份，備份保留期不得低于60天。

（六）備份數(shù)據(jù)一般應(yīng)做異機備份，重要數(shù)據(jù)要做異地備份。

（七）備份數(shù)據(jù)使用應(yīng)按照信息系統(tǒng)數(shù)據(jù)恢復(fù)規(guī)程操作。

第六章  應(yīng)急處理

第五十六條  當社中央機關(guān)網(wǎng)絡(luò)和信息系統(tǒng)遭受不可預(yù)知的外力破壞、毀損或故障，造成系統(tǒng)中斷、設(shè)備損壞、數(shù)據(jù)丟失等，以及發(fā)生對工作造成嚴重危害的網(wǎng)絡(luò)與信息安全事件，宣傳部應(yīng)啟動應(yīng)急預(yù)案處置。

第一節(jié)  安全事件分級

第五十七條  重大網(wǎng)絡(luò)與信息安全事件。指社中央業(yè)務(wù)數(shù)據(jù)信息丟失或泄露，或者網(wǎng)站首頁被篡改出現(xiàn)有害信息及鏈接，或者信息系統(tǒng)業(yè)務(wù)中斷一天以上的信息安全事件。

第五十八條  較大網(wǎng)絡(luò)與信息安全事件。指非業(yè)務(wù)數(shù)據(jù)信息丟失或泄露，或者網(wǎng)站內(nèi)頁被篡改出現(xiàn)有害信息及鏈接，或者信息系統(tǒng)業(yè)務(wù)中斷一天以內(nèi)兩個小時以上的信息安全事件。

第五十九條  一般網(wǎng)絡(luò)與信息安全事件。指信息系統(tǒng)業(yè)務(wù)中斷兩個小時以內(nèi)的信息安全事件。

第二節(jié)  應(yīng)急處置

第六十條  堅持預(yù)防為主的原則，加強網(wǎng)絡(luò)與信息安全監(jiān)測，及時收集、分析、研判監(jiān)測信息，發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。

第六十一條  當重大網(wǎng)絡(luò)與信息安全事件和較大網(wǎng)絡(luò)與信息安全事件發(fā)生或?qū)⒁l(fā)生時，經(jīng)網(wǎng)信領(lǐng)導(dǎo)小組批準，啟動網(wǎng)絡(luò)與信息安全應(yīng)急處置預(yù)案。

第六十二條  當發(fā)生網(wǎng)絡(luò)與信息安全事件時，應(yīng)當區(qū)分事件性質(zhì)為自然災(zāi)害事件或人為破壞事件，分別采用不同處置流程。

第六十三條  應(yīng)根據(jù)發(fā)生的網(wǎng)絡(luò)與信息安全事件嚴重程度采取相應(yīng)的具體處置辦法。對有害信息應(yīng)及時屏蔽刪除，對黑客和病毒入侵應(yīng)及時隔離，對軟件系統(tǒng)故障及時處理修復(fù)，對硬件故障應(yīng)及時更換，對物理環(huán)境破壞應(yīng)及時保修等。

第三節(jié)  善后處理

第六十四條  應(yīng)急處置工作結(jié)束后，要迅速組織搶修受損設(shè)施，減少損失，盡快恢復(fù)正常工作。

第六十五條  對事件造成的損失和影響進行分析評估；調(diào)查事故原因，制定恢復(fù)重建計劃并組織實施。

第六十六條  消除有害信息，防止進一步傳播，將事件的影響降到最低。

第六十七條  在處置有害信息的過程中，任何部門和個人不得保留、貯存、散布、傳播所發(fā)現(xiàn)的有害信息。

第四節(jié)  應(yīng)急保障

第六十八條  宣傳部應(yīng)制定并實施相應(yīng)培訓和演練計劃，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件的能力。

第六十九條  根據(jù)應(yīng)急保障工作需要，應(yīng)及時采購應(yīng)急處置工作必需的設(shè)備或工具軟件。

第七十條  加強應(yīng)急處置工具及設(shè)備維護調(diào)試，保證其隨時處于可用狀態(tài)。

第七十一條  重要信息系統(tǒng)應(yīng)當建立備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)受到破壞后可緊急恢復(fù)。

第七章 軟件正版化

第七十二條  本規(guī)定所指的軟件是指操作系統(tǒng)、辦公軟件、殺毒軟件和其他具有專業(yè)用途的軟件。

第七十三條  宣傳部根據(jù)各部門需求制定年度正版軟件的采購計劃，并將軟件采購經(jīng)費納入年度預(yù)算，確保軟件正版化工作資金到位、措施到位、管理到位。

第七十四條  宣傳部負責正版軟件的安裝、使用、保管、升級、版權(quán)保護及軟件的日常臺賬備案，負責監(jiān)督檢查軟件正版化工作的開展與執(zhí)行情況。

第七十五條  計算機使用人不得擅自更改操作系統(tǒng)、辦公軟件、殺毒軟件及有關(guān)專用軟件。

第七十六條  因使用非正版軟件而引起糾紛或訴訟，損害國家機關(guān)形象，造成不良影響，致使單位承擔法律責任的，按“誰使用誰負責”原則，追究相關(guān)人員的責任。

第七十七條  宣傳部按年度對辦公計算機進行檢查，對非統(tǒng)一安裝的操作系統(tǒng)、辦公軟件、殺毒軟件和專用軟件進行更換。

第八章 附則

第七十八條  本規(guī)定自社中央主席辦公會議通過之日起施行。