中国科学院网络安全工作管理办法 （试行） 第一章 总 则 第一条 为加强中国科学院网络安全工作、 保障我院网络 安全，根据《中华人民共和国网络安全法》 、 《中华人民共和 国计算机信息系统安全保护条例》 、 《中华人民共和国计算机 信息网络国际联网管理暂行规定》 、 《信息安全等级保护管理 办法》等国家有关政策、法规及指导性文件，制定本办法。 第二条 中国科学院网络安全工作遵循“谁主管谁负责、 谁使用谁负责、谁运维谁负责”的原则，实行统一领导、分 级治理、定责到人。 第三条 网络安全与信息化工作应同步规划、同步建设、 同步实施、同步发展。 第四条 本办法中的网络， 是指由计算机或者其他信息终 端及相关设备组成的按照一定的规则和程序对信息进行收 集、存储、传输、交换、处理的系统。 网络安全， 是指通过采取必要措施， 防范对网络的攻击、 侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳 定可靠运行的状态，以及保障网络数据的完整性、保密性、 可用性的能力。 第五条 本办法适用于院属单位、院机关（以下统称各单位）的网络安全工作，其中院属全资及控股企业和双重领导 单位应参照执行。 第二章 组织机构 第六条 中国科学院网络安全和信息化领导小组 （简称院 网信领导小组）作为院网络安全 工作统筹协调和决策机构 , 贯彻落实党中央、国务院关于国家网络安全的发展战略、宏 观规划和重大政策；按照国家有关部署，组织院网络安全工 作； 研究制定院网络安全工作的战略、 发展规划和重大政策； 审定院网络安全工作部署和重要项目部署，对有关重大问题 作出决策和决定，协调各方面的工作关系。院网信领导小组 办公室（简称院网信办）设在办公厅，作为院网信领导小组 的办事机构。 第七条 中国科学院安全工作委员会 （以下简称院安委会） 贯彻落实党中央、国务院关于网络安全工作的方针政策，传 达中央重要会议和文件精神，研究部署年度工作；分析全院 网络安全工 作态势，研究制定院级相关规章制度及管理措施， 并部署实施；指导、检查各单位安全工作；研究处理重大问 题及重大事件，研究决定重大安全事故责任的处理意见。 第八条 中国科学院安全工作委员会办公室 （设在办公厅， 以下简称 院安委办） ， 具体负责落实 全院网络安全工作 的部 署要求， 在院安委会领导下 ，会同院网信办对 全院网络安全 工作的规划和贯彻实施等工作进行 指导、监督和检查 。 第九条 各分院负责 在本系统内 贯彻执行党和国家关于 网络安全工作的方针政策和法律法规，落实 院网络安全工作 各项部署 。督促、检查本系统单位的网络安全工作， 对发现 的问题和隐患及时督办整改 。组织和督促本系统各单位开展 网络安全 宣传教育和培训工作。指导和 督促本系统单位妥善 处理各类网络 安全案件、事件、 事故并及时上报 院安委办。 第十条 各单位是网络安全工作 的责任主体和实施主体， 须设立网络安全工作领导机构 或组织，明确主管领导，确定 网络安全管理职能部门 、网络安全运维部门和具体负责人员 ， 落实网络安全责任。建立 本单位包括 人员管理、 网络建设管 理、网络运维管理 、安全审计管理 等方面切实可行的网络安 全管理制度 和规范。落实 防范网络攻击的 物理和环境安全、 网络和通信安全 、设备和计算 安全、应用和数据安全等技术 措施。定期开展网络安全检查工作，为国家 有关部门依法维 护国家安全 和侦查犯罪的活动提供支持和协助。根据工作需 要和实际情况，确定专兼职技术支撑保障人员。 第三章 安全责任 第十一条 各单位法定代表人是网络安全工作第一责 任人，负责对网络安全工作提供政策支持和资源保障，健全 和落实可追溯的安全责任体系。分管领导是网络安全工作 直 接责任人，具体负责网络安全工作的部署、督促 、总结、考 核和奖惩，定期 召开会议， 了解工作情况， 研究解决重要问题，组织 和开展培训 、检查，并对整改工作督办落实。 第十二条 网络安全管理职能部门，负责制定本单位 网络安全管理制度和应急 预案，并督促贯彻落实；开展网络 安全检查、风险处置和隐患整改；每年度开展网络安全教育 培训；每半年清查本单位所有网站和信息系统情况并向院安 委办报备，原则上对于 1个月及以上不维护的、出现漏洞和 安全隐患较多的、无法整改漏洞和安全隐患的网站和信息系 统予以停用。在发生危害网络安全的事件时，立即启动应急 预案，采取相应的补救措施，并按规定向分院、院安委办等 部门报告。 第十三条 网络安全运维部门，按照规范和要求具体 落实网络安全技术保障措施； 采取监测、 记录网络运行状态、 网络安全事件的技术措施，并按照规定留存相关的网络日志 不少于六个月 ；具体负责网络安全检查事项；及时处置网络 安全事件、风险隐患和整改漏洞；定期对运维人员进行保密 教育和技能培训。 第十四条 网络使用人员， 应遵守国家法律法规， 服从 本单位网络安全管理，增强安全防范意识，保管好账号和密 码，避免泄露；坚持上网自律，不故意传播非法和虚假内容 信息。 第十五条 院级非法人单元、院属单位分支机构及各 类组织等，所依托的法人单位对其主管或使用的网络信息系统安全负责，对其使用网络的行为负责。 第四章 系统安全保护 第十六条 网络安全等级保护所涉及的定级指导、备 案审查、 系统测评、 方案论证、 安全咨询、 安全检查等工作， 应在相关部 门和行业专家指导下开展。 第十七条 系统的安全保护等级必须参照国家有关网 络安全保护等级划分标准确定。 （一）已投入使用的系统，必须确定安全保护等级，按 相应管理规范和技术标准实施保护。 （二）新建或改建系统，必须经网络安全管理部门审批 备案后方可建设或改建，在规划阶段确定安全保护等级，在 设计阶段落实网络安全要求，原则上由具有相应资质的单位 实施，同步建设相应的防护设施，上线运行前必须依据国家 规定进行安全性测试。 （三）系统业务的重要程度或系统遭到破坏后的危害程 度发生重大变化时，应及时调整安全保护等级，落实相应网 络安全防 护措施。 （四）网站和系统停用，必须及时清除所有系统内容， 并注销所有备案信息。 （五）所有系统必须及时向分院、院安委办报备。 第十八条 网络安全 保护等级拟定为第一、 二级的， 应 及时到属地公安机关办理网络安全等级保护备案手续；拟定为第三级及以上的，须向院安委办提交备案申请，院安委办 审核批准后向公安部门办理备案手续。 第十九条 网络安全 保护等级为第一、二级系统可由 各单位原则上每两年自主组织等级测评，测评报告向所在分 院报备。第三级及以上系统应在院安委办指导下组织等级测 评。 第二十条 系统应按等级保护政策、标准和规范要求， 制定相应的安全保护实施方案。其中，第三级及以上系统的 安全保护实施方案须报院安委办审核批准后实施。 第二十一条 信息化基础设施和支撑重大科研任务的 重要信息系统建设项目验收前，建设单位应组织对其进行等 级保护测评，测评报告应作为验收评价的重要依据。 第二十二条 对信息化系统的设计方案、实施方案、拓 扑图、软件代码、系统设置、系统管理账户、运维账户、密 码等关键信息资料要严加管理， 严禁外泄； 要与系统建设方、 运维方签署协议，明确其保密职责，明确追责条款，并严格 管理。 第二十三条 信息系统的防护要重视边界防护， 更要高 度重视内部防护，要合理分区和隔离，合理设置权限和配置 防护措施，坚决避免出现“一点突破，畅通无阻”的严重后 果。 第二十四条 关键信息基础设施的各单位除履行相关网络安全规定外，还应做好如下方面工作： （一）设置专门安全管理部门和安全管理负责人，并对 该负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和 技能考核； （三）对重要系统和数据库进行容灾备份； （四） 自行或者委托网络安全服务机构对网络的安全性 和可能存在的风险每年至少进行一次检测评估， 并将检 测评估情况和改进措施报送院安委办； （五）法律、法规规定的其他要求。 第二十五条 用于科研和办公的台式机、 便携式计算机、 打印机和移动终端等应具备防病毒、抗攻击、补漏洞等基本 安全防护能力，严格系统密码和账户权限以及 IP地址操作 权限设定管理，避免对外泄露。不具备基本防护能力的办公 终端不得接入本单位网络。 第五章 互联网地址安全管理 第二十六条 各单位必须对互联网地址（以下称 IP地 址）进行审计，原则上每季度不少于 1次。建立健全接入审 批和登记管理制度，任何部门或个人未经允许不得改变网络 拓扑结构。 IP地址分配、使用定责到人，信息记录应保存一 年以上。 第二十七条 IP地址用于对外服务的，须经网络安全管理部门审核、备案。严禁使用未经电信主管部门批准开展 跨境活动的虚拟专用网络服务商。 IP地址传输的邮件、发布 的信息及其他各类数据内容，须严格遵守国家相关法律法规 要求。 第二十八条 无线网络的使用应加强监督管理和安全 防护，外来人员临时接入网络应做访问登记。 第六章 互联网信息服务安全管理 第二十九条 各单位应对互联网信息服务内容负责， 对 外开放的共享业务须审核登记，强化 FTP、系统共享和网络 流量代理的安全监管。 第三十条 网站建设前应经网络安全管理职能部门审 核备案，报分管领导同意后，依照有关互联网