编者按：为引导全局干部职工精准把握制度要义、规范履职行为，持续深化制度宣贯落地，汉江水文网分期开设制度解读专栏。本期为专栏第4期，聚焦《汉江局网络信息安全管理办法》开展专项解读，帮助全体人员吃透规则条款、明晰工作权责，切实把制度要求融入日常管理与业务履职全过程。

《汉江局网络信息安全管理办法》制度解读

为全面落实网络安全法律法规及上级管理要求，进一步筑牢全局网络安全防线，防范网络攻击、数据泄露、系统故障等安全风险，结合信息化工作新形势、新要求，我局对《汉江局网络信息安全管理办法》完成修订完善。新版办法在2022年原版基础上补齐管理短板、拓展管控范围、细化安全要求，新增多项专项管理条款，全面覆盖网络规划建设、运行运维、机房管理、应急处置等各环节，是全局网络与信息安全工作的刚性准则。现将制度修订情况及核心内容解读如下：

一、制度整体修订情况说明

本次修订立足当前网络安全防护新形势、新风险，坚持底线思维与极限思维，对原有条款进行优化、补充与升级，主要修订内容如下：

完善责任原则：将原“谁主管谁负责、谁使用谁负责”更新为谁主管谁负责、谁运行谁负责、谁使用谁负责，同时明确落实“一把手”第一责任人、班子成员“一岗双责”，压实各级安全管理责任。

补充新增职责：在网络信息中心职责中，新增网络安全事件调查分析、出具调查报告并上报的工作要求。

强化建设环节管控：新增信息系统同步安全测试、供应商安全评估、供应链风险评估等内容，从项目源头把控安全风险。

拓展管理范畴：全新增加云服务安全、互联网出口管理、供应链安全、互联网敏感信息清理四大专项管理章节，补齐原有管理空白。

细化运行安全规则：在应用系统、终端设备管理中增加白名单管控、IP与MAC地址绑定、漏洞动态清零、僵尸系统清理等硬性要求；明确对弱口令问题严肃追责。

优化机房管理标准：调整机房温湿度管控区间，细化环控设备、UPS电源等设施运维要求，提升机房物理安全标准。

严肃处置原则：网络安全违规及事件处置明确执行四个不放过原则，强化问责力度。

技术要求升级：明确统一部署天擎终端防护系统，对内外网隔离、数据传输、设备维修报废等安全流程提出更严格规范。

二、总则：明确适用范围与管理原则

本办法依据《网络安全法》《数据安全法》等法律法规及行业规定制定，适用于全局所有部门、单位及全体干部职工。全局网络安全严格遵循信息化与网络安全同步规划、同步建设、同步运行原则，层层压实安全责任，全方位筑牢网络信息安全屏障。

三、职责与分工：厘清层级管理责任

网络安全与信息化领导小组：作为全局统筹机构，落实上级部署，审定安全规划、管理制度及应急预案，统筹处置重大网络安全问题，压实领导岗位安全职责。

网络信息中心：承担网络安全日常管理、设施运维、风险监测、应急处置、安全培训、事件调查等核心工作，统筹全局技术层面安全防护。

党群办公室：负责局官方网站信息编辑、审核发布，组织开展网络安全岗位培训。

各部门（单位）：对本区域网络安全负主体责任，必须指定兼职网络安全员，负责日常安全自查、问题上报等工作。

四、网络安全规划与建设：严把项目源头安全关

产品与采购管理：统一采购安全可控的软硬件产品，建立供应商安全评估机制，签订保密协议并定期排查供应链风险。

系统开发管理：信息系统立项需编制安全需求文档，开发过程严禁植入恶意代码、后门；项目上线前必须完成代码审计、渗透测试、漏洞扫描等安全测试，所有建设资料统一归档留存。

等级保护管理：持续推进信息系统等级保护定级、备案、测评全流程工作，二级及以上系统必须完成测评整改，验收合格后方可上线运行。

五、网络运行安全：细化全场景安全管控

本章是制度核心内容，对网络基础设施、应用系统、数据库、终端、云服务、互联网出口等实行全维度管控。

基础运行管理：足额保障网络安全经费，定期开展风险评估与漏洞整改；重大活动、汛期等特殊时段强化安全值守与漏洞修复；外包、远程技术服务必须签订保密协议，全程留痕审计。

网络基础设施：实行网络分区分域、边界隔离，部署防火墙、入侵检测等防护设备；网络日志留存时长不少于6个月；遵循最小权限原则管理主机、端口、账号，及时关停废弃系统。

应用系统管理：强制启用高强度身份认证，全面取缔弱口令；严防后台管理页面暴露至互联网；常态化开展漏洞检测，实现隐患动态清零，定期清理僵尸系统。

数据安全管理：按角色划分数据库账号，严控权限；重要数据采用双重备份机制，敏感数据加密存储；设备送修、报废前必须彻底清除数据，严防数据泄露。

终端设备管理：所有办公终端必须安装指定安全防护软件，落实IP与MAC地址绑定；严禁私接路由器、个人WIFI等设备，外部终端接入办公网络须经网络信息中心审批；严禁利用终端制作、传播不良信息。

新增专项管理：

云服务：禁止内部系统部署公有云、内网与云服务互联，云平台不得存储、处理生产业务数据；

互联网出口：统一由机关出口提供互联网服务，关闭闲置端口、域名与接口；

供应链与敏感信息：严防测试系统、源代码外流，定期清理互联网平台留存的单位敏感信息、账号口令，禁止本地明文保存密码。

六、机房安全管理：强化物理环境安全防护

环境标准：机房温度控制在20-25℃，湿度保持40%—60%，定期对空调、UPS、消防设备开展巡检维护。

日常管控：机房严禁堆放杂物、存放易燃易爆及腐蚀性物品，禁止吸烟、进食；规范用电管理，不得私接供电线路。

人员管理：配备专职机房管理员并签订安全责任书；外来人员进入机房实行登记、全程陪同、作业留痕制度。

离场管理：工作人员离开机房前，务必做好文件、设备、数据的安全防护。

七、监测预警与应急处置：构建快速响应机制

监测预警：网络信息中心实行7×24小时实时监测，发现漏洞、异常风险第一时间预警、整改并按要求上报上级部门。

应急管理：结合实际完善网络安全事件应急预案，每年至少组织一次应急演练；发生安全事件后，立即启动预案开展处置，同步开展事件调查、溯源分析、上报备案。

责任追究：对违反本办法、引发网络安全事件或存在重大安全隐患的单位和个人，严格按照“四个不放过”原则开展追责问责。

结语：新版《汉江局网络信息安全管理办法》紧扣当前网络安全新形势、新风险，管理体系更完善、管控要求更精细、约束标准更严格，覆盖网络运行全领域、全流程。各部门（单位）要组织全员认真学习制度条款，严格落实网络安全主体责任，常态化开展自查自纠；全体职工要强化网络安全意识，规范终端使用、数据操作、上网行为，自觉遵守各项安全规定。全局上下要协同发力、联防联控，全面防范网络攻击、数据泄露、系统宕机等各类风险，守护全局网络与信息安全稳定运行。