江苏省交通运输厅网络安全管理办法解读:加强网络安全管理与保障体系
第一章 总则为了加强省交通运输厅的网络安全管理,要进一步落实网络安全工作的责任,同时健全网络安全保障体系。依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《交通运输部网络安全管理办法》《江苏省政务信息化项目建设网络安全管理规定》等相关规定,制定了本办法。
在省交通运输厅及厅属单位进行规划、建设、运行、使用以及监管网络等相关活动过程中,为了保障网络能够稳定可靠地运行,以及确保数据的完整性、保密性和可用性而执行的各项工作,适用于本办法。本办法所说的网络,是由计算机或者其他信息终端以及相关设备所组成的,按照一定的规则和程序来对信息进行收集、存储、传输、交换和处理的系统。
省交通运输网络安全工作遵循特定方针,该方针为“积极利用、依法管理、科学发展、确保安全”。同时,依据“同步规划、同步建设、同步使用”的要求,秉持“谁主管谁负责,谁建设谁负责,谁运行谁负责”的原则,实行分级管理以及分工负责。
第二章 职责和分工
省交通运输厅需按照规定来履行全省交通运输行业在网络安全方面的综合协调职责以及指导监管职责。省交通运输厅有网络安全和信息化领导小组办公室,其简称厅网信办,该厅网信办由科技处、办公室、政研室、信息中心组成,承担相关工作,具体的责任与分工依据《省交通运输厅关于调整厅网络安全和信息化领导小组有关事项的通知》(苏交技〔2019〕25 号)来执行。
县(市、区)的交通运输主管部门在同级党委和政府的领导之下,要贯彻落实国家、行业以及地方的网络安全相关法律法规和政策制度,并且负责本地区交通运输当中有关单位的网络安全工作。
网络要明确网络主管单位(部门)的责任,网络要明确建设单位的责任,网络要明确运行单位的责任,网络要明确应用单位(部门)的责任等。多种类的责任单位可以是同一个单位。各责任单位的网络安全职责分别为:
网络主管单位(部门)即网络的管理单位(部门),其具体由网络所涉及业务的管理责任单位(部门)来承担。厅本级的网络主管部门是网络所涉及业务的厅内相关处室;厅属单位则是其自建网络的主管单位。网络主管单位(部门)需承担网络的安全指导与协调责任。它要负责提出网络安全方面的需求,同时指导网络等保定级备案测评等相关工作。并且还要组织网络的上线、变更以及废止等事宜。并且要遵守网络安全的有关规定,以此来确保网络在使用过程中的安全。
建设单位承担网络建设任务,厅属单位承担网络建设任务时即为建设单位。厅本级网络若由厅信息中心代建,那么建设单位就是厅信息中心。建设单位需具体承担网络安全建设责任,要建立并完善建设安全相关制度,并且负责在建设阶段同步贯彻落实国家网络安全政策以及部省网络安全管理和技术要求。
运行单位指承担网络运行维护管理的厅属单位,厅本级网络运行管理单位为厅信息中心。运行单位承担网络安全运行管理责任,负责在运行阶段进行网络安全等级保护测评,建立并完善运行安全的相关制度,组织开展网络安全监测、预警以及事件处置工作,在网络运行阶段同步贯彻落实国家网络安全政策、部省网络安全管理和技术要求。
应用单位(部门)指的是使用网络的厅内相关处室以及厅属单位,还有网络所涉及业务的其他使用单位。这些应用单位(部门)要承担网络使用的安全责任,需遵守网络主管单位(部门)的有关安全管理要求,并且要对本单位自建的相关软硬件承担管理责任。
各单位需明确承担本单位网络安全监督管理职责的部门,该部门专门负责本单位网络安全保护的相关工作,同时对其下属单位的网络安全工作进行指导监管。各单位领导班子的主要负责人是网络安全工作的首要责任人,主管网络安全的领导班子成员则是直接责任人。
第三章 网络安全建设管理
网络主管单位(部门)需督促建设单位,按照等保制度和标准规范的要求,开展规划设计方面的网络安全工作,开展建设开发方面的网络安全工作,开展部署上线方面的网络安全工作。同时,督促建设单位建立起覆盖建设各方的网络安全责任制,以及覆盖各环节的网络安全责任制。
同时应签署责任承诺书,并留档备查。
第十条,在报批可行性研究报告(或具有同等作用的项目建议书等,以下情况相同)之前,建设单位需要组织开展等保定级工作。若有上级主管部门,那么拟报公安机关备案的等保定级结果,应当按照有关规定,经过上级主管部门的同意。对于全省统一联网运行的网络,应由省级建设单位带头统一确定等保定级方案。新建网络的等保定级方案,应与前期设计文件同时进行评审。改扩建网络需要重新组织进行定级工作。如果定级结果有调整,就应当按照要求向公安机关申报,以履行备案变更的手续。
建设单位应组织设计单位开展整体安全规划和安全方案设计,且要严格按照所定级别进行。安全方案设计需落实国家相关标准规范,要合理设计重要网络的出口路由等重要设备以及通信链路冗余备份方案,同时要明确身份鉴别、访问控制、安全审计等方面的要求。等保第三级及以上网络进行初步设计时(若可研报告与初步设计合并编报,则为可行性研究报告),在报批过程中,省交通运输厅的预审意见以及报批文件应当包含对网络安全内容的意见。
第十二条,若拟采用社会化云计算服务,建设单位需按照相关规定,在项目可行性研究阶段,开展云计算服务需求分析工作,同时评估云计算服务的安全风险,以确保网络安全需求能够得到满足。对于那些包含重要数据以及大量个人敏感信息,并且会直接影响党政机关运转和公众生活工作的关键业务,应当在确保安全的基础上,再对向云计算平台迁移进行考虑。
第十三条,网络建设需要采购安全可信的信息技术产品和服务。网络关键设备以及网络安全专用产品,应当符合法律、行政法规的规定,并且要满足相关国家标准的强制性要求。提供服务的云计算服务平台、数据中心等,需要设置在境内,并且要通过云计算安全服务审查。
建设单位需加强对应用软件开发的安全管理。软件要依据安全需求以及软件工程规范来进行设计与开发。同时,应采取相应措施来审查软件里可能存在的隐蔽通道以及恶意代码。
建设单位需严控第三方组件的安全风险,要对应用开发过程中引入的第三方代码、控件、组件以及库文件进行规范管理,明确开发单位在第三方组件方面的安全责任,建立起第三方组件清单,对于所使用的开源代码库和共享代码组件,应当做好台账记录。在系统等保测评以及代码审计的过程中,重点要对相关代码进行检查和检测。要防止因为使用共享代码组件,而将安全隐患以及黑客的“后门”带入到系统当中。
如果系统代码需要进行托管,那么软件开发运维单位应当向网络主管单位(部门)说明所使用的托管平台情况以及托管的代码内容或范围,同时网络主管单位(部门)要与软件开发运维单位签署代码托管授权书。倘若不进行托管,建议网络主管单位(部门)要求软件开发运维单位在合同或保密承诺书中作出承诺。业务应用系统的源代码不得上传到境外云服务代码托管平台,例如那些平台等;业务应用系统的业务数据也不得上传到境外云服务代码托管平台,例如那些平台等;同时,业务应用系统的源代码和业务数据都不得存储到境外服务器,例如那些服务器等。
代码托管需选择信誉良好且安全可靠的服务商,采用私有仓库或私有项目的方式,一般情况下不能公开托管;软件开发运维单位要加强内部管理,严格把控代码托管平台的访问权限,非项目组成员不允许访问;不能将包含系统配置信息、网络地址、账户密码等敏感数据的代码在托管平台进行公开托管或共享。
网络试运行需在安全有保障的情况下展开。当等保第二级网络申请试运行时,建设单位要向网络主管单位(部门)递交软件安全测试报告;而当等保第三级及以上网络申请试运行时,就应当向网络主管单位(部门)提交软件安全测试、代码安全审计以及密码应用安全性评估报告。软件安全测试结果不合格的,应在整改完成后申请试运行;代码安全审计含中高危漏洞的,应在整改完成后申请试运行;密码应用安全性达不到要求的,应在整改完成后申请试运行。
试运行前,运行单位需核验软件安全测试及代码安全审计报告等相关材料。运行单位要采取措施来评估申请试运行网络的安全状况,在确认符合运行安全要求(无中、高风险)后,方可组织开展网络试运行工作。若未达到运行安全要求,运行单位需以书面形式向建设单位提出安全整改要求。试运行网络需在 5 个工作日内将相关情况向本单位网络安全管理部门进行备案。网络在建设开发的同时,其相关移动互联网应用程序(如 APP、小程序、快应用或具备服务功能的公众号、微博账号等)的相关信息也应同步进行备案。
第十七条规定,网络试运行需采取分区分域以及严格访问控制等措施,以此来加强安全防护。在试运行期间,建设单位应当配合运行单位开展运行维护方面的相关工作。若因网络配置不当或者应用软件质量问题等而引发的网络安全责任,应由建设单位来承担。并且,在试运行期间,对于对等保第二级及以上的网络,建设单位应组织开展等级测评工作。涉及全省交通运输业务的重点业务信息系统,以及通过互联网提供公共服务的重点业务信息系统,还有基础信息库以及相关支撑体系等政务信息化建设项目,应当开展风险评估。
https://img2.baidu.com/it/u=3033097878,1037498771&fm=253&fmt=JPEG&app=120&f=JPEG?w=606&h=500
建设单位需组织运行单位参与竣工验收。若未通过等保测评及备案,或者风险评估不合格,就应在整改通过之后再开展竣工验收。在竣工验收后的 15 个工作日内,网络主管单位(部门)要组织建设单位和运行单位进行运行责任的移交,同时还要移交全部技术文档和源代码,并且要将有关材料报本单位网络安全管理部门备案。在运行责任及相关材料移交之前,建设单位负责相关的网络安全责任。
建设单位需明确网络建设开发的安全质量责任界定。对于因业务逻辑缺陷等原因,需要通过修改完善应用程序源代码来整改的漏洞隐患,应与相关产品服务提供单位约定全生命周期的安全保障要求。
第二十条,对于专项工作临时委托开发部署且短期运行的网络,网络主管单位(部门)需组织开发单位采取必要的安全防护措施,同时要做好安全检测评估工作。并且应尽量避免直接连接互联网,在上线之前,要向本单位的网络安全管理部门进行报备。专项工作结束之后,应当尽快停用该网络并使其下线。
等保第三级及以上的网络需制定密码应用方案,以正确且有效地运用密码技术进行保护,同时要使用符合相关要求的密码产品和服务。要依据密码应用安全性评估管理办法以及相关标准,来开展密码应用安全性评估工作。倘若出现密码应用重大调整等情形,网络主管单位(部门)应当及时组织开展密码应用安全性评估。
第四章 运行安全
运行单位要与应用单位(部门)一起,构建起涵盖运行各个环节的安全管理制度体系以及操作规程,并且要对制度版本进行规范管理,定期对其进行评估并加以完善。还要建立起完备的运行组织机构,科学地设置运维管理岗位,把运维安全责任切实地落实到位。应当配备一定数量的系统管理员、安全管理员、审计管理员,对于等保第三级及以上的网络,应当配备专职的安全管理员。涉及基础环境的运维、公共平台的运维以及业务应用系统的运维这多方的,应当在进行责任移交的时候确定运行责任,并且要定期对本单位的网络运行责任清单进行更新。全省联网网络由省级网络主管单位(部门)统一组织开展运行相关工作,且行业统一规划、统一建设、统一安全保护策略,同时明确运行单位责任;行业统一规划、分级建设、全省联网的网络,要分级落实运行责任,并且向上级网络主管单位(部门)报备责任落实情况。
运行单位要确保机房条件符合相关规定要求。
运行单位以及应用单位(部门)需要加强网络边界的防护。同时,要依据最小权限原则,对网络实施分区分域的管理。并且,在不同的安全域之间,要实施访问控制,严格限制非授权的网络访问。
并根据设备的重要程度采取相应的安全保护措施和访问控制策略。应用软件的修改需经过网络主管单位(部门)的授权,应用软件的更新需经过网络主管单位(部门)的同意,应用软件的发布需经过网络主管单位(部门)的授权和同意;软硬件设备的安全更新可授权运行单位同意。
运行单位以及应用单位(部门)应当采取相应的技术措施,以防范网络攻击以及网络侵入等那些会危害网络安全的行为。要遵循最小权限和最小安装的原则,强化对应用、服务、端口等方面的安全管理。同时,需要建立起定期进行巡检的制度,并且完善网络运行状态的监控、响应支持、故障处理以及性能优化等服务规范。
运行单位需严格依据等保要求,对于等保第三级及更高级别的网络,每年都要定时开展等保测评;对于等保第二级的网络,每三年至少要进行一次等保测评,并且要将测评结果上报给网络主管单位(部门)进行备案。网络主管单位(部门)应当为等保测评提供必需的保障条件,同时督促运行单位在规定期限内完成测评所发现的安全风险项的整改。发生服务范围重大变更,服务对象发生重大变更,处理的数据发生重大变更,且这些变更可能影响等保级别时,网络主管单位(部门)应组织重新定级备案,应组织安全整改建设,应按要求开展等保测评工作。
运行单位以及应用单位(部门)需要采取技术措施来对运行网络状态和网络安全事件进行监测与记录,并且要留存核心网络设备、安全设备、应用系统、数据库、服务器、中间件等的日志,在原则上这些日志应该包含原始日志以及归一化处理日志,留存时间不少于六个月。
运行单位和应用单位(部门)需加强对接入运行环境行为的管理。要对网络接入方案以及安全测评报告等进行审核和安全评估。只有在确认达到安全要求后,并与申请接入单位签订安全协议,才可授权接入。移动终端接入设备需要采取授权接入等安全措施,物联网感知节点设备也应如此。这些安全措施包括身份鉴别、加密和设备管控等。同时,要定期开展设备巡检工作,以便能够及时发现风险隐患并进行处置。
各单位需采取集中管控的措施,要进行用户识别,实施访问控制,开展安全审计等。以此来加强对计算机等办公终端的管理。按照“谁使用谁负责”这一原则,要落实使用人员的安全管理责任。同时要加强对终端和系统用户口令的管理,定期清理那些弱口令账户。并且还要定期组织病毒查杀、漏洞修复以及版本升级等工作。加强对移动存储介质的管理,通过采取技术措施来强化对其接入网络行为的监控与管理。同时,严格管理办公区域的无线网络,对非授权终端的网络接入行为进行严格控制。
各单位需加强对互联网资产的梳理以及监测工作,要将互联网资产的暴露面有效地收敛起来,同时缩减互联网的出口。任何单位和个人都不可以自行去建立或者使用除了国家公用电信网所提供的国际出入口信道之外的其他信道来进行国际联网。应强化网站的安全防护工作,部署所需的防护设备,构建起以网页防篡改、域名防劫持以及防止攻击、防止瘫痪、防止挂马为主要内容的防护体系。要严格区分安全区域,严谨地设置访问控制策略,构建起安全的访问路径,以此有效避免网站后台管理系统暴露在互联网环境中。要严格管理后台发布终端,对信息的发布、转载以及链接进行严格管理。
各单位需加强互联网电子邮件系统的安全管理,要采取与保护级别相符的安全保护措施。要严格进行用户注册的审批以及注销管理。绝对不允许将邮件自动转发至私人邮箱或者境外邮箱。应当加强对用户的安全意识教育,以防止遭遇钓鱼邮件等网络攻击。要确保用户的口令具有一定的强度,并且定期进行更换。自建的电子邮件系统应该单独开展等保定级以及备案工作。采用第三方邮件服务时,需要通过签订服务安全合同以及保密协议等方式,来明确第三方的安全责任。
运行单位需加强对外包服务以及远程技术服务的安全管理。若有需要外包服务或远程技术服务的情况,应当与服务提供者(包含法人单位以及具体服务人员)签订安全保密协议。要严格把控远程运维接口或通道,按照需求开启,在合适的时候及时关闭。在进行远程维护时,应当采取认证、加密、审计等管控措施,以有效记录技术服务的操作行为,并保留审计日志。
网络废止之前,运行单位要会同应用单位(部门)对网络废止所存在的安全风险进行评估。接着,要针对性地提出应对措施,将这些措施报给网络主管单位(部门),在获得其同意之后再予以实施。网络废止的处理结果需要报给本单位的网络安全管理部门进行备案,与此同时,还要向公安机关更新等保备案信息。网络主管单位(部门)提供使用云计算的资源,以及在业务系统运行过程中收集、产生、存储的数据和文档等资源,其所有权归网络主管单位(部门)。当退出云计算服务时,网络主管单位(部门)需确保云服务提供商做好数据、文档等资源的移交和清除工作。
国家在重要活动、会议期间会进行行业网络安全的重点保障。各单位要以重点保卫目标为核心,把互联网暴露面有效地收敛起来,做好事前的检查工作,以及对风险漏洞进行检测、整改。要建立网络运行的白名单,加强重点防护,并且签署网络安全责任承诺书。要实行专项的信息通报,严格按照“零事件”报告制度来执行。还要实行领导带班制度以及一线 7×24 小时的值守。网络安全重点保卫单位应建立与网信、公安等协调对接机制。
第三十六条 加强供应商安全管理。
网络主管单位(部门)需加强对软件开发运维单位的管理。对于正在开发的信息系统,若未经过安全测评以及未获得网络主管单位(部门)的同意,就不能在互联网上上线运行。倘若确实需要上线进行测试,就应当在系统中标注“试验运行”,不可以冠以正式的系统名称,同时也禁止挂载真实的业务数据。
(二) 各单位要指导本单位业务部门加强对业务数据的管理。政务或业务数据用于给技术服务单位支撑规划咨询、大数据分析等工作,应去除公民个人信息等进行脱敏处理,同时要签订数据保密协议,要求技术服务单位加强数据安全管理,若未经网络主管单位(部门)同意,就不能在互联网上以任何形式发布有关数据,也不能将存储数据的设备或数据库直接连入互联网。
各单位需提醒合作及支持单位,对于研究院所和公司内部为研究、试验等目的而自行开发的系统或软件,应当用研究院所或公司的名称来进行命名,不能冠以“江苏省交通运输”“江苏高速公路”之类的名称。
第五章 数据安全
采集、处理、使用重要数据的网络主管单位(部门)要指导数据安全保护工作。
第三十八条,各单位在收集和使用个人信息时,需遵循合法、正当、必要的原则。要公开收集、使用的规则,明确展示收集、使用信息的目的、方式以及范围,并且需获得被收集者的同意。网络主管单位(部门)应当对个人信息的采集范围、目的、规模等进行审查,对采集、存储、使用、销毁等行为进行规范,同时指导有关单位采取措施,以保障个人信息的安全。
并且至少每周进行一次增量备份。采集以及处理重要数据和个人信息(其中包含个人敏感信息)时,建设单位需要编制清单。此清单涵盖的内容有:重要数据和个人信息的种类,重要数据和个人信息的数量,还有对重要数据和个人信息进行收集、存储、加工、使用等方面的情况。
https://img2.baidu.com/it/u=3217671041,1226001505&fm=253&fmt=JPEG&app=120&f=JPEG?w=500&h=3892
运行单位需在网络主管单位(部门)的指导下,承担起数据安全保护的义务,将数据安全管理责任落实到位。要对数据的采集、使用、传输以及存储等环节进行规范化的管理,运用身份鉴别、访问控制、安全审计、安全隔离、可信验证等关键技术措施,全力保障重要数据在全生命周期内的安全。
各单位收集和产生的个人信息以及重要数据需要在境内进行存储。如果因为业务方面的需求,必须向境外提供这些信息和数据,那么网络主管单位(部门)就应该按照国家的有关规定来开展出境安全评估。
运行单位需加强对数据安全风险的监测工作。要做到防止数据出现泄露的情况,防止数据遭受毁损,防止数据出现丢失。当发生了泄露、毁损、丢失的情况,或者有可能发生这些情况的时候,应立刻采取相应的补救措施。并且要按照规定,及时将相关情况告知用户,同时向有关主管部门进行报告。
第六章 监测预警和应急处置
各单位需要加强本单位以及本系统的网络安全监测预警能力的建设,要能够实时掌握网络安全的态势。同时要加强安全事件的应急管理,制定并且完善网络安全的应急预案,然后将其报给厅网信办进行备案。每年至少要开展一次应急演练,并且依据演练的结果来对应急预案和防护措施进行完善。专业网络安全机构提供漏洞扫描、渗透性检测和实战攻防演练服务,应委托获网络安全指导监管单位授权或许可的安全机构。
各单位需严格依照《江苏省交通运输网络安全信息通报工作实施细则》(苏交技〔2019〕21 号)来执行。要加强信息的收集工作,也要加强信息的分析工作以及信息的共享工作。务必确保通报信息能够传达到位。一旦接到通报,要及时开展风险核查处置工作,并按照要求逐级进行反馈。绝对不可以瞒报、缓报、谎报、迟报通报信息,也不可以推诿责任。网络安全情况若涉及关键信息基础设施,应依照相关要求报送至部、省网络安全管理部门。
第四十五条规定,风险漏洞处理需实行限期整改。对于通用型网络产品和服务的风险漏洞,运行单位应在厂商和安全机构修复方案公开发布后,立刻进行核查整改。而对于国家、地方、部和厅网络安全管理部门发布的事件型风险预警通报,网络主管单位(部门)应组织运行单位,按照规定的时限要求开展排查整改工作,并且将落实情况及时报厅网信办备案。
运行单位要及时完成整改。由于技术条件存在限制,对于那些不能按照规定期限进行整改但仍需继续运行的情况,应当采取必要的举措,以防止安全事件的发生。同时,要将相关情况以书面形式报告给网络主管单位(部门)以及本单位的网络安全管理部门。如果风险漏洞的整改会对网络功能产生影响,那么运行单位应该组织软件维护单位来配合完善整改的措施。
运行单位应建立与网信、公安等网络安全主管部门以及电力、通信等保障部门的协调机制。
安全事件发生之后,运行单位要依据事件的类型以及级别,即刻启动应急预案,做好最初的处置工作,将损失和危害降到最低程度,并且及时展开信息通报。对于那些包含反动言论、煽动性言论等信息内容的安全事件,要严格按照“一分钟处置”的要求去执行。若可能出现攻击、破坏等违法犯罪行为,就应当保护相关的数据、记录、资料以及现场,并且要在 24 小时内告知公安机关,同时还要配合其进行调查取证工作。
安全事件处置完成后,需依据网络安全应急预案,及时把事件调查和评估工作完成。要对事件的起因进行分析评估,也要对事件的性质进行分析评估,还要对事件的影响进行分析评估,以及对事件的责任进行分析评估。同时,要提出处理意见,还要提出改进措施。
第七章 监督检查与责任追究
各单位需依据本级党委的网络安全责任制考核评价制度,针对网络安全管理制度体系的建设情况进行考核评价;要对等级保护工作的开展情况进行考核评价;需对责任制的落实情况进行考核评价;要对安全攻防演练的情况进行考核评价;需对渗透测试的情况进行考核评价;要对在线监测的情况进行考核评价;需对信息通报的情况进行考核评价;要对应急响应的情况进行考核评价。
省交通运输厅建立起网络安全的奖惩机制以及责任追究机制。在网络安全管理方面,在网络安全重点保障方面,在网络安全应急演练方面,在网络安全事件处置等工作中,若有单位、部门或个人表现较为突出,就会给予他们通报表扬。
省交通运输厅依照规定展开网络安全检查,并且依据国家的相关要求,在网络安全重点保障的时期,针对网络安全重点保卫单位以及有关市、县的交通运输主管部门开展专项检查。各个单位应当按照要求组织并做好自查工作,同时要配合完成检查的各项工作。在开展网络安全检查的时候,能够采取以下这些措施:
(一)进行远程和现场技术检测;
进入被检查单位展开检查工作,向相关工作人员进行询问,要求他们针对有关检查事项作出说明;对与检查事项有关的文件、资料进行查阅和复制;
(三)对检查发现的问题,责令当场改正或者限期改正。
违反本办法规定的,会依照相关法律法规以及网络安全工作责任制的规定,启动问责程序。要逐级倒查责任,既追究当事人的责任,也追究网络安全负责人的责任,直至追究主要负责人的责任。如果存在协调监管不力的情况,还应当追究综合协调部门或监管部门负责人的责任。
第八章 保障措施
各单位的主要领导需要加强对本单位网络安全工作的统筹管理。他们要定期听取关于网络安全工作的汇报。同时,要协调并解决其中的重大问题。并且,还要组织落实机构、人员以及经费等这些必要的条件。
各单位要支持网络安全技术的研发和产业的发展。
各单位需定期开展网络安全宣传教育活动,要强化全体人员的网络安全意识,提升其知识技能水平,同时还要指导并督促所管理的单位做好网络安全宣传教育工作。对于网络安全培训教育的情况,应当进行归档保存。各单位的全体人员每年参加网络安全培训的时间应不少于 4 学时,关键岗位人员每年参加网络安全专业技能培训的时间应不少于 8 学时。
各单位需把网络安全运行管理方面的费用纳入年度预算,也要把教育培训的费用纳入其中,同时还应将安全检查的费用纳入,以及测试评估的费用、监测预警的费用、通报的费用、应急处置的费用等都纳入年度预算,以此来合理保障网络安全经费的投入。而在网络建设过程中涉及到相关测试评估等费用时,应将其纳入建设经费进行统筹安排。
第九章 附则
存储网络运行安全保护需按照国家相关规定执行,此网络涉及国家秘密信息的处理亦如此。
第五十九条 本办法自印发之日起施行。
页:
[1]