关于进一步做好水利网络安全保障工作的通知

关于进一步做好水利网络安全保障工作的通知

各市、县（区）水务局，厅属各单位、厅机关各处室，有关水利企业：

为进一步加强水利系统网络安全保障工作，着力发现和防范网络安全风险，有效提升水利网络安全防护水平，保障水利各项业务工作安全、有序、稳定开展，现就做好网络安全保障工作有关事项通知如下：

一、总体要求

  全面落实中央、自治区有关网络安全保障工作的决策部署和工作要求，按照“全面排查风险、及时发现预警、快速有效处置、确保万无一失”的工作目标，认真贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》《水利厅党委落实网络安全责任制实施细则》及网络安全等级保护制度等相关法律规范，压紧压实网络安全工作主体责任，进一步提升重要系统、重要网络、重要水利工控设备等水利关键信息基础设施防攻击、防瘫痪、防窃密、防篡改能力，确保各系统安全稳定运行，为水利高质量发展提供网络安全保障和支撑。

二、重点工作任务

（一）开展自查评估（2022年7月5日—8月31日）。

各单位对照《水利网络安全风险问题检查指南（2022版）》（见附件1），组织力量开展一次全面安全自查，查漏洞、防风险、补短板。

1. 自查评估范围。各单位建设管理运行的重要业务应用系统、关键信息基础设施、水利工控系统、门户网站、部署的网络安全设施、基础运行环境以及制度规范建设等方面。

2. 自查评估内容

（1）组织管理措施。重点检查制度建设、资产管理、宣传教育等方面的情况，主要包括是否落实《水利厅党委落实网络安全责任制实施细则》要求，是否落实网络安全主体责任，是否建立相关网络安全管理制度和应急处置预案，是否规范相关信息资产管理，是否开展网络安全教育培训等。

（2）信息系统建设。重点检查信息系统前期建设安全问题、应用安全问题、等级保护制度落实等方面的情况，主要包括应用系统是否存在未按规范进行测试、设计、检查、部署等安全隐患，安全防护措施是否完备，安全漏洞是否整改修复，安全防护策略是否有效，是否存在弱口令、默认口令和长期未更换口令等行为，是否按照等级保护制度相关要求开展等保定级、备案、测评等方面工作。

（3）云资源管理。重点检查云资源申请、上线检查、服务器部署、云资源使用等方面情况，主要包括是否按照自治区云资源管理要求合理申请、部署云资源，是否按规范开展新系统上线前安全检查，是否合理配置、管理、使用云资源等。

（4）运维安全管理。重点检查运维安全保障制度、安全运维管理、安全策略等方面情况，主要包括运维保障制度是否完善，是否以合同协议等形式明确安全责任，是否修改了默认配置并严格访问控制策略，是否关闭或删除不必要的应用、服务、端口和链接，是否对重要数据、重要功能进行备份，安全运维要求是否落实，是否存在手机APP安全问题等。

（5）电子政务外网管理。根据自治区推进数字政府建设领导小组办公室印发的《自治区电子政务外网安全风险整改指导意见》（宁数办发〔2022〕3号）（见附件2），对标政务外网局域网安全接入和政务公共云平台专线接入参考规范，重点检查安全管理机制、安全防护措施、日常安全管理等方面，主要包括是否制定切实可行整改方案，是否对标完成整改任务等。

（6）网络内容审核。重点检查各类在用新媒体平台、门户网站信息发布审核方面情况，主要包括是否建立信息发布审核机制，是否存在各类不规范信息，是否对违规信息进行清理和修改工作。

3. 梳理问题整改。各单位梳理自查网络安全风险情况，制定整改措施，并将自查评估结果和整改情况于8月25日前报厅网信办。

（二）开展抽查指导（2022年7月20日—9月30日）。

1. 开展现场抽查。厅网信办组织相关单位，对照网络安全风险排查要求，对各单位网络安全自查评估工作情况进行实地检查，开展技术指导服务和培训，并形成抽查指导意见。

2. 开展专项检测。厅网信办根据各单位自查和实地检查情况，针对存在的突出问题和风险点，组织专业技术力量开展网络安全测试，通过漏洞扫描、渗透测试等检测方式对各单位网络安全主要问题进行专项检测，及时发现安全隐患，指导各单位完成整改。

（三）加强应急处置（长期坚持）。

1. 健全完善网络安全事件应急预案。围绕水利网络安全风险隐患，厅网信办依法依规制定水利厅网络安全应急处置预案；各单位结合工作实际，制定本单位及重要关键信息基础设施网络安全应急预案。各单位根据工作情况，至少组织开展一次网络安全应急演练，进一步提升网络安全风险预警和应急响应能力。

2. 强化水利网络安全联防联控机制。依托水利系统网络安全网格化管理工作机制，以各单位网络安全网格员为节点，压实网络安全责任人主体责任，建立信息共享渠道，进行联防联控，为应急处置提供支撑。各单位网络安全网格管理人员如有变化，请于2022年7月20日前反馈厅网信办。

3. 做好网络安全应急响应。各单位在发生或可能发生网络安全事件时，按照有关应急预案和水利网络安全联防联控要求，及时开展应急响应处置，并向厅网信办报告相关信息。

4. 强化舆情监测。厅办公室制定网络舆情工作方案，指导各单位做好网络舆情监测工作，对于网络舆情中的倾向性、苗头性问题，开展及时、有针对性的网络舆情处置引导。

（四）强化日常监测（长期坚持）。

1. 强化日常监管。利用水利厅网络安全态势感知系统，实时共享威胁情报查询结果，加强日常监测预警，不断优化统一日志分析、流量安全分析及风险威胁感知能力，确保掌握网内安全态势情况，及时遏制网络安全事件。

2. 严格“零报告”制度。在重要工作、重大活动、重要节点等网络安全重保时段期间，厅网信办通过“宁政通网络安全网络化工作群”组织开展网络安全专项保障工作，每日报送网络安全状况，做到发生网络安全事件第一时间响应、第一时间处置。

3. 严格落实告知制度。围绕水利厅等部门监测发现的网络安全隐患问题，坚持一事一告知的原则，认真执行网络安全告知制度，完善网络安全事件告知处置流程，建立网络安全告知清单，跟踪指导事件处置，确保在规定的期限完成事件处置工作。

4. 严格落实值班值守。各单位要认真贯彻《自治区人民政府办公厅关于印发全区政府系统值班工作规范（试行）的通知》（宁政办发﹝2022﹞37号）要求，结合本单位实际，除做好规定值班值守工作外，要强化网络安全应急值班值守工作，特别是在重保时段要启动网络安全7×24小时在岗值班。要组织技术力量，加强巡查巡检，科学研判发生或可能发生的网络安全事件，第一时间启动应急预案，并按程序及时向水利厅网信办报告。

（五）严格等保制度落实（长期坚持）。

1. 做好等保定级备案。各单位要全面梳理信息化资产，建立等级保护对象管理台账，特别是对关键信息基础设施要按规范程序开展定级工作，做到应备尽备。

2. 做好定级系统测评。各单位要严格执行等保定级测评工作，特别是对已定级备案的系统，依法依规按期开展测评工作，做到应测尽测。要规范等保测评过程管理，选择具有法定资质的第三方测评机构开展测评工作，并对测评存在的网络安全风险隐患及时进行整改，保证测评效果。

三、工作要求

（一）加强组织领导。厅网络安全保障工作由分管厅领导统筹协调，厅网信办负责落实，水利信息中心负责技术支撑，各单位履行网络安全主体责任，按照“谁主管谁负责、谁运行谁负责”原则，认真贯彻执行国家网络安全有关政策要求，严格落实《水利厅党委落实网络安全工作责任制实施细则》，明确网络安全工作机构、工作内容和工作边界，明确网络安全直接责任人、网格管理人岗位职责，确保不发生网络安全事件。

（二）加强风险排查。各单位要在加强网络安全日常监测预警、及时处置安全隐患、认真落实等保制度的同时，对照网络安全风险排查重点内容、问题清单、问题等级、措施及要求，分类分级、逐一进行梳理排查，对发现的风险问题要建立台账，逐一进行消号整改，不留死角。重点要加强对本单位水利重要业务系统（含关键信息基础设施设施）、自动化控制系统、应用设备等进行安全排查，强化技术力量支撑和资金保障，主动作为，确保网络安全风险排查取得实效。

（三）建立长效机制。各单位要以网络安全风险排查工作为切入点，认真分析研究本单位网络安全工作存在的问题，加强会商研判和技术能力保障，建立健全网络安全管理长效机制，梳理完善相关管理制度，定期开展网络安全风险排查。要加强本单位网络安全教育培训，提升网络安全管理水平和网络安全意识，切实保障不发生网络安全事件。

各单位在开展网络安全保障工作过程中，如有问题可向水利厅科技与信息化处反馈。

联系人：网络安全      乔  杨  0951-5552264

等保测评      闫茹玉  0951-5552109

电子政务外网   罗成海  0951-5552125

云资源        赵  杰  0951-5552210

水利厅网络安全和信息化

领导小组办公室（代章）

2022年7月5日