上海计算机软件技术开发中心 网络与信息系统安全管理制度（修订）

为进一步加强和改进意识形态工作，落实党管意识形态原则，明确软件中心领导班子、领导干部的意识形态工作责任，同时也为更好地保护软件中心网络与信息系统的安全运行，使中心信息系统更好地服务于中心各项业务工作，为中心各部门开展业务工作提供良好的技术支撑和条件，根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、公安部《信息安全等级保护管理办法》和《计算机信息系统安全保护等级划分准则》第一级“用户自主保护级”的要求和相关法律法规，结合中心实际情况，制定本制度。

一、 本制度所称的网络与信息系统，是指中心规划、建设、运维、管理或使用的网络、计算机软硬件及相关配套设施，包括网络设备、网络服务器、网站、应用系统、个人计算机及移动终端等。本办法适用于使用中心网络及信息系统的任何用户。

二、 中心网络安全和信息化领导小组对中心网络安全工作负主体责任，中心主任是第一责任人，成员包括中心领导班子成员。中心网络安全和信息化工作小组由分管网络安全和信息化工作的领导及各部门负责人组成。中心领导根据工作分工，按照“一岗双责”要求，抓好分管部门和工作范围内的网络安全和信息化工作，并对职责范围内的相关工作负领导责任。

三、 信息安全管理小组负责中心信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。信息安全管理小组成员包括安全主管、安全管理员、机房管理员、网络管理员、应用系统管理员和主机管理员等。

四、 技术与质量管理部负责统筹协调网络与信息系统安全工作；作为主体责任部门，牵头起草制定和完善网络与信息系统安全管理的相关规章制度；负责中心域名信息及备案的管理等。

五、 中心办公室负责中心网络与信息系统安全对外联系接洽，对内牵头组织工作。

六、 软件平台服务部对各部门网络与信息系统安全工作进行指导、检查、监督，采取技术措施和其他必要措施，保障网络与信息系统安全、稳定选行，有效应对网络与信息系统安全事件，防范网络违法犯罪活动，维护网络信息系统中数据的完整性、保密性和可用性。为中心网络和信息系统安全保护提供基础技术支持和应急处置。

七、 各业务部门依照国家法律法规和中心有关规定，在各自职责范围内负责网络安全保护和监督管理工作。负责接入中心网络与信息系统的用于办公、科研开发计算机的维护以及本部门应用服务器的运行维护。各业务部门的设备管理员应动态记录所属部门网络与信息系统的软硬件配置、网络配置、控制策略、IP地址等信息，保证网络与信息系统工作对接的一致性。

八、 中心主任室、办公室、财务部、技术与质量管理部、保密培训管理办公室等部门的办公计算机和应用服务器维护由软件平台服务部负责。

九、 软件评测重点实验室评测区域的网络与信息系统由实验室自行管理，一般情况下与中心网络与信息系统物理隔离。若需接入中心网络与信息系统，按照本制度第十条第二款执行。

十、 网络与信息系统（或网站）上线

（一） 关健信息基础设施及重要信息系统相关网络产品、服务从采购至上线安全策略制定应符合相关国家标准的强制性要求，应参照国家网络安全审查报告，并按照国家相关法律法规要求认真审查如下风险：

1. 产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险；

2. 产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；

3. 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用校园用户相关信息的风险；

4. 产品和服务提供者利用用户对产品和服务的依赖，损害校园网络安全和用户利益的风险；

5. 其他可能损害国家安全及中心网络安全的风险。

（二） 各业务部门因开展业务需要对外开放的信息系统（和网站），需经中心领导审批同意后方可实施。原则上应在中心数据中心机房内部署，并明确其网络及信息系统安全需求。软件平台部根据安全需求，做好安全设置。

十一、 网络与信息系统维护要求

中心网络与信息系统根据国家信息系统安全等级保护相关规定对网络与信息系统的安全管理实行等级保护制度。应采取必要的措施隔离用户与数据，使用户具备自主安全保护的能力。应通过多种形式的控制策略，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

(一) 自主访问控制：实施相关机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份访问、使用相关信息；阻止非授权用户读取敏感信息；

(二) 身份鉴别：要求用户标识自己身份，并使用保护机制（例如：口令）来鉴别用户身份，阻止非授权用户访问用户身份鉴别数据；

(三) 数据完整性：通过自主完整性策略，阻止非授权用户修改或破坏敏感信息；

(四) 上述管理和控制措施应在系统建设（或系统升级改造）完成时予以确定。

十二、 网络与信息系统维护管理

(一) 中心可通过第三方服务机构帮助实施网络与信息系统维护工作。中心技术与质量管理部应根据中心网络与信息系统实际情况，会同软件平台服务部一起寻找合格供方并签订技术维护合同。

(二) 软件平台服务部应严格按照第九条的要求，建立中心网络与信息系统运行、维护实施细则，建立网络与信息系统档案数据库，动态记录中心网络与信息系统软硬件配置、网络配置、控制策略、IP地址、保养维修记录等信息；通过共享网络服务器统一规范中心的网络与信息系统防病毒措施，定期检查网络与信息系统的安全情况；各业务部门设备管理员应结合中心固定资产管理及质量管理体系的运行，配合软件平台服务部做好设备信息变更的登记管理，保证用于所属部门的信息的完整性、实时性，可用性。

(三) 各业务部门因工作需要，须变更网络与信息系统相关设置或处理相关信息，应由本部门设备管理员提出具体要求，填写《网络接入状态更改申请》，经审批同意后实施。

(四) 公用网络与信息系统管理员必须克尽职守，履行好以下基本职责：

1. 帐户和密码管理；

2. 保障所负责系统的安全运行，防范病毒，及时解决出现的任何问题；

3. 定期作好数据备份、整理存储空间；

4. 定期检查网络与信息系统电源使用状况，确保系统安全；

5. 严禁利用职务之便，危害软件中心利益；

(五) 中心职工须遵守有关网络与信息系统安全的行为准则，遵守宪法法律、遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、污秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。不得做出下列严重危害中心网络与信息系统安全的行为：

1. 未经允许，对信息系统功能进行删除、修改或者增加；

2. 未经允许，对信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

3. 故意破坏计算机及其外围设备、网络设备；

4. 故意制作、传播计算机病毒等破坏性程序；

5. 其他危害信息系统网络安全的。

(六) 中心职工不得从事下列影响网络与信息系统正常工作的活动：

1. 盗用他人帐户或网络地址；

2. 擅自更改个人工作站与网络相关的系统参数，如：本机主机名、工作组名、本机网络地址等相关参数等；

3. 严禁访问反动网站、不良网站；

4. 严禁工作时间从互联网下载与本职工作无关的视频、图像等信息。

(七) 中心职工应自觉做好个人工作用机的病毒防范工作，认真管理个人帐户、密码等重要信息，谨防他人冒用。

(八) 中心职工应遵守《上海软件中心保密制度》，不得利用国际互联网危害中心安全、泄露中心秘密，不得侵犯中心的利益和职工的合法权益，不得从事违法活动。

(九) 中心职工在使用网络与信息系统时发现问题，务必及时向软件平台服务部、技术与质量管理部及中心分管领导汇报，避免造成更大损失。

十三、 中心网络与信息系统安全保护应急管理实行预案制。发生网络与信息系统安全事件时，应立即向办公室和相关负责人报告，并及时处置安全风险、采取相应的补救措施，把不良影响与损失降到最低。相关规定要求可参见《上海计算机软件技术开发中心影响安全工作的应急预案》。

十四、 对违反本安全管理制度行为的职工，将在中心内部予以相应处分，情节严重者将依据国家计算机网络与信息系统安全保护条例等有关法律、法规，按照司法程序处理。

十五、 中心领导班子和成员有下列情形之一的，视情节轻重严肃追究责任：对党中央或者上级党组织安排部署的重大网络安全和信息化任务组织开展不力的；对处置网络安全和信息化工作中出现重大问题上，主要领导没有站在第一线的；对中心的党员干部公开在网络上发表违背党章、党的决定决议和政策的言论放任不管、处置不力的；其他未能切实履行工作职责，造成严重后果的。

十六、 对于网络安全和信息化工作的，特别是敏感时期的应急管理，详见《上海软件中心-安全管理制度-影响安全工作的应急预案》相关内容。

十七、 本管理制度自通过修订之日起执行。《上海计算机软件技术开发中心信息安全管理制度汇编》作为本管理制度的补充。

上海计算机软件技术开发中心

二〇一八年八月七日