第一章 总则

第一条 为加强兵团民政局信息网络安全的保护和管理，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网信息服务管理办法》等规定，制定本办法。

第二条 本办法中“信息网络”，是指由计算机及配套的设备、设施构成的，按照一定的应用目标和规则对信息进行制作、采集、加工、存储、传输、检索等处理的人机系统和运行体系。

信息网络的安全，包括计算机信息系统及网络的运行安全和信息内容的安全。

第三条 民政信息网络安全坚持“保护与管理并重”和“谁主管、谁负责，谁使用、谁负责”的原则。

第四条 办公室根据本办法主管全局计算机信息网络安全保护管理工作。

第五条 不得利用计算机信息网络从事危害国家安全、公共利益及社会秩序以及侵犯公民、法人和其他组织合法权益的活动，不得危害计算机信息网络的安全。　

第二章 安全保护和管理

第六条 信息系统实行安全等级保护制度。

信息系统的安全保护等级分为五个等级。等级确定的原则、标准、各级别安全保护和管理内容按照国家和省有关规定执行。

涉密信息系统根据国家等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护管理规定和技术标准，结合系统实际情况进行保护。

第七条 局办公室作为安全等级保护的责任主体，应当按照国家有关管理规范、技术标准确定计算机信息系统的安全保护等级。对新建、改建、扩建的计算机信息系统，应当在规划、设计阶段确定计算机信息系统的安全保护等级，并同步建设符合该安全保护等级要求的信息安全设施，使用符合国家有关规定并满足计算机信息系统安全保护需求的信息安全产品。

第八条 局办公室应当建立计算机信息系统安全状况日常检测工作制度。

第九条 局办公室按照有关管理规范和技术标准，定期对计算机信息系统安全等级状况开展等级测评，对计算机信息系统安全状况、安全保护制度及措施的落实情况进行自查。

第十条 建立并落实以下安全保护制度：

（一）安全责任制度和保密制度；

（二）信息发布审核、登记、保存、清除和备份制度；

（三）信息网络安全教育和培训制度；

（四）信息网络安全应急处置制度；

（五）违法案件报告和协助查处制度；

（六）其他安全保护制度。

第十一条 落实以下安全保护技术措施：

（一）系统重要数据备份措施；

（二）病毒等破坏性程序的防治措施；

（三）系统运行和用户使用日志备份并保存措施；

（四）记录、监测网络运行状态的安全审计措施；

（五）网络安全隔离以及防范网络入侵、攻击破坏等措施；

（六）密钥、密码安全管理措施；

（七）其他安全保护技术措施。

第十二条 计算机信息系统中发生重大安全事故的，应当在二十四小时内向所在地公安机关报告，违反国家保密法规定泄露国家秘密的，应当向所在地保密工作部门报告，并保留有关原始记录。因计算机病毒等破坏性程序发生计算机信息系统瘫痪、程序和数据严重损坏等安全事故的，应当向所在地公安机关提供计算机病毒等破坏性程序的样本。

第三章 计算机上网行为管理

第十三条 任何单位或者个人不得从事下列危害信息网络安全和秩序的行为：

（一）破坏计算机信息网络运行环境、设备设施；

（二）故意制作、传播、使用计算机病毒、恶意软件等破坏性程序，或者制作、发布、复制、传播含破坏性程序或其机理、源程序的信息；

（三）擅自进入、使用他人计算机信息网络，擅自增加、修改、删除、复制他人计算机信息网络的数据，干扰他人计算机信息网络的功能；

（四）利用信息网络大量或者多次发送电子邮件、短信息等，干扰他人正常生活秩序或者网络秩序；

（五）利用信息网络违背他人意愿、冒用他人名义发布信息；

（六）擅自利用信息网络收集、使用、提供、买卖他人专有信息；

（七）其他危害计算机信息网络安全和秩序的行为。

第十四条 任何单位或者个人不得利用信息网络制作、发布、传播含有下列内容的信息：

（一）反对宪法确定的基本原则的；

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

（三）损害国家荣誉和利益的；

（四）煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗习惯的；

（五）破坏国家宗教政策，宣扬邪教、封建迷信的；

（六）散布谣言，扰乱社会秩序，破坏社会稳定的；

（七）鼓动公众恶意评论他人、公开发布他人隐私或者通过暗示、影射等方式对他人进行人身攻击的；

（八）公然侮辱他人或者捏造事实诽谤他人的；

（九）以非法社团名义活动的；

（十）买卖法律、法规禁止流通的物品的；

（十一）非法买卖法律、法规限制流通的物品，对公共安全构成威胁的；

（十二）含有淫秽、色情、赌博、暴力、欺诈等内容，或者教唆犯罪、传授犯罪方法的；

（十三）含有法律、法规禁止的其他内容的。

第四章 设备和系统维护管理

第十五条 机房设备及托管设备必须进行建档管理，设备档案包括设备厂商、设备品牌、设备名称、设备型号、设备编号、硬件配置、网络资源配置、启用时间、存放位置、变动情况、故障情况、维修记录等。

第十六条 设备运行情况必须进行巡检记录，详细记录设备的CPU、内存、硬盘、网卡、电源、风扇等运行情况。

第十七条 设备的升级、改造、维护、维修由兵团信息中心统一负责，不得随意拆卸、改装或变更用途。

第十八条 严格执行设备防水、防火、防电、防雷规定，预防水火电侵害，确保人身和设备的安全。

第十九条 服务器在安装完操作系统后，必须配置安全策略，包括密码策略、审计策略、访问策略、用户权限等；不得安装非业务系统需要的任意软件及盗版软件。

第二十条 不得随意调整网络设备的用途、更改网络设备配置。

第二十一条 不得在在用系统的服务器上建立与该业务系统无关的文件和目录。

第二十二条 不得在在用系统的服务器上做其他业务系统测试任务。

第五章     计算机病毒防护管理

第二十三条 计算机必须安装正版操作系统，及时安装系统升级补丁。

第二十四条 计算机必须安装国家许可的防病毒软件，及时更新软件版本和病毒库；定期对系统进行全面病毒扫描。

第二十五条 移动存储介质在接入计算机时，必须进行病毒扫描。

第二十六条 所有计算机及服务器均不得共享文件夹。

第六章    数据安全管理

第二十七条 源代码、业务数据必须制定备份策略，定期备份至本地备份中心和远程灾备中心。

第二十八条 根据数据的保密要求和用途，确定使用人员的存取权限、存取方式。

第二十九条 备份的数据必须存储在专门的存储器上，由专人保管，一般工作电脑不得存放业务数据，禁止泄露、外借和转移业务数据。

第三十条 业务系统设计过程必须对数据库加密处理。

第三十一条 业务数据和备份数据不得在因特网上传输；数据的复制、交接必须专人负责。

第三十二条 业务系统必须严格控制用户访问权限和密码设置要求，与业务无关人员不得访问业务系统。

第六章   附则

第四十三条 本办法自发布之日起执行。