浙江工商大学文体中心
网络安全规范
(试行)
为加强2022年第19届亚运会浙江工商大学文体中心(以下简称文体中心)的网络安全管理,落实网络安全责任,明确管理和技术要求,提高网络安全保障水平,根据《网络安全法》、《数据安全法》、《个人信息保护法》等国家法律法规及相关标准,结合文体中心亚运会筹办工作实际,制定本规范。依据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,按照网络安全等级保护要求开展网络安全建设和运行保障工作。
(一)明确文体中心网络安全管理岗位职责和负责人,并按公安网警部门的有关要求,签订网络安全责任书。
(二)梳理文体中心网络、设备和信息系统资产,建立资产清单和工作台账,整理文体中心网络拓扑结构、网络设备类型、机房和弱电间分布等资料,组织固定人员参与全周期场馆网络安全保障工作。
(三)按照国家法律法规和技术标准强化网络安全防护体系,开展文体中心网络安全自查检测,文体中心网络、设备和信息系统投入使用前应开展网络安全等级保护评估,对自查和检测中发现的网络安全漏洞和隐患及时整改。
(四)机房、设备间等重要物理环境应按照等级保护应配备门禁访问控制,并具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电和温湿度控制、电磁防护等必要防护条件。建立机房安全管理制度,指定部门或专人负责机房安全并对机房出入进行管理,定期对机房供配电、温湿度控制和消防等设施设备进行维护。
(五)文体中心内显示设备、智能物联网设备和信息系统,包括明确LED电子显示屏、各楼层电视、会议室电视、投影设备、智能门禁、智能监控等终端设备明确安全管理责任人,实行专管专用,制定应急处置预案并开展演练。
(六)接入亚组委互联网(WIFI)终端用户需要进行统一的身份认证,接入AGIS专网的终端必须经过PC工厂出品,设备终端应部署终端EDR软件并开启安全防护。
(七)应加强USB端口的物理防护,公共区域的终端设备应封闭外露USB接口。AGIS等核心网络终端原则上不允许接U盘、移动硬盘等外接存储设备。
(八)文体中心网络、设备和信息系统赛后使用完毕,应妥善封存保管,重要敏感数据和相关日志信息应根据相关要求依法依规进行归档保存或销毁。
附件: 1.网络安全重点保卫单位责任承诺书
2.场馆信息系统基本信息情况表
3.信息系统完全检测申请表
4.信息系统遗留安全风险处置表
5.信息系统权限分配表
6.信息技术承建单位网络安全承诺书
7.信息技术服务人员网络安全及保密承诺书
附件1
2022年杭州亚运会网络安全重点保卫单位
责任承诺书
为确保2022年杭州亚运会活动期间,我单位所属的网站、信息系统安全稳定运行,作为亚运会网络安全重点保卫单位,我单位郑重承诺如下:
一、我单位网络安全工作由分管网络安全领导负总责,强化组织领导,将网络安全责任层层分解,落实到具体部门、具体岗位和具体人员。
二、按照护航亚运网络安全保卫工作要求,制本单位涉亚运相关网站、信息系统的技术保障方案,认真组织开展各项网络安全工作任务。
三、强化实时监测工作,认真查找本单位网络安全隐患和漏洞。对薄弱环节和潜在威胁采取有力措施进行整改,避免和消除网络安全风险。
四、制定本单位网络安全应急处置预案,完善应急机制,做好应急队伍建设、应急资源配备、应急值守等各项工作,确保第一时间检测发现,第一时间应急处置,第一时间报告反馈。
五、认真落实网络安保组部署的各项网络安全保卫工作任务,确保不发生直接影响亚运会顺利举办的网络安全事件。
承诺单位名称(盖章):
亚运网络安全工作责任人:
2023年 月 日
附件2
部门信息系统基本信息情况表
序号 | 系统名称 | 系统归属 | 计划上线时间 | 信息系统承建单位 | 信息技术承建单位联系人 |
1 | XX 系统 | 亚组委□ XX部门 场 馆□ XX领域 其 他□ XX单位 |
|
| 姓名: 电话: |
2 | XX 系统 | 亚组委□ XX部门 场 馆□ XX领域 其 他□ XX单位 |
|
| 姓名: 电话: |
|
|
|
|
|
|
注:信息系统归属以资产归属以及向属地公安部门备案的信息为准。归属亚组委的信息系统可申请官方网络安全服务合作伙伴技术服务保障,非亚组委的涉亚运信息系统由亚组委协调属地开展网络安全督导检查。
附件3
信息系统完全检测申请表
系统名称 |
| ||
域名 | www. xxx. com | ||
子域名 / 子系统 | www1. xxx. comwww2. xxx. com | ||
代码量 | xx 行 | ||
测试账号信息 |
| ||
互联网 IP 地址 |
| ||
计划上线时间 |
| ||
部门联系人 |
| 电话 |
|
信息技术承建单位及联系人 |
| 电话 |
|
系统主要功能简要描述: | |||
备注: | |||
系统主管部门(领域)负责人意见: 签字: 年 月 日 | |||
附件4
信息系统遗留安全风险处置表
部门:
系统名称 |
|
信息系统承建单位 |
|
风险描述: (由检测机构填写) | |
已采取的安全措施、规避方案:(描述或者“无”) (由系统主管部门组织研究并填写) | |
风险处理意见: □接受风险,经评估风险在可接受范围内 □接受风险,将采取一定措施降低 □其他: 系统主管部门签章: 年 月 日 | |
附件5
信息系统权限分配表
系统名称 |
| ||
系统部署位置 | 公有云□ 政务云□ IT 机房□ | ||
账户角色 | 相关对象 | 管理权限分配 | 责任人 |
开发类 / 运维管理类 | 应用系统管理 | 应用系统管理员权限 (超级管理员、系统管理员账号) |
|
其它权限账户 |
| ||
操作系统管理 | 系统管理员权限 (超级管理员、系统管理员账号) |
| |
其它权限账户 | |||
数据库、中间件、云资源、机房等管理 | 如果有,需注明具体权限 |
| |
如果有,需注明具体权限 |
| ||
安全和监督类 | 安全设备和账号管理 | 安全审计账号(如有) |
|
其他类 |
| 掌握设计规划、方案等 |
|
注 1:本表用于统计拥有系统实际控制权的人员,请各部门按实际情况认真填写、及时更新,并对权限人员加强管理考核。注 2:表中人员应纳入场馆运行团队进行管理。
附件6
浙江工商大学文体中心信息技术承建单位
网络安全承诺书
浙江工商大学文体中心:
为确保我单位开发/运维的 系统安全稳定运行,我单位郑重承诺认真落实浙江工商大学文体中心场馆运行团队部署的各项网络安全工作任务,采取包括增加人员和经费投入在内的一切必要手段,确保系统安全运行,确保不发生影响 2022 年第 19 届亚运会正常进行的网络安全事件。
我单位明确: 为我单位项目负责人,全面负责信息系统管理和网络安全工作,派出骨干技术力量(参见《信息系统权限分配表》)负责浙江工商大学文体中心的 系统开发、运维和保障工作。我单位将把信息系统安全运行情况纳入对上述人员的奖惩考核范围并充分征求浙江工商大学文体中心意见。
我单位承诺:按照国家法律法规和技术标准加强网络安全技术防护,确保自身和相关供应链的网络安全,积极配合亚组委和国家涉网监管部门组织的检查、检测等工作。与亚运会官方网络安全服务合作伙伴做好技术对接,确保重要网络安全态势信息互联互通。按照最小化原则管理相关权限、信息和数据,对重要信息系统原则上采用双因子认证进行身份认证和授权访问。做好日常监测、技术巡检等工作,及时修复高危漏洞、关闭高危端口,配备防范页面篡改、黑客攻击、病毒入侵、系统故障等情况的技术力量,确保系统安全稳定运行。制定应急预案,并定期开展应急演练,当发生网络安全事件时,应于 24 小时内向亚组委书面反馈突发网络安全事件处置情况。留存系统日志、应用日志和行为审计日志等直至亚运会结束,确保网络访问行为可记录、可追溯。系统运行结束后按照亚组委的要求处置相关数据,确保系统安全关停。
我单位确认:已对该项目暴露在互联网上的系统测试账号、配置文件、系统数据、测试环境、试运行环境、密码记录、源代码(包括 github、gitlab 等)、技术方案等与项目安全运行无关的信息进行
了清理。后续也将对上述信息进行有效管理。
如我单位承建信息系统发生任何网络安全事件引发任何损失,我单位将采取一切可能的措施配合亚组委积极开展处置,承担相应损失,并追究相关人员责任。
单位名称(章):
年 月 日
附件7
杭州亚组委信息技术服务人员网络安全及保密承诺书
浙江工商大学文体中心、(信息技术承建单位名称):
本人已认真阅读并将持续学习《2022年第19届亚运会组委会网络安全管理办法》和亚组委后续出台的网络安全管理规程和政策流程。本人对个人掌握的信息系统权限负责,不向他人泄露或共享本人所有的系统权限。提升安全意识、注重用网安全,确保本人管理的权限、账号以及计算机终端安全。如工作岗位发生调整,本人将及时做好必要的交接程序。
本人承诺:遵守《网络安全法》《数据安全法》《保密法》等国家法律法规及标准规范,遵守亚组委和单位的各项网络安全管理制度和工作要求,认真做好技术服务和保障工作,确保信息系统安全稳定运行。及时向亚组委报告信息系统的重大变更、重要操作、运行态势等重要信息,配合亚组委组织的网络安全检查、检测和演练工作,确保不发生影响2022年19届亚运会正常进行的网络安全事件。
本人同意:把浙江工商大学文体中心信息系统安全运行情况纳入本单位对本人的奖惩考核范围。如我单位承建信息系统发生任何网络安全事件引发任何损失,本人将采取一切可能的措施配合场馆运行团队积极开展处置。
承诺人(签字):
年 月 日
