榆林市统计局关于印发榆林市统计系统网络安全相关工作制度的通知

各县市区统计局、市局机关各科室、局属各单位：

为加强全市统计网络安全体系建设，夯实网络安全主体责任，规范信息安全应急响应工作，确保信息系统安全、稳定运行，进一步保障统计网络和数据安全，市统计局制定了《榆林市统计局网络安全工作责任制》《榆林市统计系统网络安全工作总结制度》《榆林市统计系统网络安全考核制度》《榆林市统计系统网络安全风险隐患定期排查制度》《榆林市统计局VPN系统管理办法》，现印发给你们，请遵照执行。

附件: 1.《榆林市统计局网络安全工作责任制》

2.《榆林市统计系统网络安全工作总结制度》

3.《榆林市统计系统网络安全考核制度》

4.《榆林市统计系统网络安全风险隐患定期排查制度》

5.《榆林市统计局VPN系统管理办法》

榆林市统计局     

2022年5月11 日

附件1

榆林市统计局网络安全工作责任制

为推进对榆林市统计局网络安全工作责任制的有效落实，进一步健全防范化解网络风险的责任体系，根据《中华人民共和国网络安全法》《榆林市网络安全工作责任制考核办法》等有关文件要求，制定本制度。

一、总体要求

（一）指导思想

以习近平新时代中国特色社会主义思想和习近平网络强国战略思想为指导，深入贯彻落实习近平总书记关于网络安全和信息化工作重要论述综述，进一步强化管理，确保全市统计事业健康发展。

（二）基本原则

自主防范，逐级负责。按照“谁主管，谁负责；谁运维，谁负责；谁使用，谁负责”的要求，局党组对网络安全工作负主体责任，党组书记、局长为第一责任人，分管网络安全的局领导为直接责任人，局机关各科室、直属各单位负责人为相关责任人，全体干部职工应依照本制度要求及相关规章制度履行网络安全的义务和责任。

（三）总体目标

深入贯彻总体国家安全观，严格落实网络安全工作责任制，全面提高干部职工网络安全意识，建立健全网络安全体系，进一步完善网络安全管理运维体系，防范网络信息安全重大风险，及时做好漏洞修复，坚决遏制网络安全重大事故的发生，确保统计系统网络稳健安全运行，为统计事业提供有力保障。

二、主要任务

（一）建立健全网络安全组织体系

将网络安全工作纳入重要议事日程，定期安排部署工作，明确阶段工作重点。榆林市统计局网络安全和信息化领导小组为我局网络安全管理工作的领导机构，下设网络安全和信息化领导小组办公室（以下简称办公室），主任由主管网络安全的局领导担任，社会经济调查中心负责具体工作。局机关各科室、局属各单位要高度重视网络信息安全工作，履行网络安全责任。

（二）完善网络安全管理和保障机制

严格按照国家有关网络信息安全政策要求，结合实际，统筹规划网络信息安全体系建设，协调解决网络信息安全有关问题，定期对网络信息系统的安全进行监督检查，网络安全和信息化建设运维经费应纳入年度预算予以保障。局机关各科室、局属各单位应按照榆林市统计局网络安全工作责任制考核指标，认真落实各项工作任务。加强协调配合，形成合力，共同推进网络安全保障工作，提升网络安全防范能力。严格管理接入统计内网的计算机设备，按照国家统计局相关要求安装安全客户端、防病毒等相关网络安全软件。

（三）开展网络安全定期监测和预警体系建设

对全局各类涉及网络安全的业务系统、网络设备、计算机设备建立清单台账，定期进行扫描监测，敏感时期对重点网络设备实施7*24小时监测防护。强化口令控制、漏洞扫描、数据备份等基础安全，建立网络安全态势感知预测预警系统，全天候全方位感知网络安全态势,不断增强网络安全防御能力。以防攻击、防病毒、防入侵、防篡改、防瘫痪等为重点，深入查找薄弱环节，实现“遗留问题清零、可知漏洞清零”。

（四）建立健全网络安全应急处置预案

制定信息系统与网络安全应急预案，明确应急处置流程和权限，建立应急处置技术支撑队伍，定期组织网络安全事件应急演练，提高网络安全应急处置能力。安排专人做好网络安全应急值班值守，确保网络安全事件发生后迅速处置，及时报告。

（五）加强涉密信息管控，防范失泄密

涉密信息、数据、文件资料等管理，严格按照保密工作相关规定执行，具体事宜由局办公室负责。

三、责任追究

（一）责任内容

网络与信息安全主要责任如下：

1.认真贯彻习近平总书记关于网络安全工作的重要指示精神和党中央决策部署，以及中央、我省、我市关于网络与信息安全工作的要求，落实党和国家网络安全法律法规、政策文件，明确网络与信息安全的主要目标、基本要求、工作任务、保护措施。

2.建立网络安全责任追究制度，把网络与信息安全工作纳入重要议事日程，明确工作机构，加大支持保障力度。

3.统一组织、协调、处置统计系统网络与信息安全保护和重大事件处置工作，定期召开会议研判网络与信息安全形势，研究解决网络与信息安全重大问题。

4.发生网络安全事故时，立即向省统计局、市委网信办、公安机关网监部门报告并采取有效措施，保护现场，避免危害扩散，为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障。

（二）责任追究

有下列情形之一的，按国家相关法律和规定追究当事人和直接责任人责任：

1.门户网站被攻击篡改，导致反动言论或者谣言等违法有害信息大面积扩散，瘫痪6小时以上且没有及时报告和处置的。

2.发生国家秘密泄露、大面积个人信息泄露或大量基础数据泄露或丢失的。

3.关键信息基础设施遭受网络攻击，没有及时处置导致大面积影响工作，造成重大损失，或造成严重不良社会影响的。

4.封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的。

5.阻碍公安机关、国家安全机关依法维护国家安全侦查犯罪以及防范、调查恐怖活动，或者拒不提供支持和保障的。

6.未履行《网络安全法》等法律法规规定的义务，违法运行，并导致发生重大网络安全事件的。

7.发生其他严重危害网络安全行为的。

四、考核奖惩

办公室对各县市区统计局网络安全责任落实情况按年度进行考核，考核结果将作为年度目标责任考核的重要依据。对发生重大网络安全事故的单位，将公开通报批评，触及有关法律法规的，按相关规定进行处理。

附件2

榆林市统计系统网络安全工作总结制度

为全面提升榆林统计系统网络安全防护能力，切实提高网络安全运行效率，总结网络安全工作过程中的经验和不足，更好地提升下一阶段网络安全工作，特制定本制度。

第一条  各县（区）统计局网络安全工作总结每季度定期向市统计局提交。

第二条  工作总结内容

包括每季度网络、在用网络设备、信息系统、终端接入计算机等总体运行运用情况，当前季度网络安全主要工作存在的问题、风险、对策和建议。

第三条  各县（区）统计局对工作总结中发现的问题及时跟进处理并予以解决。

第四条  各县（区）统计局于每季度末20日前提交网络安全工作总结。

第五条  本制度由榆林市统计局社会经济调查中心负责解释。

第六条  本制度自印发之日起施行。

附件3

榆林统计系统网络安全工作考核制度

为进一步促进全市统计系统网络安全工作，提升网络安全工作重要性认识，切实夯实网络安全主体责任，加强网络安全基础设施建设，筑牢网络安全防线，特制定本制度。

第一条  各县（区）统计机构要提高政治站位和认识，深刻认识网络安全工作的重要性。

第二条  全市统计系统网络安全考核包括安全规划、安全管理、安全技术和安全培训四方面内容。

安全规划工作由各县（区）统计机构负责。针对本县（区）网络运行情况，以确保网络、在用网络设备、信息系统、终端接入计算机等整体安全运行为目标进行网络安全的全面规划，并在系统建设、运行、维护和日常管理中同步落实。

安全技术要坚持实用性、扩展性、全面性、安全性的原则，从物理、网络、主机、应用和数据层面对统计系统网络进行防护。

安全管理要结合实际，建立健全网络安全管理规章制度和网络安全事件处理流程及办法，确保网络安全管理工作在有序可控状态下进行。

安全培训每年不少于2次、系统性地对本县（区）网络安全管理人员、技术人员和使用人员进行网络安全培训，提高网络安全意识和技术操作水平。

第三条  榆林市统计局信息化和网络安全领导小组办公室负责对各县（区）统计机构网络安全的考核工作，考核形式分文档资料和实地检查等。

第四条  考核期限从上一年度的12月1日到本年度的11月30日止。

第五条  榆林市统计局网络安全和信息化领导小组根据网络安全考核内容，结合日常安全管理情况记录、远程检测和实地检查情况进行评分。满分为100分，其中，网络安全规划30分、网络安全技术35分、网络安全管理25分、网络安全培训10分。考核结果依据得分划分优秀、良好、合格、不合格四个档次。

第六条  榆林市统计局将对网络安全考核结果予以通报。

第七条  本制度由榆林市统计局网络安全和信息化领导小组办公室负责解释。

第八条  本制度自印发之日起施行。

附件4.

榆林市统计系统网络安全风险隐患排查制度

为夯实全市网络安全基础，全力保障统计网络和数据安全，结合榆林市统计系统网络安全工作实际，特制定本制度。

第一条  网络安全风险隐患排查工作由局网络安全和信息化领导小组办公室负责并监督、指导各县（区）统计局信息化部门进行相关工作。

第二条  按每季度对全市统计网络进行一次全面排查、检查，对潜在网络安全风险隐患进行评估，对存在的问题进行梳理、整改。

第三条  网络安全风险隐患排查内容

1.物理安全，机房空调、消防、门禁、UPS电源以及监控系统等。

2.终端接入计算机操作系统、应用软件漏洞。服务器操作系统、应用软件、安装数据库漏洞。

3.网络连接设备、网络安全设备，网络边界防护设备等访问控制风险。

4.网络入侵检测、防御。

5.网络版专用杀毒软件、安全软件安装及病毒库更新。

6.网络安全设备特征库更新。

7.排查出的问题，及时进行修复、整改，并监督落实。

第四条  本制度自印发之日起施行。

附件5

榆林市统计局VPN系统安全使用管理办法

第一章 总则

第一条  为保障榆林市统计局网络安全运行，降低和控制虚拟专用网络（以下简称VPN）系统的使用带来的安全风险，保障VPN系统的安全使用，规范VPN账号的管理，制定本管理办法。

第二条  本管理办法中的VPN是指榆林市统计局虚拟专用网络，是一种通过互联网访问统计系统内网资源的网络服务。

第三条  榆林市统计局社会经济调查中心负责VPN系统的管理和运行维护，负责保障VPN系统的正常运行和账号管理，为VPN用户提供使用技术支持。

第四条  VPN的服务对象为榆林市统计局工作人员。

第二章 系统维护管理

第五条  榆林市统计局VPN设备应符合国家密码算法认证，采用经国家密码管理委员会办公室鉴定通过的加密算法和安全协议，支持用户名口令、数字证书等多种认证方式，能够实现访问资源与用户权限的管理，并能够提供行为审计等功能。

第六条  VPN设备应部署在安全可靠的机房环境，做好防尘、防盗、防雷等工作，未经允许禁止变更VPN设备物理安装位置与网络部署位置。

第七条  VPN系统管理员负责保障VPN设备的正常运行维护，负责按照审核后的申请表创建VPN账号及分配权限，负责向VPN用户提供使用技术支持，配合进行与VPN系统相关的安全事件的排查处理。

第八条  VPN系统发生故障后，要及时向主管领导报告，并尽快排除故障。

第三章 用户管理

第九条  VPN系统仅供榆林市统计局工作人员使用，严禁向外单位人员提供，用户可按照有关规定申请开通和使用VPN服务。

第十条  VPN账号创建成功后，用户应尽快修改VPN账号的初始密码，重新设置符合账号密码复杂度要求的密码。

第十一条  VPN用户需保管好个人的账号与密码，不得冒用他人账号或将本人账号转借他人使用。

第十二条  VPN用户要注意个人终端系统安全，做好病毒、木马等危害程序的防护，定期查杀病毒、木马等，及时升级系统补丁，一旦发现机器感染病毒、木马或其他危害程序，应立即停止VPN接入，待处理完毕后方可使用。

第十三条  用户单独承担使用VPN访问统计系统内网资源的责任，严禁使用VPN账号进行危害网络安全的行为。

第十四条  用户登录VPN系统，需使用本人的工作用机，不得在他人使用的计算机上登录VPN系统，严禁在网吧、宾馆等公用场所提供的计算机上登录VPN系统。由此造成泄密或其他安全事件，将按国家相关法律法规追究责任。

第十五条  VPN用户要严格遵守上网规范，不得从事发布非法言论、散播非法信息内容及其他如传播病毒木马、攻击系统等危害公共安全或违反国家法规的行为。由此造成恶劣影响的，将按国家相关法律法规追究责任。

第四章 账号管理

第十六条  严格VPN账号申请的管理，申请人应按照规定，填写《榆林市统计局VPN账号申请表》，审核通过后，由VPN管理员创建账号，每个用户只允许申请一个VPN账号。

第十七条  应定期修改VPN系统管理员的登录密码，VPN用户应定期修改个人VPN账号的密码，密码连续使用周期不得超过三个月，且口令应满足复杂度要求（长度为8位以上，由大小写字母、数字和特殊字符中两种以上的组合），且不易被猜测。

第十八条  定期检查账号的使用状态，及时注销过期账号和使用完成的临时账号，锁定多次试图使用无效口令登录的账号。

第十九条  用户工作电脑丢失或因意外情况造成VPN账号信息泄露后，应及时通知VPN管理员，由VPN管理员修改或注销VPN账号。

第五章 附则

第二十条  本办法由榆林市统计局社会经济调查中心负责解释，自印发之日起施行。

第二十一条  附表

附表：

榆林市统计局VPN账号申请表

注：1.VPN使用人应遵守《榆林市统计局虚拟专用网络系统管理办法》的规定；

2.表格内容需全部填写，如填写信息不完整，则该申请无效。