门户网站和部门网站的安全建设应当建立下列工作制度:
(一)定期备份制度
门户网站和部门网站应当对重要文件、数据、操作系统及应用系统作定期备份,以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。
(二)口令管理制度
门户网站和部门网站应当为重要设备和系统设置口令。口令的位数不应少于8位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。对设置的口令应当有严格的管理制度以防止泄露。
(三)机房管理制度
门户网站和部门网站机房应当建立严格的门禁制度和日常管理制度,机房及机房内所有设备都应当由专人负责管理,每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房,应当由值班人员陪同并对其工作内容做详细记录。
(四)系统投入运行前的安全测评制度
门户网站和部门网站应当由上海市信息安全测评认证中心按照《计算机信息系统安全测评通用技术规范》的要求,对其系统安全性进行测评。新建网站需经测评合格后,方可正式投入运行。已建成投入使用的网站,应当按照上述要求予以补测。
(五)系统运行期间的定期检测和升级制度
鉴于网络安全建设动态发展和不断更新的特点,门户网站和部门网站应当对系统漏洞和弱点进行定期检测,并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级,以防黑客利用系统漏洞和弱点非法入侵。
(六)应急响应制度
门户网站和部门网站应当充分估计各种突发事件的可能性,做好应急响应方案,进行定期演练。同时,要与岗位责任制度相结合,保证应急响应方案的及时实施,将损失降到最低程度。
(七)安全事件报告及处理制度
门户网站和部门网站在发生安全突发事件后,除在第一时间组织人员进行解决外,应当及时向市网安办报告。市网安办应当给予及时的指导和必要的技术支持,同时将部门网站报告的情况反馈给门户网站,并视安全突发事件的严重程度,及时协调公安、电信等部门进行处理。电信等部门和单位应当按照政府网站安全优先的原则,采取增加临时通信带宽和封堵非法IP访问地址等方面的措施。
(八)人员管理制度
门户网站和部门网站应当制定详细的工作人员管理制度,明确工作人员的职责和权限。要通过定期开展业务培训,提高人员素质,重点加强负责系统操作和维护工作的人员的培训考核工作,实行考核上岗制度。同时,规范人员调离制度,做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。
四、其他事项
