您好!欢迎访问宁夏水利行业协会官方网站

关于进一步做好水利网络安全保障工作的通知

发布日期:2022-07-05 12:00:00 作者:admin 来源: 自治区水利厅 点击:2615

关于进一步做好水利网络安全保障工作的通知

各市、县(区)水务局,厅属各单位、厅机关各处室,有关水利企业:

为进一步加强水利系统网络安全保障工作,着力发现和防范网络安全风险,有效提升水利网络安全防护水平,保障水利各项业务工作安全、有序、稳定开展,现就做好网络安全保障工作有关事项通知如下:

一、总体要求

  全面落实中央、自治区有关网络安全保障工作的决策部署和工作要求,按照“全面排查风险、及时发现预警、快速有效处置、确保万无一失”的工作目标,认真贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》《水利厅党委落实网络安全责任制实施细则》及网络安全等级保护制度等相关法律规范,压紧压实网络安全工作主体责任,进一步提升重要系统、重要网络、重要水利工控设备等水利关键信息基础设施防攻击、防瘫痪、防窃密、防篡改能力,确保各系统安全稳定运行,为水利高质量发展提供网络安全保障和支撑。

二、重点工作任务

(一)开展自查评估2022年7月5日—8月31日)。

各单位对照《水利网络安全风险问题检查指南(2022版)》(见附件1),组织力量开展一次全面安全自查,查漏洞、防风险、补短板。

1. 自查评估范围。各单位建设管理运行的重要业务应用系统、关键信息基础设施、水利工控系统、门户网站、部署的网络安全设施、基础运行环境以及制度规范建设等方面。

2. 自查评估内容

1)组织管理措施。重点检查制度建设、资产管理、宣传教育等方面的情况,主要包括是否落实《水利厅党委落实网络安全责任制实施细则》要求,是否落实网络安全主体责任,是否建立相关网络安全管理制度和应急处置预案,是否规范相关信息资产管理,是否开展网络安全教育培训等。

2)信息系统建设。重点检查信息系统前期建设安全问题、应用安全问题、等级保护制度落实等方面的情况,主要包括应用系统是否存在未按规范进行测试、设计、检查、部署等安全隐患,安全防护措施是否完备,安全漏洞是否整改修复,安全防护策略是否有效,是否存在弱口令、默认口令和长期未更换口令等行为,是否按照等级保护制度相关要求开展等保定级、备案、测评等方面工作。

3)云资源管理。重点检查云资源申请、上线检查、服务器部署、云资源使用等方面情况,主要包括是否按照自治区云资源管理要求合理申请、部署云资源,是否按规范开展新系统上线前安全检查,是否合理配置、管理、使用云资源等。

4)运维安全管理。重点检查运维安全保障制度、安全运维管理、安全策略等方面情况,主要包括运维保障制度是否完善,是否以合同协议等形式明确安全责任,是否修改了默认配置并严格访问控制策略,是否关闭或删除不必要的应用、服务、端口和链接,是否对重要数据、重要功能进行备份,安全运维要求是否落实,是否存在手机APP安全问题等。

5)电子政务外网管理。根据自治区推进数字政府建设领导小组办公室印发的《自治区电子政务外网安全风险整改指导意见》(宁数办发〔2022〕3号)(见附件2),对标政务外网局域网安全接入和政务公共云平台专线接入参考规范,重点检查安全管理机制、安全防护措施、日常安全管理等方面,主要包括是否制定切实可行整改方案,是否对标完成整改任务等。

6)网络内容审核。重点检查各类在用新媒体平台、门户网站信息发布审核方面情况,主要包括是否建立信息发布审核机制,是否存在各类不规范信息,是否对违规信息进行清理和修改工作。

3. 梳理问题整改。各单位梳理自查网络安全风险情况,制定整改措施,并将自查评估结果和整改情况于8月25日前报厅网信办。

(二)开展抽查指导(2022年7月20日—9月30日)。

1. 开展现场抽查。厅网信办组织相关单位,对照网络安全风险排查要求,对各单位网络安全自查评估工作情况进行实地检查,开展技术指导服务和培训,并形成抽查指导意见。

2. 开展专项检测。厅网信办根据各单位自查和实地检查情况,针对存在的突出问题和风险点,组织专业技术力量开展网络安全测试,通过漏洞扫描、渗透测试等检测方式对各单位网络安全主要问题进行专项检测,及时发现安全隐患,指导各单位完成整改。

(三)加强应急处置(长期坚持)。

1. 健全完善网络安全事件应急预案。围绕水利网络安全风险隐患,厅网信办依法依规制定水利厅网络安全应急处置预案;各单位结合工作实际,制定本单位及重要关键信息基础设施网络安全应急预案。各单位根据工作情况,至少组织开展一次网络安全应急演练,进一步提升网络安全风险预警和应急响应能力。

2. 强化水利网络安全联防联控机制。依托水利系统网络安全网格化管理工作机制,以各单位网络安全网格员为节点,压实网络安全责任人主体责任,建立信息共享渠道,进行联防联控,为应急处置提供支撑。各单位网络安全网格管理人员如有变化,请于2022年7月20日前反馈厅网信办。

3. 做好网络安全应急响应。各单位在发生或可能发生网络安全事件时,按照有关应急预案和水利网络安全联防联控要求,及时开展应急响应处置,并向厅网信办报告相关信息。

4. 强化舆情监测。厅办公室制定网络舆情工作方案,指导各单位做好网络舆情监测工作,对于网络舆情中的倾向性、苗头性问题,开展及时、有针对性的网络舆情处置引导。

(四)强化日常监测(长期坚持)。

1. 强化日常监管。利用水利厅网络安全态势感知系统,实时共享威胁情报查询结果,加强日常监测预警,不断优化统一日志分析、流量安全分析及风险威胁感知能力,确保掌握网内安全态势情况,及时遏制网络安全事件。

2. 严格“零报告”制度。在重要工作、重大活动、重要节点等网络安全重保时段期间,厅网信办通过“宁政通网络安全网络化工作群”组织开展网络安全专项保障工作,每日报送网络安全状况,做到发生网络安全事件第一时间响应、第一时间处置。

3. 严格落实告知制度。围绕水利厅等部门监测发现的网络安全隐患问题,坚持一事一告知的原则,认真执行网络安全告知制度,完善网络安全事件告知处置流程,建立网络安全告知清单,跟踪指导事件处置,确保在规定的期限完成事件处置工作。

4. 严格落实值班值守。各单位要认真贯彻《自治区人民政府办公厅关于印发全区政府系统值班工作规范(试行)的通知》(宁政办发﹝2022﹞37号)要求,结合本单位实际,除做好规定值班值守工作外,要强化网络安全应急值班值守工作,特别是在重保时段要启动网络安全7×24小时在岗值班。要组织技术力量,加强巡查巡检,科学研判发生或可能发生的网络安全事件,第一时间启动应急预案,并按程序及时向水利厅网信办报告。

(五)严格等保制度落实(长期坚持)。

1. 做好等保定级备案。各单位要全面梳理信息化资产,建立等级保护对象管理台账,特别是对关键信息基础设施要按规范程序开展定级工作,做到应备尽备。

2. 做好定级系统测评。各单位要严格执行等保定级测评工作,特别是对已定级备案的系统,依法依规按期开展测评工作,做到应测尽测。要规范等保测评过程管理,选择具有法定资质的第三方测评机构开展测评工作,并对测评存在的网络安全风险隐患及时进行整改,保证测评效果。

三、工作要求

(一)加强组织领导。厅网络安全保障工作由分管厅领导统筹协调,厅网信办负责落实,水利信息中心负责技术支撑,各单位履行网络安全主体责任,按照“谁主管谁负责、谁运行谁负责”原则,认真贯彻执行国家网络安全有关政策要求,严格落实《水利厅党委落实网络安全工作责任制实施细则》,明确网络安全工作机构、工作内容和工作边界,明确网络安全直接责任人、网格管理人岗位职责,确保不发生网络安全事件。

(二)加强风险排查。各单位要在加强网络安全日常监测预警、及时处置安全隐患、认真落实等保制度的同时,对照网络安全风险排查重点内容、问题清单、问题等级、措施及要求,分类分级、逐一进行梳理排查,对发现的风险问题要建立台账,逐一进行消号整改,不留死角。重点要加强对本单位水利重要业务系统(含关键信息基础设施设施)、自动化控制系统、应用设备等进行安全排查,强化技术力量支撑和资金保障,主动作为,确保网络安全风险排查取得实效。

(三)建立长效机制。各单位要以网络安全风险排查工作为切入点,认真分析研究本单位网络安全工作存在的问题,加强会商研判和技术能力保障,建立健全网络安全管理长效机制,梳理完善相关管理制度,定期开展网络安全风险排查。要加强本单位网络安全教育培训,提升网络安全管理水平和网络安全意识,切实保障不发生网络安全事件。

各单位在开展网络安全保障工作过程中,如有问题可向水利厅科技与信息化处反馈。

联系人:网络安全      乔  杨  0951-5552264

等保测评      闫茹玉  0951-5552109

电子政务外网   罗成海  0951-5552125

云资源        赵  杰  0951-5552210

水利厅网络安全和信息化

领导小组办公室(代章)

2022年7月5日