第一章 总则

第一条 为加强和规范统计网络安全管理，保障统计网络和信息安全，维护国家安全和社会公共利益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》等法律法规和《广东省统计局网络安全管理办法》等规章制度，制定本办法。

第二条 本办法适用于统计部门组织实施的网络安全工作保护对象（以下简称统计网络安保对象）的安全管理。本办法所指统计部门包括县统计局各股室、中心、队。

第三条 本办法所称统计网络安保对象，是指由计算机或者其他信息终端及相关设备组成的，并按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络系统，主要包括统计业务网络和统计业务应用系统、政务应用系统（含采用移动互联技术的系统）等。

第四条 统计部门网络安全工作坚持总体国家安全观，按“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”和属地管理的原则，坚持统一领导、分级负责、强化监管、确保安全。

第五条 统计部门主要负责人是本单位网络安全工作第一责任人；主管网络安全工作的领导班子成员是直接责任人；其他班子成员根据工作分工对职责范围内的网络安全工作负相应领导责任；所有工作人员对岗位职责范围内的网络安全工作负直接责任。

第二章 职责分工

第六条 始兴县统计局设立网络安全工作领导小组。组长由

局主要负责人担任，副组长由局分管领导担任，成员由各股室、中心主要负责人组成。

第七条 在广东省和韶关市统计局网络安全工作领导小组的指导下，始兴县统计局网络安全工作领导小组负责指导、监督本地区本系统网络安全管理工作。其主要职责是：

（一）贯彻落实党和国家网络安全工作方针政策和法律法

规，执行广东省和韶关市统计局关于网络安全的工作部署。

（二）加强本地区本系统网络安全工作组织领导，将网络安全与业务工作同谋划、同部署，指导、督促、检查本地区本系统网络安全各项规章制度落实。

（三）制定本地区本系统网络安全事件应急预案，开展监测预警和应急处置，配合广东省、韶关市统计局和同级网信、公安、密码等部门开展相关工作，并报告有关情况。

（四）定期分析研判本地区本系统网络安全形势，组织开展网络安全风险评估，研究解决网络安全重要问题，配合做好网络安全审查工作。

（五）组织开展本地区本系统网络安全教育和培训，加强网络安全防护能力建设。

（六）对本地区本系统建设、运行维护的统计网络安保对象和所委托的外包服务等，实施网络安全管理，严格实施人员权限管理，及时收回和撤销离岗离职人员相关权限。

（七）履行法律法规规定的其他网络安全责任和义务。

第八条 始兴县统计局各股室、中心负责指导、监督本单位网络安全工作。其主要职责是：

（一）贯彻落实党和国家网络安全工作方针政策和法律法

规，执行始兴县统计局关于网络安全的工作部署。

（二）增强干部职工网络安全意识，参加网络安全教育和培训，防范发生危害统计网络安全的行为，维护统计网络安全。

（三）及时报告和处置本单位网络安全事件，配合开展应急演练及开展相关工作。

（四）对本单位建设、运行维护的统计网络安保对象和本单位所委托的外包服务等，实施网络安全管理，组织开展网络安全风险评估，严格实施人员权限管理，及时收回和撤销离岗离职人员相关权限。

（五）履行法律法规规定的其他网络安全责任和义务。

第九条 网络使用人员的主要职责是：

（一）学习网络安全常识，增强网络安全意识，严格执行网络安全各项规章制度和保护要求，自觉维护统计网络安全。

（二）配合完成网络安全管理和检查工作，及时报告、协助处理网络安全隐患和事件。

（三）不得实施危害统计网络安全的行为，不得擅自改变或简化网络安全保护有关工作流程或操作步骤，不得擅自修改系统或终端安全配置，不得擅自对外提供或泄露统计网络安全配置或重要参数，不得对外扩散网络用户账号和口令信息。

（四）履行法律法规规定的其他网络安全责任和义务。

第三章 网络建设安全

第九条 统计部门网络安全应当与统计信息化同步规划、同步建设、同步使用，在上线运行等环节落实网络安全要求和保护责任。

第十条 统计网络安保对象的建设单位应当按照网络安全等级保护制度和相关标准规范要求，组织开展本单位统计网络安保对象的等级保护定级、备案工作。

第十一条 统计网络安保对象投入使用前应进行安全检测。

等级保护二级及以上统计网络安保对象，应经等级保护测评并通过后，方可正式上线运行。投入运行后，应当按照国家网络安全等级保护相关标准制度要求，定期开展测评。开发测试阶段的统计网络安保对象确需上线测试的，需经本地区信息化主管部门审批，并向上级统计部门备案，并在系统显著位置标注“测试系统”、“培训系统”、“试运行”等字样，禁止冠以正式的系统名称，且禁止加载真实业务数据。

第十二条 等级保护三级及以上统计网络安保对象、关键信

息基础设施，应按照国家有关要求，定期开展密码应用安全性评估。如发生密码应用重大调整等情况，应重新组织开展评估。

第十三条 建设单位应加强本单位统计网络安保对象的供应链安全管理。

（一）签订安全责任书，明确咨询设计、集成实施、软件开发、产品及服务供应商、监理等单位的网络安全建设责任。

（二）应当采购安全可信的信息技术产品和服务，网络关键设备、网络安全专用产品应当符合国家网络安全及行政法规有关规定和相关国家标准的强制性要求。

（三）采购的产品和服务可能影响国家安全的，应当通过国家安全审查，并与提供者签订安全保密协议，明确安全保密义务与责任。

（四）严控第三方组件安全风险，规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理，明确开发单位关于第三方组件的安全责任，建立第三方组件清单，对使用的开源代码库和共享代码组件应做好台账记录。

（五）按照安全需求、软件工程规范进行应用软件的设计开发，等级保护二级及以上统计网络安保对象的软件代码应通过相关检测机构的安全性测试，避免存在恶意代码和后门，严禁将源代码托管在第三方平台。

第十四条 统计网络安保对象委托企业、专业机构建设、运营、维护或采用社会化云计算服务的，网络安全责任不因外包而转移。部署于云平台上的统计网络安保对象，相关网络安全管理责任不因上云而转移，仍由其管理单位（部门）承担；应根据其网络安全保护等级，配置必要的安全防护措施，确保具备相应的安全保护能力。退出社会化云计算服务时，应确保云计算服务供应商做好数据、文档等资源的移交和清除工作。

第十五条 统计部门各单位应当加强互联网接入管理，使用

国家公用电信网络接入互联网。统计部门不独立设置互联网出口，应当通过同级电子政务外网接入互联网，并明确本单位和电子政务外网管理单位各自应承担的网络安全责任。

第十六条 统计部门各单位应当按照统计部门虚拟专用网络（VPN）管理办法有关规定，加强VPN系统管理。统计部门原则上不单独建设能够接入统计业务网的VPN系统。

第四章 网络运行安全

第十七条 统计网络安保对象的运行管理单位应当加强运行阶段的安全管控，采取措施防范网络攻击。

（一）建立健全机房管理制度，严格控制机房和设备间的进出访问，加强安全监控和巡检，确保机房符合有关规定要求。

（二）加强网络边界防护，在不同网络间设置物理或逻辑隔离，按照最小权限的原则对网络进行分区分域管理，在不同安全域间进行访问控制，实施严格的设备系统接入和访问控制策略，禁止在统计业务网内搭建无线网络。

（三）遵循最小授权、最小安装原则，加强对主机账号、口令、应用、服务、端口的安全管理，定期开展漏洞扫描、计算机病毒查杀和恶意代码检测，及时安装安全补丁、更新计算机病毒库和恶意代码库，并开展安全审计。

（四）加强统计业务应用系统的用户管理、认证管理和审计管理，实行账户实名制，对于重要应用、虚拟专用网络（VPN）、等级保护三级及以上统计网络安保对象、关键信息基础设施，应当采用口令、密码技术、生物技术等两种及以上组合的鉴别技术进行用户身份鉴别，且鉴别技术应符合国家密码技术标准，对用户口令信息进行加密存储，防止扩散或泄露。

（五）采取技术措施监测、记录网络运行状态和网络安全事件，记录包括但不限于核心网络设备、安全设备、重要应用系统、服务器、数据库的网络日志，日志保存时间不少于6个月。

（六）应当根据关键信息基础设施安全保护相关法律法规和规范要求，在等级保护制度基础上，采取加强型和特殊型安全保护措施，对关键信息基础设施实行重点保护。

（七）在履行网络运行安全职责过程中所获取的信息，只能用于维护网络安全的需要，不得用于其他用途，对收集的用户信息应严格保密。

第十八条 电子邮件系统的运行管理单位应建立管理制度，严格落实账户实名制要求，依规执行用户注册审批和注销工作，设置账号有效期、口令强度和每3个月更改口令等强制策略，防范垃圾邮件、钓鱼邮件。电子邮件系统用户应严格执行账号、口令管理要求，严禁将工作邮件自动转发至私人或境外邮箱，不访问来源不明的可疑邮件及其链接、附件等。

第十九条 终端计算机应安装防病毒软件，定期查杀病毒，

禁止使用弱口令。使用者应主动防范感染病毒或木马，不安装来历不明软件或存在安全风险的国外软件，不打开来源不可靠的网站，不点击即时通讯工具（如QQ、微信等）上推送或转发的可疑文件，禁止安装使用网络云盘程序上传、下载文件，使用U盘等存储介质前应查杀病毒。

第二十条 统计网络安保对象发生重要信息和关键业务调整等重大变更时，应重新组织开展定级、备案和测评等工作。不再提供服务的统计网络安保对象应及时废止，妥善处理数据、系统及相关设备资产，并按要求及时向上级统计部门备案。

第二十一条 统计部门应做好国家重要活动、会议期间的网

络安全重点保障。

（一）围绕重点保护目标，有效收敛互联网暴露面，做好事前网络安全风险隐患排查和漏洞整改工作，严格管控可能影响统计网络安保对象稳定运行的变更操作。

（二）落实白名单访问控制要求，加强重点防护，并要求参与重点保障工作的第三方人员签署网络安全责任承诺书。

（三）实行网络与信息安全信息通报，严格执行“零报告”制度。

（四）关键岗位、关键时间节点实行值班制度。

第五章 监测预警和应急处置

第二十二条 统计部门在始兴县统计局领导下，按照始兴县统计局和上级主管部门工作要求，负责组织实施本地区本系统网络安全监测预警和应急处置工作，结合实际建立完善监测预警和应急处置机制，做好技术保障。

第二十三条 统计部门发现网络攻击入侵行为应立即报告，特殊时期每日“零报告”。关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，应当按照有关规定及时向上级报告。

第二十四条 日常监测发现统计网络安保对象存在的风险漏洞，应当限期修复。对于通用型网络产品和服务的风险漏洞，应当在产品厂商和安全机构修复方案公开发布后立即核查整改；对于上级统计部门等通报的高危漏洞，应当按照时限要求立即整改。

第二十五条 制定本地区本系统网络安全事件应急预案，报韶关市统计局网络安全工作领导小组备案。关键信息基础设施、等级保护三级及以上统计网络安保对象，须制定专项应急预案。

第六章 监督考核与责任追究

第二十六条 始兴县统计局负责对本单位网络安全工作开展情况进行监督检查，应当定期开展网络安全自查，对发现的问题立即整改，及时消除安全隐患。

第二十七条 网络安全工作领导小组在履行统计网络安全监督管理职责中，发现网络安全工作存在安全风险或隐患的，及时采取措施整改到位。                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     

第二十八条 违反本办法造成危害或不良后果的，依规依纪依法对直接负责的主管人员和直接责任人员追究责任，并对负有领导责任的人员进行问责；构成犯罪的，依法追究刑事责任。

第七章 附则

第二十九条 本办法由始兴县统计局负责解释。

第三十条 本办法自印发之日起施行。