烟草行业信息网络安全管理规定.docxVIP

烟草行业信息网络安全管理规定 第一章 总 则 第一条 为加强烟草行业信息网络（以下简称信息网络）安全管理， 提高安全防护能力， 根据国家有关法律法规及行业信息化工作管理的有关要求，制订本规定。 第二条 本规定适用于不涉及国家秘密及行业敏感信息的信息网络安全管理。 本规定所称的信息网络包括行业各单位的局域网、省域网，以及行业骨干网等行业内部使用的计算机网络。 第三条 信息网络安全坚持积极防御、综合防护和谁主管谁负责、谁运行谁负责、谁使用谁负责的原则。 第四条 行业各单位要定期开展网络安全教育和培训，提高全员信息安全防范意识。 第二章 联网准入 第五条 行业各级单位的信息网络与其他单位（含行业外单位）联网，要经上级网络主管部门批准。各单位信息网络结构调整需报国家局备案。 第六条 行业各单位要对信息网络的互联网接入实行审批 和登记制度， 严格控制互联网接入数量， 所有互联网接口要实行 — 1 — 统一安全策略。 终端计算机通过互联网或其他网络远程接入信息 网络，要使用数字证书方式进行身份认证。 第七条 行业各单位对联入信息网络的应用系统、终端计算 机实行注册管理。 应用系统在上线前要经过安全评估， 要符合行 业有关信息安全标准和管理规定。 联入信息网络的终端计算机要 符合行业及本单位的安全要求，不得安装其他上网设备。 第三章 网络保护 第八条 信息网络采取分区分域安全防护策略。信息网络与 互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措 施，有效防范违规接入和外联。 第九条 信息网络域名和 IP 地址由国家局统一规划。 各单位 要对信息网络域名、 IP 地址和网络端口实行集中管理，关闭不 必要的网络端口。 第十条 行业各单位要对信息网络采取以下措施： 1.采取身份鉴别措施， 有效防范非授权用户登录服务器、 终 端、应用系统以及安全保密设备。 2.采取访问控制措施，有效防范用户对信息的越权访问。 采取安全审计措施，准确记录用户和管理人员的操作行 为，有效监控违规操作。 第十一条 部署在信息网络上的应用系统要采取访问控制、 — 2 — 数据保护、 备份和监控等措施， 保障数据安全和应用系统安全运 行。 第十二条 在信息网络上发布信息，要严格遵守国家有关法 律法规及行业有关规定并经主管部门审核和登记后方可发布。 第四章 管理监督和责任 第十三条 国家局烟草经济信息中心负责国家局、总公司机 关信息网络安全工作， 管理、监督、检查行业信息网络安全工作； 行业各单位信息化部门负责本单位及所属单位的信息网络安全 工作。行业各级信息化部门的主要职责是： 制订信息网络安全管理制度，落实信息网络安全责任制，定期对制度执行情况进行检查和监督。 定期进行信息网络安全检查， 建立检查记录档案，制订并完善信息网络安全措施。 指定信息化部门内部人员担任网络安全管理员， 与网络运行维护单位签订安全责任书。 建立信息网络安全应急工作机制， 制订应急预案， 明确应急处置流程和应急保障队伍，及时处理和上报信息网络安全事 件。 第十四条 任何单位和个人不得利用信息网络危害国家安 全和行业安全，不得侵犯国家、社会和个人的合法权益，不得从 — 3 — 事违法犯罪活动。 第十五条 任何单位和个人不得利用信息网络制作、复制、 传播国家秘密及行业敏感信息，以及具有反动、色情、 暴力倾向的信息。 第十六条 任何单位和个人不得进行危害信息网络安全的活 动。 第十七条 对于违反本规定的单位和个人，视情节轻重给予相应的行政处分；构成犯罪的，移送司法机关处理。 第六章 附 则 第十八条 行业各单位要根据本规定，结合实际情况制订 本单位信息网络安全管理的具体办法。 第十九条 本规定由国家局负责解释。 第二十条 本规定自印发之日起施行。 1998 年 6 月 2 日 印发的《烟草行业计算机信息网络安全保护规定》（国烟办 〔 1998 〕 305 号）同时废止。 — 4 —