沪化管〔2023〕111号
上海化学工业区管理委员会关于印发《上海化学工业区网络安全责任制实施细则》的通知
管委会机关各处室、所属企事业单位、各驻区管理单位:
《上海化学工业区网络安全责任制实施细则》已经上海化学工业区管理委员会2023年第12次主任办公会议审议通过。现印发给你们,请认真贯彻执行。
上海化学工业区管理委员会
2023年12月25日
(此件公开发布)
上海化学工业区网络安全责任制实施细则
第一章 总 则
第一条 为进一步加强上海化学工业区(以下简称“上海化工区”)网络安全管理工作,明确和落实网络安全工作责任制,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《党委(党组)网络安全工作责任制实施办法》等有关规定,结合园区实际制订本细则。
第二条 上海化工区管委会机关各处室、所属企事业单位、各驻区管理单位的网络安全管理工作,适用本细则。
第三条 网络安全管理工作遵循以下原则:
分级负责。按照“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”的原则,建立网络安全责任制。园区各单位(部门)对本单位(部门)的网络安全工作负主体责任,单位(部门)主要负责人是第一责任人,分管网络安全的负责人是直接责任人,其他负责人按照“党政同责、一岗双责”的原则,依据工作分工,抓好分管领域的网络安全工作,对职责范围内的网络安全工作负领导责任。各单位要成立网络安全管理部门,明确责任分工,将网络安全责任落实到具体岗位,实行责任追究制。
全程管理。按照“同步规划、同步建设、同步使用”的原则,区内各单位(部门)在智慧园区项目建设过程中,要将网络、系统、数据、信息安全等工作贯穿于项目建设运行管理的全过程。
重点把控。按照“谁收集谁负责、谁持有谁负责、谁使用谁负责”的原则,各单位(部门)要重点把控好信息系统上线关、数据调用接口关、人员管理关、供应链管理关等;对园区重要信息基础设施、网络安全、系统安全、数据安全、个人信息保护等给予重点保障。
第二章 职责分工
第四条 上海化学工业区网络安全和信息化工作领导小组(以下简称“网信工作领导小组”)及其办公室(以下简称“网信办”)、各成员单位,分别按照职责分工,层层压实网络安全责任。
第五条 网信工作领导小组是园区网信工作的领导和议事协调机构。主要负责贯彻落实党中央、市委市政府重大决策部署,统筹管理园区网络安全总体布局,组织制定和审议园区网络安全顶层设计、战略规划和综合政策;研究确定网络安全年度工作计划、重点任务和责任分工,整体推进、督促检查区内各单位(部门)网络安全工作落实情况和任务完成情况,统筹协调解决重点、难点问题。
第六条 网信办设在管委会综合办公室,是网信工作领导小组的工作推进和执行机构。负责起草、建立并完善网络安全工作制度、机制等;统筹推进领导小组阶段性工作部署,协调落实园区网络安全年度工作任务。
第七条 网信工作领导小组各成员单位要按照“统筹组织、需求主导、业务整合、分步实施”的原则,在领导小组的统一领导下,推进园区和本单位(部门)网络安全相关工作:
管委会综合办公室是园区网络安全工作的业务主管部门,负责统筹协调、推进落实园区网络安全总体规划、顶层设计、制度和标准建设、监督评估、人员培训等工作;负责管委会机关电子政务网络基础设施建设及办公自动化系统的信息安全管理等工作。
管委会经济发展处负责园区专项发展资金智慧园区网络安全项目建设的项目库管理、年度资金计划的编制和下达等工作。
管委会计划财务处负责园区专项发展资金智慧园区网络安全项目建设的资金保障、审价和审计等工作。
管委会机关各处室、所属企事业单位、驻区管理单位(部门)是本单位(部门)网络安全工作的责任主体,负责本单位(部门)所承担业务领域的网络安全项目建设及其运行维护等工作;负责本单位(部门)的网络安全管理,包括但不限于网络安全、系统安全、数据安全、信息安全等;共同协助完成园区网络安全监管任务。
第三章 项目网络安全责任
第八条 上海化工区智慧园区建设项目网络安全责任由项目需求方、建设方、承建方、使用方、运维方和监管方分工负责、共同承担。各方网络安全职责如下:
(一)需求方。负责提出智慧园区建设项目的需求,同步提出项目网络安全建设的相关要求。具体负责根据项目需求,制定相关网络安全规划和方案,明确网络安全目标、措施和技术要求,确保项目网络安全的可靠性和稳定性;明确项目网络安全责任,指定专人全程负责项目建设过程中的网络安全管理工作;牵头开展项目安全测评、软件测试、密码应用测评等“三测”工作。
(二)建设方。负责智慧园区建设项目的立项、申报、评审、合同、验收、资料归档、固定资产和数据资产管理等工作;协助开展项目建设及使用过程中的网络安全监管工作;负责与项目需求方、承建方、使用方、运维方等各方签订服务合同(协议),明确各方网络安全、系统安全、软件安全、数据安全、信息安全等工作职责,并签订相关保密协议,责成各方切实履行网络安全责任;配合开展“三测”等工作。
(三)承建方。负责智慧园区建设项目建设过程中的网络安全管理:具体负责项目建设中网络安全部分的实施和交付,确保信息系统符合网络安全测评的标准和“三测”标准要求;负责对项目验收交付使用后发现的安全漏洞、隐患、事件进行修复,确保信息系统的安全性和稳定性;配合开展“三测”等工作。
(四)使用方。负责项目交付使用后的网络安全管理工作:具体负责建立有效的信息系统安全管理措施,并制定安全管理流程和规范;负责信息系统数据收集、持有、使用过程中的安全管理工作;负责督促运维方加强系统运行维护中的信息安全管理,定期开展监督检查,对发现的网络安全问题及时进行通报,并跟进处置整改结果,确保信息系统运行安全可靠;负责建立网络安全应急响应预案和工作机制,及时处理和应对网络安全事件;定期组织开展网络安全应急演练,提高应对网络安全事件的处置能效。
(五)运维方。负责智慧园区建设项目交付使用后运行维护过程中的网络安全工作:具体负责信息系统(硬件、软件)安全运维,及时更新漏洞补丁和升级固件,依照相关要求留存操作日志、记录文档等;负责信息系统的数据安全备份和恢复,及时备份重要数据,做好信息系统的灾难恢复准备工作,并提供网络安全应急响应支撑工作,避免网络安全漏洞和突发事件造成损失。
(六)监管方。网信办全面负责智慧园区项目网络安全的监管:具体负责协调推进和指导监督各智慧园区建设项目的网络安全建设工作,及其日常运行维护中的网络安全工作等;定期开展项目网络安全检查,及时发现网络安全问题和风险,及时进行通报并督促相关单位(部门)落实整改。
第四章 责任追究
第九条 各单位(部门)违反或未能正确履行本细则所列职责,按照有关规定追究相关责任。
有下列情形之一的,各单位(部门)应当逐级倒查,追究当事人、网络安全负责人直至主要负责人的责任。对于协调监管不力的,还应当追究协调监管不力单位(部门)相关人员的责任。
(一)未成立本单位网络安全管理部门,本单位(部门)网络安全工作机制不健全、经费不落实、责任不明确,并造成严重后果的。
(二)未定期开展本单位(部门)网络安全检查,对信息系统安全漏洞整改不及时,或者对有关部门通报的问题和风险隐患未整改或整改不及时,并造成严重后果的。
(三)未开展(或配合开展)项目的网络安全等级保护测评、软件安全测评、商用密码应用安全性评估等工作,并造成严重后果的。
(四)其他未落实本单位(部门)或信息化项目网络安全工作责任的。
(五)发生其他严重危害网络安全行为的。
第十条 各单位(部门)实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,单位(部门)主要负责人和主管网络安全的负责人承担主要领导责任,参与相关工作决策的负责人承担重要领导责任。
第五章 考核监督
第十一条 园区网信工作领导小组每年初与各单位(部门)负责人签订《网络安全责任书》,层层压实网络安全责任。
第十二条 园区网信办每年不定期组织开展网络安全责任制落实情况检查;建立健全网络安全工作绩效考核工作机制,明确考核内容、方法、程序,将网络安全考核结果纳入各单位(部门)年度考核指标体系,并作为各级领导班子和领导干部综合考核评价的重要内容。
第六章 附则
第十三条 本细则由园区网信办负责解释,自印发之日起施行。区内其他企业(单位)参照执行。
扫一扫,在手机打开当前页