局各科室（中队）、下属单位：

为贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》等法律法规，参考《浙江省公共数据条例》《绍兴市政务信息技术服务网络安全管理规定》，我局制定了内部政务系统网络安全与密码管理制度，现印发给你们，请认真学习落实。

附件1：越城区综合行政执法局政务系统网络安全管理制度

附件2：越城区综合行政执法局密码应用安全管理制度

绍兴市越城区综合行政执法局   

         2025年11月13日       

附件1：

越城区综合行政执法局政务系统

网络安全管理制度

第一部分 安全事件管理制度

一、总则

为加强对信息系统安全事件申报处理的规范有序化管理，共享实践经验，保证信息系统安全、高效运行，同时为加强安全事件应急处理，减少处理时间、避免或降低损失，特制定本办法。

二、范围

本制度适用于业务系统、网络通信、关键设备等安全事件的处理和报告管理。

三、规定

安全事件定义：指由于硬件损坏、软件故障、操作失误等原因引起系统运行异常，导致信息系统无法正常运行的事件；或由于其他恶意攻击、病毒爆发、数据丢失等技术原因导致业务不能正常进行，影响声誉的事件。

信息系统技术事故按严重程度和影响大小分为四级：

四、安全事件预防

1.设备维护。及时更新老化设备，按业务发展提高设备配置。

2.运维管理。认真做好日常例行维护和监控工作，并定期对日志信息进行分析。

3.教育培训。开展安全教育培训，增强员工安全意识，提高对各类安全事件的处理能力。

五、安全事件处理流程

信息部门发现安全事件或可疑事件后，第一时间作出响应，采取有效的措施避免事态的扩大。

1.安全事件申报与发现

系统运维人员、系统使用人员根据监控记录、日志信息发现可疑事件向信息部门申报，信息部门做好记录并通知相关系统负责人及运维单位、厂商，对可疑事件进行分析，若为安全事件及时进行处理。

2.安全事件调查

检查周围环境，主要包括电源、设备的布局、温度；检查硬件环境，主要包括设备运行情况、设备质量等；检查软件环境，主要包括软件是否存在漏洞、补丁安装是否兼容等。

3.安全事件的分析

要从多方面着手，对事件进行分析，并及时保存好原始数据；严格查看事件现场，并进行详细记录；分析事件级别和原因，要根据调查的情况及测定的数据进行判定；若不能自行分析，应及时联系系统开发单位、厂商等单位进行协助。

4.安全事件的处理

根据安全事件分析的结果，严格按照各类安全事件应急操作手册进行处理与系统恢复工作，尽快恢复系统正常运行；随着安全事件的发展或安全事件持续时间的延长，当下级安全事件指标升到上一级安全事件指标时，自动启动上一级安全事件处理程序；处置安全事件时同步向信息部门领导汇报。

5.安全事件处理汇报

（1）安全事件报告中，应详细记录分析和鉴定事件产生的原因，收集的证据，处理过程等内容，并开展培训预防再次发生类似安全事件。

（2）上报情况时，要及时采取各项应对措施进行整改，详细说明整改方法。

（3）安全事件均为一事一报。

（4）安全事件不得故意隐瞒或不报，凡未及时上报导致事件扩大并酿成不良后果的，对当事人追究失职责任，并严肃处理。

第二部分 人员安全管理制度

一、总则

为实现信息系统使用人员、运维人员的科学管理，提高全体人员安全意识和专业技能，特制定本管理制度。

二、运维人员的选拔与调离

所有信息系统运维（建设）公司、运维人员，在授权前均要签署保密协议，运维人员必须从运维（建设）公司中选拔。对拟授权人员的身份、背景、专业资格和资质等进行审查，当拟授权人员涉及处理涉密信息或涉及高敏感性的信息或担负重要岗位时，应进行更严格的审查。

人员调离的，必须立即更换之前发放的授权，终止其所有的访问权限，并归还单位提供的软硬件设备及文档资料等资产。

三、网络安全培训

运维（建设）公司每年需对运维人员组织网络安全方面的培训，提高全体员工的网络安全意识，对安全管理制度落实、防病防范、信息泄露、安全操作等方面加强培训和管理。

第三部分 数据保密管理规范制度

一、概述

数据安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。加强数据信息的安全管理，保证数据信息的可用性、完整性、保密性，特制定本规范。本制度中数据是指信息系统中的各种业务数据。

二、数据安全等级划分规范

1.数据安全等级划分依据：按照数据价值、法律要求、社会影响力、影响范围以及对组织的敏感程度和关键程度进行分级，划分为很高、高、中、低、很低五个等级；

2.数据安全等级划分：

三、数据安全存储规范

1.本条规范适用于数据安全等级为中级及以上的数据。

2.数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。

3.移动存储介质存储的数据安全等级为很高和高时，移动存储介质必须经过授权才可使用，并做好过程记录文档。

4.删除可重复使用存储介质上的安全等级为很高和高的数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。

5.存储数据安全等级为中级及以上的存储介质在报废时，必须在专职人员监督下进行消磁，并物理销毁。

6.存储介质存储的数据安全等级为中级及以上时，入库或出库需经过授权，并保留相应记录，方便审计跟踪。

四、数据安全传输规范

1.本条规范适用于数据安全等级为中级及以上的数据。

2.在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范：

（1）必须符合国家有关加密技术的法律法规。

（2）根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度。

（3）听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。

3.安全等级为很高和高的数据信息在存储和传输时必须加密，同时保留相关日志。

五、数据信息完整性安全规范

1.本条规范适用于数据安全等级为中级及以上的数据。

2.确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。

3.应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

4.应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

5.应具备完善的权限管理策略，支持权限最小化原则、合理授权。

六、数据信息保密性安全规范

数据信息保密性安全规范用于保障数据等级为中级及以上的数据的安全传递与处理应用，确保数据信息能够被安全、方便、透明的使用。为此，业务平台应采用加密等安全措施开展数据信息保密性工作。而加密安全措施主要分为密码安全及密钥安全，密码安全应遵循以下规则：

1.不能将密码写下来、不能共享密码、不能通过电子邮件传输，密码必须以加密方式保存，加密算法要不可逆。

2.不能使用缺省设置的密码。

3.如果需要特殊用户的口令（比如说linux下的Oracle），要禁止通过该用户进行交互式登录。

4.系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等，如用户登录密码必须由数字英文字符三种组成，每三个月必须修改密码，若不修改将锁定用户，需联系安全管理员进行解锁。

5.要定时运行密码检查器检查口令强度，对于保存机密和绝密信息的系统应该每周检查一次口令强度；其他系统应该每月检查一次。

6.在要求较高的情况下可以使用强度更高的认证机制。

第四部分 第三方访问管理制度

一、总则

为规范第三方人员、组织对本单位的物理访问与逻辑访问，保证第三方访问组织的信息处理设备和信息资产时的安全性，做好单位信息系统安全防护工作，特制定本管理程序。

二、第三方访问控制

1.第三方访问是指本单位以外其他组织/人员对本单位的信息系统的逻辑访问。第三方访问包括网络访问、数据库访问、信息系统访问。

2.与本单位建立长期业务合作关系，需要经常在单位内工作的第三方及长期逻辑访问本单位信息系统的第三方，责任部门应与其签订《保密协议》，同时规定违反安全规定协议须承担的法律赔偿责任等，必要时对其工作人员进行资格审查。

3.如果属于临时业务工作需要的第三方访问采用临时授权方式，临时授权操作时需由本单位人员在旁监督陪同。

4.管理部门应对来访者的身份、访问类型及访问可能导致的风险进行风险等级评估，以采取相应的控制措施。

5.第三方人员访问敏感信息时，应由业务部门负责人批准。

附件2：

越城区综合行政执法局

密码应用安全管理制度

第一部分 密码应用安全领导机构组成与职责

一、总则

为了更好的实现对绍兴市越城区综合行政执法局信息系统的密码应用安全管理，促进各项制度、措施的落实，经单位领导研究决定成立密码应用安全工作小组，牵头全单位政务应用密码应用安全建设及防护。

二、网络与密码应用安全工作小组人员职责

组长：负责密码应用安全工作小组宏观策略和项目规划的落地执行；协调工作小组成员完成各相关方案的起草，流程收集，需求汇总等工作；协调密码应用安全工作小组内部人员的工作分配，人员管理等。

组员：负责密码应用安全策略、标准、流程和制度的编写、审核及推广；对密码应用安全相关项目进行规划和监督，确保密码应用安全性评估的相关管理工作能够落实；负责安全管理体系的建立并监督密码应用安全管理制度的执行。

三、网络与密码应用安全工作小组人员信息表

四、体系文件的评审

密码应用安全工作小组应定期发起对体系文件的合理性和适用性的论证和审定,评审流程如下：

1.由密码应用安全工作小组组长发起对体系文件的评审申请。

2.密码应用安全工作小组制定评审计划。

3.文件的评审应每年进行一次。

4.各评审责任人根据时间计划，评估现有文件的有效性和充分性。

5.如有修改需求，由密码应用安全工作小组完成初稿修订，并提交越城区综合行政执法局班子会审议。

第二部分 密码应用安全岗位责任制度

一、总则

为规范和明确信息系统密码应用安全管理中相关人员在安全系统中的职责和权限，特制订本规范。

二、职责

密码应用安全工作小组负责分配、协调各密码应用安全管理岗位的人员角色和日常工作的职责和权限，各岗位人员负责本岗位的日常密码应用安全管理工作。

三、各安全管理岗位职责说明

密码应用安全各管理岗位由网络与密码应用安全工作小组授权或指定，是绍兴市越城区综合行政执法局密码应用安全管理体系的具体执行者，设置有密钥管理员、密码应用安全审计员、密码操作员等关键安全岗位，各岗位职责描述如下：

1.密钥管理员

（1）密钥管理员必须是在编人员，密钥管理员与密码应用安全审计员分人负责。

（2）密钥管理员必须定期参加岗位培训。

（3）密钥管理员要有高度的责任感，要充分认识到涉密工作的重要性和关键性。

（4）密钥管理员不得将密钥以明文的方式暴露在设备之外。

（5）密钥管理员需保证密钥分发的安全，以及密钥的正确性。

（6）密钥管理员要防止密钥泄露和替换。密钥泄露时，应立即停止密钥使用，启动相应的应急处理和响应措施。

（7）严格按照密钥管理规则，对不同类型的密钥的全生命周期进行规范管理。

（8）密钥管理员按照密钥更换周期要求更换密钥，更换时，应采取有效的安全措施。

（9）密码密钥存档，由密钥管理员统一保密保存。密码密钥和密码设备必须异地存放。

2.密码应用安全审计员

（1）密码应用安全审计员必须定期参加岗位培训。

（2）密码应用安全审计员要有高度的责任感，要充分认识到涉密工作的重要性和关键性。

（3）密码应用安全审计员要对密钥的审计信息包括：种类、长度、拥有者信息、使用起始时间、使用终止时间等进行审查。

（4）密码应用安全审计员要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。

（5）密码应用安全审计员要对应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作进行审计。

（6）密码应用安全审计员要审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。

（7）对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。

（8）测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。

（9）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。

3.密码操作员

（1）密码操作员必须定期参加岗位培训。

（2）密码操作员要有高度的责任感，要充分认识到涉密工作的重要性和关键性。

（3）密码设备必须上锁，并由专人操作，无关人员不得接触。

（4）密码操作员要熟悉设备的使用，了解设备在网络中的作用。

（5）操作员要定期更换保密设备的密钥，并做好登记备案。

（6）密码操作员要爱护设备，定期检查设备的工作状态，确保设备正常工作。

第三部分 密码应用相关管理人员日常管理操作规程

一、总则

为规范密码相关管理人员或操作人员的日常管理操作行为，特制本规范。密码应用安全工作小组密码相关管理人员或操作人员需依据本规范对密码应用系统进行日常管理操作。

二、操作规程

1.信息使用

（1）未经审批，不得将涉密信息脱离单位安全域（物理、业务、网络和系统等）。

（2）未经审批，不得将涉密信息告知非授权人员（包括但不限于供应商/合作商、单位其他部门员工）。

（3） 为了避免不必要的商业纠纷，未经审批，不得接收任何第三方给予的涉密资料。

2.账号管理

（1）任何情况下，职工不得盗用、传播他人账号、口令、密钥。

（2）未经正式授权，职工不得索要、使用他人账号、口令、密钥。

（3）未经正式授权，职工不得将自己账号、口令、密钥提供给他人使用。

（4）职工如发现账号、口令、密钥泄露，应在第一时间（10分钟内）告知部门领导，检查对业务造成的影响并采取有针对性地补救措施；同时通相关部门修改或冻结泄漏地账号、口令和密钥。

3.软件配置

（1）密码应用安全控制类软件、其他类信息管理部门统一安装软件，员工不得卸载、干扰、破坏其正常运行。

（2）未经审批，禁止安装黑名单软件。

4.介质管理

（1）未经审批，禁止使用USB存储、刻录光驱等易于泄露涉密信息的介质。

（2）对于带存储介质的设备，应要求维修人员在单位内进行维修，并且监督整个维修过程，如需要在单位以外进行维修，应走审批流程。

（3）计算机、打印机、复印机、扫描仪等含有存储介质的设备带出单位以外单位维修时，为了防止泄密，必须拆卸下硬盘，并妥善保存。

（4）计算机、打印机、复印机、扫描仪等含有存储介质的设备报废时，所含存储介质应物理销毁（碾压，粉碎），方可报废。

（5）不得在未对硬盘进行低级格式化前，将存储设备转移到单位以外（所有权转移）。

（6）妥善保管终端设备，如有丢失，应在第一时间(10分钟内)告知所属部门领导，检查对业务造成的影响并采取有针对性地补救措施；同时通知密码应用安全管理部门备案，密码应用安全工作小组对该事件进行评估并督促相关部门进行整改闭环。

5.物理安全

（1）存储涉密信息的设备（如便携机）或涉密文档在任何时间均应妥善保存（如下班或离开座位时放入上锁柜子中）。

（2）出差期间随身携带涉密便携机及手持设备，禁止托运。

（3）离开办公桌超过10分钟以上，应关闭或锁定计算机。

6.文档管理

（1）调岗或离职前应进行涉密信息的移交和清理，未经授权情况下，严禁私自保存涉密信息。

（2）未经授权，不得私下传播涉密文档，或收集与本岗位工作无关的涉密文档。

（3）职工个人电脑中存放与本职工作无关的商业秘密信息，视同窃密。

（4）不得在未采取保密措施情况下，传送涉密信息的纸件。

（5）外发涉密文件应加密后发送，密码可通过其他方式（如电话）告知对方。

（6）含涉密信息的纸件必须用碎纸机销毁，严禁直接扔垃圾箱或用手撕毁；含涉密信息的纸件不能重复使用。

（7）因工作需要进行的文件共享，必须设置复杂密码（至少8位，须符合大小写字母、数字、特殊字符四选三的要求），涉密文件不得共享。

7.身份伪造

（1）不得自行改动电脑中的IP地址、计算机名及其他网络参数。

（2）不得伪造信息，冒充他人身份。

8.涉密会议

（1）未经审批，不得使用录音、录像设备。

（2）会议结束后，必须清理会议室场所（包括相关设备上的电子数据、白板上的板书信息、文档等）。

第四部分 密码应用安全岗位上岗人员培训制度

一、总则

本规范适用于绍兴市越城区综合行政执法局信息系统相关人员的密码应用安全意识培训、密码应用安全技能培训管理。各部门根据本培训制度开展覆盖本部门范围的相关安全培训。

二、密码应用安全培训

1.密码应用安全管理培训的对象

涉及密码的操作和管理以及密钥管理的人员。

2.密码应用安全管理培训的时机

（1）在密码应用安全管理体系建设过程中，应对涉及密码的操作和管理以及密钥管理的人员进行密码应用安全管理培训，确保他们理解并支持密码应用安全管理体系的建设，确保密码应用安全管理体系的实施顺利进行。

（2）应确保每年至少提供一次基础的密码应用安全管理培训。

3.培训内容

各部门参照以下内容编制本部分的年度培训计划：过去一年全单位信息系统内发生的密码应用安全事件情况；单位职工在遵守安全程序和规范方面的状况；密码应用安全管理体系内部审核状况。

第五部分 密码应用安全关键岗位人员保密制度和调离制度

一、总则

为防止品质不良、技能欠佳的人员进入本单位从事密码应用安全管理岗位，降低职工因密码技术使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息系统中密码应用安全的负面影响，特制定本制度。

二、范围

本规定适用于单位密码应用安全管理岗位和操作岗位人员的聘用、任职、离职和安全考察、保密控制以及其他密码应用安全行为的考察与控制。

三、入职管理

1.人员考察安全策略

人员的录用考察按照本单位录用程序执行。但对于从事密码应用安全管理岗位的人员还需要考察以下策略：

（1）了解并遵守密码相关的法律法规。

（2）能够正确的使用密码产品。

2.入职培训安全策略

（1）从事密码工作的职工必须在正式上岗前接受本单位相关管理制度和密码应用安全管理制度的学习。

（2）同时入职从事密码工作的职工人数如到达一定数量，本单位负责组织发起对新入职职工的密码应用安全意识教育、培训和考核工作。

四、在职管理

1.员工从一般岗位转到密码应用安全重要岗位，应当对其进行信用及密码应用安全技能考察。

2.关键技术岗位的入职人员由密码应用安全工作小组代表单位方与其签署《关键岗位保密协议》。

五、离职管理

1.部门要加强职工离职时的涉密资料、账号口令、钥匙、USB Key、资产等的交接工作。

2.部门在职工离职后要采取相应的技术防范措施（如变更口令、程序等），必要时应与密码应用安全工作小组协调。

3.原使用部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的本单位的商业和技术秘密。

第六部分 密钥管理规则及策略

一、总则

密钥管理对于保证密钥全生存周期的安全性是至关重要的，可以保证密钥（除公钥外）不被非授权的访问、使用、泄露、修改和替换，可以保证公钥不被非授权的修改和替换。为规范信息系统运行过程中对密钥的全生命周期的安全管理，特制定本规范。

二、管理规则

密钥管理应包括对密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等进行管理。

1.密钥产生

（1）密钥要在符合GB/T 37092的密码产品中产生。

（2）密钥协商算法要符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

（3）确保密钥产生功能的正确性和有效性。

2.密钥分发

（1）确认系统内部采用的密钥分发方式（离线分发方式、在线分发方式、混合分发方式）。

（2）确认密钥传递过程中信息系统使用的密码技术，并核实保护措施使用的正确性和有效性。

（3）密钥分发操作时，相关人员应做好登记，详细记载密钥分发情况、分发结果。

3.密钥存储

（1）确保系统内部所有密钥（除公钥）均以密文形式进行存储，或者位于受保护的安全区域。

（2）确认密钥（除公钥）存储过程中信息系统使用的密码技术，并核实保护措施使用的正确性和有效性。

（3）确认公钥存储过程中信息系统使用的密码技术，并核实保护措施使用的正确性和有效性。

（4）密钥以载体形式进行存储的，要做到标签信息明确，专柜存放、专人管理、专册登记。

4.密钥使用

（1）信息系统内部要具备严格的密钥使用管理机制，所有密钥要有明确的用途并按用途被正确使用。

（2）信息系统要具有公钥认证机制，公钥密码算法要符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

（3）确保信息系统使用了安全措施来防止密钥泄露或替换，确保使用了密码算法并且算法符合相关法规和标准的要求，当发生密钥泄漏时，系统应具备应急处理和响应措施。

5.密钥更新

（1）信息系统要定期更换密钥，并核实密钥更换处理流程中是否采取有效措施保证密钥更换时的安全性。

（2）信息系统内部要具备密钥更新策略，当密钥超过使用期限、已泄露或存在泄露风险时，要根据相应的更新策略进行密钥更新。

（3）信息系统进行密钥更新时，相关操作人员做好登记，并需留在备案。

6.密钥销毁

（1）密钥销毁需经部门领导签字批准，两人同时作业。

（2）系统内部要具备密钥的销毁机制并能有效执行。

（3）确保密钥销毁后无法被恢复。

（4）密钥销毁需在密钥登记本上做好记录，并做好留存。

第七部分 工程施工管理

一、总则

为了规范绍兴市越城区综合行政执法局信息系统建设管理和工程实施管理，在工程实施各个环节按照信息系统实施方案中密码应用安全要求进行管理，特制定本管理规范。

二．管理细则

1.安全管理要点

工程实施阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合密码应用安全相关法律法规要求。

本阶段应完成以下具体密码应用安全工作：

（1）由信息系统密码应用建设实施方根据具体项目情况制定详细的《信息系统密码实施方案》来控制实施过程，并监督实施单位认真执行安全工程过程；

（2）找出并描述实现密码应用实施方案后系统和模块的安全要求和限制，以及相关的系统验证机制及检查方法；完善系统的运行程序和全生命期支持的安全计划，如密钥的分发等；对项目参与人员进行密码应用安全意识培训；

（3）对参加项目建设的安全管理和技术人员的安全职责进行检查。

2.工程实施和管理

信息系统规划阶段，责任单位应依据密码应用相关国家标准和行业标准，制定密码应用方案。信息系统投入运行前，应经测评机构进行安全性评估，评估通过方可投入正式运行。信息系统投入运行后，建议每年委托测评机构开展密码应用安全性评估，并根据评估意见进行整改；有重大安全隐患的，应停止系统运行，制定整改方案，整改完成并通过评估后方可投入运行。

3.工程监理

为保证建设工程的安全和质量，本单位信息系统安全建设和整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。