津城管科〔2019〕195号

市城市管理委关于印发天津市城市管理委员会网络安全管理办法（试行）等管理办法的通知

市公用事业局，机关各处室，委属各单位：

为加强和规范我委网络安全和信息化建设管理工作，确保政务系统网络安全、稳定、高效运行，提升我委依法履职能力和公共服务水平，根据国家和我市有关法律法规规定，结合贯彻落实2019年7月8日下发的《天津市城市管理委员会网络安全和信息化建设管理规定（试行）》的实际，研究制定了《天津市城市管理委员会网络安全管理办法（试行）》、《天津市数字化城市管理平台运行管理办法（试行）》两个管理办法。现印发你们，请照此执行。

                            2019年8年16日

（此件主动公开）

天津市城市管理委员会网络

安全管理办法（试行）

第一章 总  则

第一条 为加强我委网络安全管理工作，根据《中华人民共和国网络安全法》和《天津市人民政府办公厅关于印发天津市政府系统电子政务内网运维管理办法（试行）的通知》等法律法规规定，按照《天津市城市管理委员会网络安全和信息化建设管理规定（试行）》的要求，制定本办法。

第二条 本办法所涉及网络安全范畴包括以下内容：

1、计算机网络系统：各类网络应用系统、单机版应用系统、网站、微信公众号、政务微博、信息发布平台、各类移动端、应用APP等。

2、网络设备与链路：各类网络线路、交换设备、网络管理设备、安全设备等。

3、计算机与存储设备：各类电脑、服务器、存储设备、智能终端等。

4、办公设备：显示设备、电视、投影仪、视频会议设备、复印机、打印机、传真机、扫描仪、电子白板等。

5、各种软件：系统软件、办公软件、杀毒软件、数据库软件、中间件、专业软件、应用软件等。

6、其它设备：密保设备、配套设备以及系统运行必须设备等。

第三条 科技信息处负责委网络安全管理工作的组织、协调、监督、检查等工作。机关其他处室按照委网络安全和信息化建设领导小组明确的职责做好网络安全管理相关工作。按照“谁建设、谁使用、谁管理”的原则，各单位做好本级和下属单位的网络安全管理工作。市数字化城市管理考核中心、市容园林信息中心按照各自职责做好委网络安全技术服务保障工作。

第四条 本办法适用于市公用事业局、委机关和委属各单位。

第二章 网络日常安全管理

第五条 按照市委网信办有关规定、委网络安全和信息化建设管理领导小组要求，各单位要建立健全网络安全管理制度，制定网络安全应急预案并定期进行演练，明确网络安全管理责任人，提出网络安全管理要求。

第六条 各单位建设使用的内外网、系统专网涉及的端口、线缆、IP地址等网络资源，由运营单位进行分配管理。

第七条 不得擅自更改和恶意占用他人的网络设备与资源。

第八条 接入互联网需经本单位网络安全管理部门负责人同意，接入互联网的设备应做好安全防护，并设置已接入互联网的明显标志，使用中应遵循接入互联网计算机不留存办公文件的原则，对发送、接收的文件做好转存归档。

第九条 未经许可不得入侵更改计算机系统信息和用户数据，不得攻击各种终端、网关或服务器。

第十条 不得使用计算机网络技术侵犯系统其他网络用户合法利益。

第十一条 不得编造、制作、复制、传播违反法律规定的相关信息。

第十二条 不得入侵、破解、篡改其他用户的电脑、工作站或者服务器。

第十三条 各单位必需按网络和系统性质对计算机系统及网站进行安全等级认证，采取相应的等级保护措施，并按要求及时在公安机关进行备案，建立网络安全管理制度。

第十四条 内部网络及终端和外部网络应进行物理隔离，如需连接时按计算机网络安全等级保护要求，安装防火墙、网关、网闸、扫描检测审计等必要的安全设备，并做好安全策略。

第十五条 内外网络间通过防火墙或安全网关等设备访问时，应设定权限进行控制。

第十六条 防火墙或安全网关等设备增加或删除策略时，应按策略变更流程进行。

第十七条 更改配置和访问策略时，应及时导出配置文件，作好备份并标明改动内容。

第十八条 运维人员每月至少应进行一次各类网络安全设备策略审查，对不适宜的策略应进行优化，网络结构进行明显调整的，应及时进行策略调整。要及时了解厂商发布的软、硬件升级包，严格按照流程进行优化升级。

第三章 软、硬件设备安全管理

第十九条 各单位应按资产管理要求建立软、硬件设备管理台账，每台网络设备应指定保管人。保管人对软、硬件设备有使用、保管责任。

第二十条 网络和设备口令应进行严格保密，不少于半年更改一次密码。密码长度10位以上，至少由大小写字母、数字标点等3类字符混合组成。无法达到要求的，按最高密码安全策略处理。

第二十一条 各种账号必须由本账号使用者专人使用，未经允许不得将账号转让他人使用。

第二十二条 各单位的软件、数据应定期备份。重要资料、文档、数据等原则上应采用不同类介质、异地存储等存储方法，保存不少于两份备份，以防丢失。系统含有敏感数据或涉及公民个人信息数据，应按规定上报并按要求在相关部门备案。

第二十三条 禁止私自拆卸和擅自修理各类设备，修理更换应由专业人员实施。设备不使用时应及时关掉电源，节假日、休息日长时间无人使用，应断开网络与电源链接。

第二十四条 网络与设备应按正确方法清洁保养，保证正常使用。如设备有老化故障等安全隐患的应及时更换处理。出现过热冒烟等异常情况，应立即切断电源，启动相关应急预案。危险排除后及时通知管理人员检查维修，防止发生火灾。

第二十五条 所有设备不得私用、转让、借出。不得将涉及敏感或涉密信息的软件、磁盘、光盘及其他存储介质带离工作单位。确需将设备带离工作区域的，应经主管领导批准并登记备案。

第二十六条 加强设备报废安全管理，具备存储功能的设备在报废时应进行安全检查、删除、物理销毁等工作。

第二十七条 在系统网络与设备采购建设过程中，采购人应当与供方签订网络安全协议，并在采购文件和采购合同中明确网络安全责任义务，必要时委托专业技术机构进行安全检测。

第二十八条 设备上安装的操作系统、防病毒软件、应用软件、办公软件均应为正版软件，软件版本应为公务或办公用版本。

第二十九条 设备上安装的软件应建立软件台账，不得安装软件台账之外的其他软件。

第三十条 实际安装软件必须与本单位软件台账保持一致，软件版本号应与采购合同、授权协议等佐证材料保持一致。

第四章 防病毒、防网络攻击安全管理

第三十一条 各单位应建立健全计算机病毒预防、发现、报告、消除等管理制度及防病毒检测维护制度,对本单位的计算机网络系统进行经常性病毒检测。

第三十二条 具备安装软件功能的设备，应安装防病毒软件及防火墙，具有升级系统功能的设备应及时升级操作系统补丁和防病毒软件。不得关闭杀毒软件和网络防火墙，应确保防火墙处于激活状态。

第三十三条 使用网络进行文件传输，应仔细辨别再接收文件，对接收的文件应使用安全软件查杀后确认无病毒再打开。

第三十四条 各单位工作人员使用互联网传输工作邮件应使用政务安全邮箱，使用电子邮件下载附件应由安全软件查杀无病毒后再打开。提高防范钓鱼邮件等有害信息与连接的意识，对可疑邮件、信息、链接，应直接删除。

第三十五条 光盘等不可擦写存储介质须经病毒检查后方可使用，U盘、移动硬盘等可擦写移动介质使用前必须进行全面杀毒处理。不使用不明的存储介质，严禁使用与工作无关的存储介质，存储介质未经病毒检测及安全处理严禁在内网与外网、涉密与非涉密计算机间互用。

第三十六条 工作时间不得下载、浏览非工作信息，不得使用P2P协议软件。

第三十七条 工作时间原则上不使用微信、QQ等通讯软件，确需联络的需经主管部门负责人同意。

第三十八条 不得占用计算机和网络资源进行游戏，不得安装与工作无关软件。

第三十九条 出现网络安全漏洞和病毒爆发时，科技信息处根据市委网信办发布的网络安全预警和技术应对措施，及时发布安全预告、提供工具补丁、研究应急方案、跟踪反馈结果等工作。

第四十条 应提高防范计算机病毒、防网络攻击的安全意识，切实履行职责。应将网络安全与防病毒管理作为重要内容纳入安全工作检查范围。

第五章 计算机涉密安全管理

    第四十一条 不得向外单位或个人提供委信息化系统内电子版或其他介质的涉密信息，确须提供的按保密规定执行。

第四十二条 计算机信息系统的涉密工作由系统使用部门负责，按国家相关保密规定和委保密制度执行。

第六章 奖励与惩处

第四十三条 将网络安全管理工作同绩效考核、年度评选先进个人工作挂钩，定期对网络安全岗位人员进行考核，对在网络安全管理工作中做出突出成绩的单位或个人应给予表扬和奖励。

第四十四条 对在网络安全管理工作中不尽职尽责，不认真落实相关管理办法，使用不当造成设备损毁，保管不善造成设备遗失，给工作造成影响的，应对单位负责人和当事人予以问责。被上级通报或造成严重社会影响的，按照相关规定追究单位负责人和当事人的责任。

第七章 附  则

第四十五条 本办法自发布之日起施行。

天津市数字化城市管理平台运行管理办法

（试行）

第一章 总  则

第一条 为加强和规范市数字化城市管理平台的运行管理，保障机房设施设备和软硬件应用系统安全稳定运行，根据国家标准《数字化城市管理信息系统（GB/T 30428-2017）》、《城市市政综合监管信息系统技术规范》（CJJ/T106-2010）和《天津市人民政府办公厅关于印发天津市政府系统电子政务内网运维管理办法（试行）的通知》以及《天津市城市管理委员会网络安全和信息化建设管理规定（试用）》等规定的要求，制定本管理办法。

第二条 市数字化城市管理平台由市数字化城市管理考核中心负责运行维护和安全管理，并制定相关管理制度。

第三条 配置在市数字化城市管理平台机房的垂直网络系统设备，按照“谁建设、谁使用、谁管理”的原则，由使用处室或使用单位进行维护。

第四条 市、区数字化城市管理平台的运维管理适用本办法。

第二章 机房日常管理

第五条 机房运维单位负责人应每天对机房环境设备进行一次全面检查，包括软硬件、空调、电路、网络、消防等设备，发现异常应立即报告市数字化城市管理考核中心，并采取相应措施进行维护。检查结果应有文字记录，及时存档。

第六条 市数字化城市管理考核中心应结合系统每日运行情况，监督检查运维外包服务单位履行服务合同，定期分析运维情况，每月汇总系统软硬件维护情况，形成书面材料报委业务主管部门，重要情况及时报告。

第七条 机房管理员应熟悉各项设备安全操作方法，并认真执行。进行风险性较大、操作复杂的工作时，必须事先拟定技术安全措施。操作前需检查操作命令、操作程序、涉及的设备、工具和防护用具，确实安全可靠方可进行工作。在维护、测试、更换设备、故障处理等日常操作中，应采取预防措施，防止造成人员伤害和通信事故。

第八条 机房内应做到防静电、防火、防潮、防尘、防热。严禁在中心机房使用高温、炽热、产生火花的设备，禁止将机房内电源外引他用，确保机房安全。

第九条 机房管理员应熟练掌握消防安全操作规则，消防设备、器材的操作原理，消防应急处理步骤、措施和要领。

第十条 定期检查机房空调设备各项性能指标，发现异常情况应及时处理。定期清除室外机的堵塞物，保障风道管路畅通，如遇冷热极端天气应对室外机进行人工降温、除冰。                                                 

第十一条 机房设备地线必须接地，机房管理员应定期检查电源线插座是否完好，发现老化损坏应及时更换。

第十二条 遇雷电天气或雷电气象预警，机房管理员应请示负责人，视情况关闭设备，切断电源，暂停网络工作，防止设备被雷电损坏。

第十三条 机房内应保持干净整洁，每日清扫，每周进行一次全面清理，定期对机器设备进行吸尘清洁。

第十四条 配置在机房的垂直网络系统设备，相关技术人员进入机房调试或维护设备，需经市数字化城市管理考核中心备案，并严格遵守机房管理规定。

第三章 机房人员管理

第十五条 机房及工作平台管理人员要严格执行外来人员进出登记制度。参观、考察人员进入机房，严格按照接待方案要求填写《参观考察人员登记表》，在负责人陪同下，做好服务工作；因工作需要进出机房的人员，必须经负责人同意，在工作人员陪同下进入机房，并做好登记。与工作无关人员严禁进出机房及工作平台。

第十六条 机房及工作平台内严禁吸烟、进食、玩游戏等与业务无关的活动；严禁将易燃、易爆、易腐蚀、强磁性等危险物品带入机房及工作平台。

第十七条 工作人员应严格遵守用电、防火等安全制度，严禁在设施设备上晾晒和堆放物品，不得私接电源和网线；下班前要关闭用电设备，做到人走灯灭，确保设施设备安全。

第十八条 工作人员应严格按职责与操作权限使用平台软硬件，不得私自拆卸软硬件、更改设备、硬件复位、试验性操作、变更设置、带出设备、调换设备。

第十九条 工作人员应严格遵守保密规定，保管好用户名和操作口令密码，不得泄漏与用户名和操作口令密码等相关数据。

第二十条 工作人员严禁私自使用软盘、U盘、光盘等存储介质和机房内设备交换数据。

第二十一条 遇国家法定节假日，市数字化城市管理考核中心应制定节假日值班表，并上报委主管部门。软件维护和硬件运维外包服务单位应各安排1至2名专业技术员和座席员值班，市数字化城市管理考核中心应安排干部值班和领导带班。重大活动期间，按照委统一部署要求，主要领导亲自值班值守。

第四章 机房设备管理

第二十二条 路由器、交换机、服务器以及各类通信设备、安全设备、网络设备，应放置机房内，非专职人员不得自行配置或更换，不得挪作他用。

第二十三条 机房设备改动和新增网络设备，需经委业务主管部门审定，材料经市数字化城市管理考核中心备案方可实施。

第二十四条 新增设备进入机房应填写设备出入单，登记设备的类型、数量等，经负责人批准方可进入。机房管理员应对设备粘贴标签，内容包括：名称、使用部门、用途、设备型号等。设备要按照规定装入机柜，设备线路连接要整齐、符合规范。设备进入机房后不得私自拆卸，如需拆卸更换应由机房管理员报上级同意后方可进行。

第二十五条 设备搬出机房应填写设备出入单，由机房管理员将搬出设备的型号、数量、单位名称、联系人、联系方式等填写在日志中。

第二十六条 机房管理员应统一管理机房设备，新增设备必须完整保存与设备有关的驱动程序、保修卡及随机文件。管理员应及时更新机房设备清单、网络拓扑图及设备连接拓扑图，并由机房管理员组织相关技术人员统一进行新增设备参数配置。

第二十七条 未经负责人批准，任何人不得私自挪动各类设备位置，不得更改设备连线，包括电源线、网线及其它数据线等。未经批准，任何人不得在设备上编写、修改、更换各类软件系统及更改设备参数配置。

第二十八条 机房服务器、网络设备、UPS电源、空调等重要设施，应由机房管理员进行管理，严格按照日常操作运维手册执行，禁止随意开关。

第二十九条 对设备配置的重大更改、升级，配置和调试之前必须制订工作预案和有关措施，经相关专家论证确认可行，方可实施。操作时，应由具备资质的技术人员进行操作，并做好记录。

第三十条 严禁私自添加或拆移硬件设备和配件。如确有需要应提前提出申请，由市数字化城市管理考核中心上报委业务管理部门确认后方可进行操作。

第三十一条 机房设备的报废按照委内固定资产管理相关规定执行。确定报废的设备在搬出机房前应对设备上的数据进行备份，并且彻底清除。

涉密信息化设备的报废，按《中华人民共和国保守国家秘密法》、《关于国家秘密载体保密管理的规定》和我委相关保密设备管理规定执行。

第五章 网络管理

第三十二条 网络管理员应每日对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监控，每日检测结果记入机房网络巡查记录。

第三十三条 网络管理员应保障整个系统平台内网和外网畅通，发现问题及时处理，重大网络问题及时上报。机房内部网络做到专网专用，未经批准网络不能交叉使用，不得将内网和外网接通。重要涉密网络要专人负责，不得擅自使用和更改。

第六章 应用系统管理

第三十四条 服务器操作系统、数据库、重要系统软件安装介质、资料、档案等应整理存档并妥善保管，服务器安装各类软件和系统应进行详细登记和记录，系统配置的信息应进行备份。

第三十五条 未经主管部门批准，不得在服务器上安装其他软件，不得删除已安装的软件，不得修改软件的信息、配置和运行数据。服务器安装软件必须为经授权的正版软件，不能影响该服务器其他软件和服务的运行。

第三十六条 服务器操作系统和重要信息系统应每天检查并做好记录，操作系统每周检查一次系统补丁，每半个月做一次全面维护。

第三十七条 对重大应用系统的更改、升级、配置和调试等操作之前，必须预先制定工作预案和措施，经相关专家论证确认后方可实施。操作时由专业人员作业并做好记录。

第七章 数据保密与备份

第三十八条 机房管理员应对数据实施严格的保密管理，防止系统数据非法生成、变更、泄露、丢失及破坏。软件运维管理人员应实时对数据库认证、授权、完整性、补丁进行修正。

第三十九条 机房管理员应根据数据的用途和保密规定对系统数据使用人设定使用存取权限和方式，机房负责人确定批准。所有工作人员应恪守保密制度，不得泄露涉密数据。

第四十条 软件应用系统应做好各种数据、文件的备份工作。重要系统数据应每天全部备份，按照实际情况进行保存。

第四十一条 被替换的“城管通”手机要严格按照涉密存储介质相关规定妥善处理，防止地理信息数据外流或删除后被恢复。如系统产生相关涉密数据、涉密档案要按相关保密制度严格进行管理。

第八章 病毒防范与安全管理

第四十二条 机房管理员应定期进行病毒检测和网络安全监测，发现病毒和攻击行为应立即处理并通知相关部门或专职人员。

第四十三条 平台系统应采用国家认定的正版防病毒软件并及时更新软件版本。安装相关软件前应进行病毒例行检测，并做好记录与上报。

第四十四条 由外网传送的程序或数据、外来光盘、软盘、U盘等载体在使用前必须经过检测确认无病毒后方可使用。

第四十五条 坐席区电脑进行数据拷贝时，应使用专用设备，不得使用未经授权的移动介质拷贝传输资料。

第九章 奖励与惩处

第四十六条 对在市数字化城市管理平台日常运维中工作认真负责，业绩突出的个人，将按照有关规定给予表扬和奖励。

第四十七条 对在工作中不尽职尽责，不认真落实相关管理办法，给工作造成一定影响的个人，应予以问责，服务外包单位不遵守本办法按未履行合同处理。造成严重后果的，按照相关规定追究当事人责任。被上级通报或造成严重社会影响的，追究单位负责人和当事人的责任。

第十章 附  则

第四十八条 本办法自印发之日起施行。