中心各处室、市外商投资发展中心：

为提高信息安全保障能力和水平，促进信息化建设，维护网络信息安全，特制定《台州市投资促进中心网络信息安全管理制度》，现印发给你们，请认真贯彻执行。

台州市投资促进中心

2023年5月23日

台州市投资促进中心网络信息安全管理制度

第一章  总则

第一条  为加强中心网络信息管理，明确网络信息安全职责，保障信息化建设稳步推进，根据有关规定和上级要求，制定本制度。

第二条  本制度内容包括：网络安全管理责任、计算机和网络安全管理、信息系统安全管理、信息机房安全管理、安全教育培训、网络行为管理、安全事件应急处理、检查与考核。

第三条  本制度适用于中心全体工作人员。

第二章  网络安全管理责任

第四条  党组书记为网络信息安全工作第一责任人，分管网络信息安全的领导班子成员为直接责任人，中心各处室对本处室网络信息安全工作负主体责任。

第五条  中心成立网络信息安全工作领导小组，下设办公室，作为中心网络信息安全责任部门，具体负责日常监督管理工作，并指定专人担任网络管理员。

第六条  中心工作人员必须严格遵守本制度，按照“谁保管、谁负责”、“谁使用、谁负责”的原则，确保安全使用计算机及网络信息系统。

第三章 计算机和网络安全管理

第七条  计算机和网络设备的采购、安装、管理等均由办公室负责，并定期进行设备巡检，其他任何人不得破坏、拆解或随意挪作他用。

第八条  外网计算机须安装防病毒软件,及时在线升级杀毒软件、更新系统补丁，定期对计算机进行全盘扫描、杀毒，发现病毒感染、非法访问、可疑应用等异常情况及时报告。

第九条  内网计算机和涉密计算机要做到专机专用和物理隔离，严禁与非涉密网络、设备和存储介质进行连接。同时须设置开机密码,密码长度不得少于8位,且至少每半年更换一次。

第十条 未经批准,外来人员不得操作本单位的计算机。外来移动硬盘、光盘、U盘等移动介质必须经查毒杀毒、木马清除后方可使用。

第十一条 接入本单位网络的所有设备必须备案，由网络管理员分配静态IP地址，任何人不得擅自更改IP地址及网络设置，不得私自添加无线路由设备。

第十二条  任何人不得利用计算机技术侵害用户合法利益，不得制作和传播有害信息，不得制造和传播任何计算机病毒。

第十三条  提高自身的恶意代码防范意识，在接收文件和邮件之前，必须先进行恶意代码检查。已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。

第四章 信息系统安全管理

第十四条  信息系统要及时开展定级备案，三级信息系统对其网络和系统的安全性以及可能存在的风险每年开展一次技术检测评估，二级信息系统每两年开展一次。

第十五条 信息系统(包括服务器、数据库和中间件）的配置和数据须定期备份，运行日志和操作使用日志等均应严格按照保留至少十二个月的要求设置。

第十六条 所有用户应妥善保管所掌握的信息系统账号和密码，不得设置简单密码（应至少含有字母、数字和符号的组合），不得随意泄露或借与他人使用，不得在未知的网络环境进行系统登录等操作。

第十七条  因业务需要收集、处理个人信息的，要按照相关法律法规、标准规范的要求，遵循合法、正当、必要的原则，收集、存储、使用个人信息，不得收集与工作、服务无关的信息，不得泄露、篡改或损毁，不得违法违规向第三方提供。

第十八条  严禁私自将个人信息上传至门户网站、微信公众号等网络新媒体公开，对应用平台上的个人信息要严格保密，收集、上传、利用个人信息须经中心领导同意后按照相关规定规范收集和管理。

第五章  信息机房安全管理

第十九条  信息机房要做好控温、稳压、接地、防尘、防水、防潮、防静电、防雷、防火、防盗等措施，保证网络及核心设备的安全稳定运行，定期做好漏洞扫描及安全加固，减少不必要的端口开放。

第二十条  信息机房属于机要重地，禁止与机房工作无关人员进出机房，外来施工和维护人员进入须机房管理人员陪同并履行登记手续方可进入，且不得将食品、饮料以及易燃易爆物品带入。

第二十一条  机房管理人员定期对机房进行巡检，检查设备是否正常并按规定对网络和信息设备进行维护保养，如遇重要节日和重大活动至少每天巡检一次，确保单位网络和信息系统安全稳定运行。

第六章  安全教育培训

第二十二条  开展多种形式网络安全宣传教育，提升网络信息安全保护意识，营造安全、健康、文明、和谐的网络环境。

第二十三条  积极参加市委网信办等部门组织的网络安全教育和培训活动；利用网络安全专题会议、机关干部学习会等场合开展网络安全学习，宣传学习网络安全相关法律法规；邀请网络信息安全专家来中心开展讲座授课，通过安全知识讲解、真实案例分析、网络攻击方式演示等，提高全体干部职工对网络安全风险的认识，增强防范意识。

第七章  网络行为管理

第二十四条  不得散布违反宪法基本原则、危害国家安全、煽动民族仇恨和民族歧视以及非法聚集、打砸抢烧等政治类有害信息；不得利用互联网和手机媒体传播淫秽色情等低俗信息和图片；不得在互联网上发布不负责任的言论和其他有害信息，不转载和传播未经证实的信息，自觉维护文明健康的网络环境。

第二十五条 要严格区分职务行为与个人行为，涉及单位重大决策部署、重要工作成果、重要活动开展、重大事件、敏感问题的对外网络宣传材料，须经审核把关后方可发布。

第二十六条 工作时间不得利用办公网络从事网络闲聊、证券交易、网络游戏、网络购物、博彩投注、看听影音、阅读小说、发布商业信息等与工作无关行为。

第二十七条 不得擅自送修、拆换办公电脑硬盘，不得擅自将非办公电脑接入中心局域网，不得使用不设安全密码的无线路由器。

第八章  安全事件应急处理

第二十八条 网络管理员巡查本单位网络和信息系统，一旦发现单位网络被攻击、网站主页被篡改、发生网络泄密等网络安全事件，可根据实际情况采取断网等有效措施进行处置，将损害和影响降低到最小范围，保留现场并向网络信息安全负责人汇报。

第二十九条 网络安全事件处理过程中要掌握损失情况，查找和分析事件原因，修复系统漏洞，恢复系统服务，如涉及网络违法犯罪行为应积极配合公安机关开展调查。

第三十条 如接到网信网安部门安全事件通报，相关责任处室和责任人应积极配合办公室，立即响应、及时修复，并以书面形式将处置情况经网络信息安全负责人同意后限期反馈。

第九章  检查与考核

第三十一条  各处室和个人运用计算机网络和信息安全纳入责任制考核，由网络安全工作领导小组负责，办公室在其领导下开展计算机网络信息安全的检查、督查和考核工作。

第三十二条  各处室负责人有责任督促检查本处室计算机网络信息安全情况，办公室不定期进行检查。

第三十三条  违反国家、网信部门、保密部门有关计算机网络信息安全规定，造成失密、泄密的，依照有关规定处理。

第三十四条  因各种原因造成计算机病毒入侵、信息损毁的，应对不良后果负责。未造成无法挽回损失的给予通报批评；造成损失、对单位有一定负面影响的，按照有关规定给予纪律处分，取消当年评优评先资格。

第三十五条  对于在网络设备安全、信息安全管理中表现突出的处室和个人，给予通报表扬，优先推荐评优评先。

第三十六条  本制度从发布之日起实施。