第一章 总则
第一条 为加强临沧市文化和旅游局(以下简称“本单位”)网络信息安全保密管理,确保国家秘密、工作秘密以及敏感信息的安全,依据《中华人民共和国保守国家秘密法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规和政策规定,结合本单位工作实际,制定本制度。
第二条 本制度适用于本单位所有工作人员(含在编人员、借调人员、聘用人员、实习生等),以及访问、使用、管理本单位网络与信息系统、处理本单位涉密及敏感信息的其他相关人员。
第三条 本制度所称网络信息安全保密,是指为防止网络失密、泄密、窃密事件发生,确保信息系统及存储、处理、传输的信息(包括但不限于公文、数据、资料、图像、音频、视频等)的保密性、完整性、可用性,所采取的一系列技术和管理措施。
第四条 网络信息安全保密工作遵循“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”和“涉密不上网、上网不涉密”的原则,实行积极防范、突出重点、依法管理的方针。
第二章 保密范围和密级确定
第五条 本单位的保密信息范围主要包括:
(一)涉及国家秘密的事项:依照国家保密范围规定,在文化和旅游业务工作中产生的国家秘密事项。
(二)工作秘密:本单位在履行职能过程中产生的不属于国家秘密,但泄露后会妨碍机关正常履行职能、损害公共利益或者对特定公民、法人和其他组织的合法权益造成不利影响的内部敏感信息。包括但不限于:未公开的规划计划、政策文件草案、内部统计数据、敏感会议内容、执法检查方案、人事任免讨论情况、重要项目招投标底价、涉旅安全应急预案、未公开的文化遗产考古发现资料等。
(三)个人信息:在履行职责过程中获取的公民个人隐私信息,如身份证号、联系方式、行程信息、健康信息等。
(四)其他敏感信息:根据工作需要,认定为需要保密的其他信息。
第六条 国家秘密的密级、保密期限和知悉范围,严格按照国家保密规定确定。工作秘密、敏感信息应参照相关规定和工作实际,明确其保密要求、接触范围和保存期限。
第三章 管理要求
第七条 组织管理
(一)成立网络信息安全保密工作领导小组,由单位主要领导负责,分管领导及相关科室负责人参加,统筹协调本单位网络信息安全保密工作。领导小组下设办公室(可设在局办公室或指定责任科室),承担日常管理工作。
(二)各科室负责人为本科室网络信息安全保密工作第一责任人,负责落实本制度各项要求。
(三)明确网络信息安全管理员、系统管理员等关键岗位的保密责任,签订保密承诺书。
第八条 人员管理
(一)所有工作人员上岗前须接受网络信息安全保密教育,了解保密法规和本制度要求。
(二)定期组织网络信息安全保密培训和警示教育,提高全员保密意识和技能。
(三)涉密人员的管理按照国家有关涉密人员管理规定执行。
(四)离岗离职人员须及时办理网络访问权限、系统账户注销手续,并清退所有涉密及内部敏感信息载体。
第九条 网络与信息系统管理
(一)严格区分涉密网络与非涉密网络。涉密网络的建设、使用和管理必须符合国家保密标准。
(二)非涉密网络(包括办公内网、互联网接入网络等)不得存储、处理、传输国家秘密信息。
(三)加强网络边界防护,部署必要的防火墙、入侵检测系统、防病毒系统等安全设备。
(四)定期对网络系统进行安全风险评估和漏洞扫描,及时修复安全隐患。
(五)信息系统(包括业务系统、办公自动化系统、网站、新媒体平台等)的开发和运维应同步规划、建设、运行安全措施。
第十条 设备与存储介质管理
(一)用于处理涉密信息的计算机、移动存储介质等设备,必须专用,并采取物理隔离、身份鉴别、访问控制、信息加密等安全措施。
(二)严禁将涉密计算机、涉密存储介质接入互联网或其他公共信息网络。
(三)非涉密计算机严禁存储、处理国家秘密信息。处理工作秘密和敏感信息的计算机应加强口令管理、安装防护软件。
(四)移动存储介质不得在涉密与非涉密网络、设备间交叉使用。
(五)报废、销毁涉密或敏感信息设备、存储介质时,必须采用不可恢复的方式进行彻底销毁。
第十一条 信息发布与传输管理
(一)在互联网站、政务新媒体、公共信息平台等发布信息,必须严格执行信息发布审核程序,确保不涉及国家秘密、工作秘密和敏感信息。
(二)通过互联网电子邮件、即时通讯工具等传输工作信息,不得涉及国家秘密。传输工作秘密和敏感信息应采取加密等安全措施。
(三)严禁使用非保密渠道传输国家秘密信息。
第十二条 数据安全管理
(一)加强对文化和旅游业务数据(如游客信息、文物数据、市场数据等)的分类分级管理,明确各类数据的保密要求和使用规范。
(二)收集、使用个人信息应遵循合法、正当、必要原则,并采取严格保护措施,防止信息泄露、篡改、丢失。
(三)建立数据备份与恢复机制,确保重要数据安全。
第十三条 外包服务管理
(一)涉及网络与信息系统开发、运维、检测等外包服务,应与服务提供商签订安全保密协议,明确其安全保密责任和义务。
(二)加强对服务提供商的安全监督与管理,确保其遵守本单位的保密要求。
第四章 应急响应与查处
第十四条 制定网络信息安全保密事件应急预案,明确事件报告、应急处置、系统恢复等流程。
第十五条 发生或发现网络失密、泄密、窃密事件,当事人或知情人应立即采取补救措施,并及时向科室负责人和网络信息安全保密工作领导小组办公室报告,不得隐瞒。
第十六条 对发生的网络信息安全保密事件,迅速组织调查处理,查明原因,评估影响,落实整改,并按规定向上级主管部门和保密行政管理部门报告。
第十七条 对违反本制度规定的单位和个人,视情节轻重给予批评教育、责令检查、通报批评等处理;构成违纪的,依纪依规处理;涉嫌违法犯罪的,移送司法机关依法处理。
第五章 附则
第十八条 本制度由临沧市文化和旅游局网络信息安全保密工作领导小组办公室负责解释。
第十九条 本制度自发布之日起施行。此前相关规定与本制度不一致的,以本制度为准。各科室可根据实际工作需要,制定相应的实施细则。
第二十条 国家及省市另有新规定的,从其规定。
滇公网安备53090202000021