山西省文物局网络安全责任制检查考核制度(试行)
(征求意见稿)
第一条 为贯彻落实《中华人民共和国网络安全法》《党委(党组)网络安全工作责任制实施办法》,进一步加强网络安全管理,落实网络安全主体责任,按照山西省委网信办《山西省网络安全工作责任制考核量化评估细则(试行)》,结合我局工作实际,制定本考核制度。
第二条 检查考核对象为局直属各单位。
局直属各单位对本单位网络安全工作负主体责任,直属各单位领导班子主要负责人是网络安全工作第一责任人,分管网络安全的领导班子成员为直接责任人。
第三条 考核评价以网络与信息安全工作基本要求为底线指标,以年度网络安全检查工作为考核依据,充分发挥考核评价在促进全局网络安全工作责任制落实中的导向作用。
第四条 网络安全责任制检查考核内容和指标详见《山西省文物局网络安全责任制检查考核指标》。
第五条 检查考核工作每年一次,考核事项时间范围为每年的1月至12月。
第六条 检查考核工作由山西省文物局网络安全和信息化工作领导小组办公室(以下简称“领导小组办公室”)负责组织实施。领导小组办公室设在文物科技处。
第七条 每年12月底前,局直属各单位对照检查考核指标,结合本单位年度网络与信息安全工作计划,进行自查,并将本年度自查情况报领导小组办公室。
第八条 领导小组办公室根据省委网信办统一安排,在年度网络意识形态和网络安全责任制专项督查中,对各单位网络安全责任制落实情况进行实地核查。
第九条 年度发生严重网络安全事件,被上级主管部门问责的单位,当年网络安全考核实行一票否决,并按有关规定追责问责。
第十条 考核结果报领导小组办公室,纳入对直属各单位领导班子的综合考核指标体系。
第十一条 本制度由领导小组办公室负责解释。
第十二条 本制度自印发之日起施行。
附件
山西省文物局网络安全责任制检查考核指标
序号 | 指标内容 | 分项 总分值 | 指标描述 | 单项 分值 |
1 | 领导责任制建设 | 6 | 成立了网络安全和信息化领导小组统筹协调本单位网络安全工作。 | 3 |
2 | 通过正式文件或会议纪要明确了单位主要负责人是本单位网络安全第一责任人,分管网络安全的领导班子成员是直接责任人。 | 3 | ||
3 | 明确网络安全工作机构 | 6 | 明确了负责本单位网络安全工作的牵头部门,通过制度文件明确了部门工作职责。 | 3 |
4 | 网络安全牵头部门按照岗位实际明确了网络安全工作人员,并在人员变动后及时向局领导小组办公室备案。 | 3 | ||
5 | 网络安全工作研究部署 | 10 | 单位每年至少召开一次专题会议研究部署网络安全工作,加强单位内部职工网络网络安全意识。 | 5 |
6 | 单位主要负责人应参加省局每年组织的网络安全专题工作会议或培训。 | 5 | ||
7 | 日常网络与信息系统安全检查 | 30 | 每半年组织开展一次网络与信息安全自查,对各类问题隐患及时整改。按时形成自查报告并报省局网络安全和信息化领导小组办公室。 | 5 |
8 | 全面清理问题信息系统。 | 3 | ||
9 | 及时更新信息系统补丁、修复漏洞、升级杀毒软件。 | 2 | ||
10 | 定期维护网络信息系统,优化安全策略,杜绝后门、暗链等安全事件发生。避免通过远程登录后台管理系统。杜绝弱口令、默认口令、通用口令、长期不变口令,防止高危漏洞不修复、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改。 | 6 | ||
11 | 保障个人隐私数据和重要业务数据安全。严格控制数据采集范围、数据访问授权,及时发现处置非授权访问、大流量数据异常外传情况。 | 6 | ||
12 | 加强公共区域LED显示屏和网络打印机等物联网终端及其控制系统的管理,明确专人负责,避免使用远程或无线方式管理,防范内容被篡改。 | 6 | ||
13 | 加强访问日志记录和日常审计,日志保存6个月以上。 | 2 | ||
14 | 网络安全事件处置 | 8 | 制定本单位的网络安全事件处置流程,并报局领导小组办公室。 | 4 |
15 | 开展网络安全应急演练。 | 4 | ||
16 | 信息系统管理 | 20 | 准确掌握本单位信息系统的基本信息和相关资产信息,建立信息系统台账,并报局领导小组办公室备案,如信息有变更应及时更新并报送局领导小组办公室。 | 5 |
17 | 加强信息化项目建设的安全管理,相关技术资料归档并报局领导小组办公室备案。软件产品:采购合同、产品使用手册或技术手册;软件系统:招投标文件、采购合同、需求分析文档、系统设计文档、系统数据字典、系统部署文档、安全测评报告、系统操作手册、与系统开发商签订的《第三方保密协议》等。 | 15 | ||
18 | 等级保护工作 | 5 | 按照相关规定开展网络安全等级保护备案和等级保护测评。 | 5 |
19 | 开展网络安全宣传教育培训 | 7 | 积极开展国家网络安全宣传周等网络安全专项宣传活动。 | 3 |
20 | 在职人员年度人均培训时间不少于4个学时。 | 2 | ||
21 | 网络安全和信息化管理人员年度人均培训时间不少于8个学时。 | 2 | ||
22 | 国产化工作进展符合中央提出的目标要求 | 8 | 明确了本单位国产化工作的部门和负责人。 | 2 |
23 | 建立了国产化替代工作台账。 | 2 | ||
24 | 制定了国产替代计划。 | 2 | ||
25 | 用于采购国产软硬件产品的支出比例符合中央和省委提出的要求。 | 2 | ||
备 注 1、信息系统:指单位建设、运行、维护或管理,并支撑单位业务工作管理的所有信息系统,包括但不限于业务系统、网站、移动应用等。 2、各项考核内容的扣分上限为该项的分值。 3、考核结果90分(含)以上为优秀,80分(含)-90分为良好,60分(含)-80分为合格,60分以下为不合格。 | ||||
晋公网安备 14010602060460号
