網絡安全培訓精選(五篇)
發布時間:2023-09-20 17:51:24
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇網絡安全培訓,期待它們能激發您的靈感。
篇1
兗礦魯南化肥廠(以下簡稱魯化)作為一個具有四十余年化工生產歷史的企業。近年來,生產經營、人員輸出、項目建設、改革改制任務繁重,給安全管理帶來更大的挑戰。面對安全管理的嚴峻形勢,企業充分發揮科技創新優勢,積極探索利用信息化手段改進和提升安全教育培訓水平,將網絡信息技術與企業自身實際情況相結合,構架起符合魯化自身狀況、具有企業特色的安全信息網絡平臺。通過安全信息網絡平臺,實施陽光安全教育培訓,使全員安全素質和安全意識明顯提升,進一步鞏固了企業良好的安全發展態勢。截至2011年12月31日,累計實現安全生產4169天。
一、安全信息網絡平臺系統的建立
(一)安全管理辦公自動化系統
包括公文管理、公共信息、電子郵件以及其它應用等模塊,根據安全生產的需要,在內部網站上專設了安全新聞、基層安全通訊、部門安全動態、安監在線、安全生產分析、安全文件、和諧魯化、“集思廣益”等欄目,實現信息共享、公開透明,提高了員工安全意識,自覺參與安全生產管理。
(二)重大危險源視頻監控系統
利用廠內局域網已鋪設的主干光纖網絡,設置重大危險源監控點10個,關鍵部位監控點12個,使網絡系統與監控系統結合,通過網絡實現遠端監控,可多人同時監控多個點,即時傳輸圖像,無距離限制,傳輸圖像無損失,圖像式感官刺激,激發了員工安全生產熱情,各部門領導及相關人員均可利用計算機監控相應地點情況,及時掌握并迅速處理突況。
(三)網上培訓、考試與積分系統
創新安全培訓管理,開發了網上培訓學習系統。針對人員分散、倒班員工不易集中的特點,利用現有網絡設立專欄,設立安全考試題庫和考核積分系統,使各單位充分了解、掌握企業安全培訓信息,更好地組織培訓和管理,實現了網上培訓與考核。
(四)企業信息系統
在內部網企業安全管理信息,并利用手機短信群發系統,實現企業資料管理、個人資料管理、信息發送管理等,進一步提高了員工安全意識。
二、信息網絡平臺在安全教育培訓上的應用
(一)建立科學的管理制度,保證安全教育培訓有效運行
為了使員工廣泛、及時、迅速掌握生產單位的安全運行、安全管理、安全隱患排查和治理、設備檢修、危化品的監控等情況,實現安全工作動態監控,更好地服務和支持安全生產工作。企業制定和完善了《安全教育管理信息制度》、《兗礦魯南化肥廠安全教育工作體系》等,要求各生產單位每天9:00將本單位安全生產有關情況的信息在內部網上相關安全管理欄目。廠安全監察處設專人負責信息管理,對有關建議、意見及安全管理方面的需求及時予以答復和服務。
(二)依托辦公自動化系統(OA),實現“四全”安全管理
1、建立安監在線,對安全管理過程實施實時跟蹤監控
為進一步強化安全管理,我廠自主開發了安監在線軟件。“安監在線”欄目設有干部下現場反饋情況、當日單位出勤情況、當日安全活動開展情況、當日外來施工單位情況、當日動火作業基本情況、當日檢修項目基本情況、當日安全檢查基本情況及安監在線歷史查詢十個子欄目,通過授權,各處室、分廠將有關信息及時上傳到相應欄目,每天更新。全體員工均可了解現場人員、檢修、施工等具體情況,使各級管理人員有的放矢地深入現場監督檢查,從而發現問題、查找原因、落實責任、制定措施、督促整改、檢查驗收,通過完善的閉環管理,培養和鍛煉了員工良好的安全專業素質。
2、實施安全生產分析
創新安全理念,堅持“每周一三五安全分析制度”。積極發動全廠各單位創新安全思維,以生產現場存在的問題或現象為切入點,收集安全管理上存在的問題,進而分析原因,提出見解或解決辦法,在廠內部網上相互交流學習。通過案例式剖析,一方面對出現的問題從全局角度進行綜合分析,提出整改措施并進行跟蹤,避免“頭疼醫頭、腳疼醫腳”;另一方面正面引導挖掘安全管理過程中的亮點,給其他單位以借鑒。通過安全分析,為全廠員工提供了一個學習、思考、借鑒的平臺,從而達到減少和控制危害、事故,更好地促進了安全生產工作。
3、及時反映基層安全動態。
企業內部網設有安全新聞、基層安全通訊和部門安全動態等安全氛圍營造版塊,由黨務工作處和各基層單位根據總廠和各單位實際安全生產情況天天更新內容。為鼓勵安全信息的,成立安全教育培訓通訊員網絡,定期授課,布置安全生產宣傳重點,并對各單位安全教育培訓情況實施獎懲考核。引導安全教育培訓通訊員及時捕捉基層安全生產點滴,弘揚安全生產主旋律,宣傳基層安全管理亮點和先進事跡,同時及時反饋基層關于安全生產的意見和建議。
(三)依托重大危險源視頻監控系統,對關鍵部位、關鍵設備實施不間斷全程監控
重大危險源管理是化工企業安全管理的關鍵環節。我廠根據廠內重大危險源分布情況,購置網絡數字多媒體信息系統,在廠區各重大危險源分別安裝了網絡數字化一體球,實施24小時錄像監控。通過重大危險源視頻監控系統,生產調度管理人員可以實時查看各重大危險源的運行狀態和相關記錄數據,及時發現設備的不正常狀態,為迅速準確采取相應措施、防止事故發生起到了重要作用。
(四)依托網上培訓教育系統,提高員工自主安全學習意識
為加強員工的安全教育培訓,我們建立了網上培訓、考試與積分系統。該系統設有教育培訓計劃、實施、評價體系。我廠定期按安全培訓計劃在內部網安全培訓信息系統中公布安全學習通知和有關的學習內容。管理人員和員工可以自主選擇學習時間,也可通過授權異地遠程登陸內部網進行在線學習、在線考試。建立網上員工學習檔案,實施積分制管理,并對培訓效果按季度、半年、全年進行評價。這套系統不但使員工能夠及時學習掌握安全生產方面的相關知識,也使安全學習有了更大的主動權,提高了員工學習的自覺性和主動性。
(五)依托安全信息網絡系統,實現安全管理全員聯動
安全信息網絡系統包括網上信息系統和手機短信群發系統。利用網上信息系統,及時公布安全文件制度信息。通過內部網安全管理和安全文件等版塊,一方面及時上傳企業內部各種安全生產文件、安全專項檢查信息、安全工作總結、安全工作計劃等,使全體員工迅速了解安全生產形勢。另一方面,根據安全檢查通報情況,及時整改現場存在的問題,消除事故隱患,保證安全生產。
利用手機短信群發系統,提高全員安全生產意識。每天給廠領導、中層管理人員、安監人員、班組長分層次當日安全生產情況短消息,使干部員工及時掌握安全生產動態信息。針對下雪、降溫、雷雨等特殊天氣,及時啟動應急預案,利用手機群發短信在一分鐘內即可將信息傳遞到每個員工。
三、實施效果和基本經驗
(一)提高安全管理效率,降低管理成本
企業利用安全網絡信息平臺,把安全教育培訓資源有效整合,利用網絡信息手段進行溝通的比例顯著提高,比如在安全會議、文件傳達、部門討論、問題跟蹤反饋等方面,全部通過在企業內部網安全信息網絡平臺上進行傳遞,工作效率明顯提高。經過授權,通過計算機在任何地方、任何時間,只要上網,都能及時地查詢到企業安全管理信息,實現了網絡學習,使隨時隨地培訓成為可能。同時,大量節約了紙張、復印、電話、傳真等費用,系統應用為每個員工帶來了工作便利,也使企業安全管理成本明顯降低。
(二)為提高員工安全素質提供了新途徑
傳統的安全教育培訓,采用講課和自學等枯燥、被動安全教育培訓模式,而這種模式的培訓效率和成本顯然不能很好地適應現代安全管理的需求。應用安全信息網絡平臺進行公開、引導式安全教育培訓,克服了廠內不同單位、不同部門、不同員工之間的溝通和管理障礙,使普通員工可以與管理者直接交流。網上學習培訓系統在應用過程中實現了教育功能與現代管理觀念的傳遞,培訓與考試過程更加公開透明,促進了員工的自主學習意識,促進企業人員素質整體提升。
(三)為企業安全管理決策提供依據
篇2
結合當前工作需要,的會員“lybszbbs”為你整理了這篇總體國家安全觀主題教育網絡培訓總結范文,希望能給你的學習、工作帶來參考借鑒作用。
【正文】
按照總體國家安全觀主題教育網絡培訓通知要求,我校認真謀劃,精心組織,選派骨干教師,積極參與培訓工作,現將培訓工作總結如下:
一、領導重視,合理安排
為做好本次網絡培訓工作,確保培訓取得實效,我校黨委組織部根據工作需要,選派中層干部、骨干教師共4人參加培訓,統籌組織部副部長和一名工作人員專門為培訓人員搞好服務保障,確保培訓工作的順利開展。
二、精心組織,認真學習
為合理安排網上教學和網絡培訓時間,便于溝通交流培訓中出現的問題,我校專門建立學校總體國家安全觀主題教育網絡培訓微信群,及時解答網絡培訓遇到的各種問題。參訓教師在完成本職工作的同時,合理安排時間,認真學習培訓內容,詳細做好筆記,寫好學習心得。
篇3
一、監獄信息化網絡與信息安全培訓調研
(一)培訓調查內容
根據地區差異,我們選擇有代表性的省份進行調查。本次調查共涉及16個省(市)、自治區,既包括經濟發達的省份和直轄市,比如山東、廣東、浙江和天津;也包括經濟處于中等的內陸省份,比如山西、四川、河南、安徽、湖北、湖南、遼寧等省份;還包括經濟相對低的西、北部省份,比如云南、甘肅、貴州、青海等省份。本次調查主要針對監獄在網絡與信息安全方面的管理、監獄網絡建設中最關心的網絡安全問題、監獄網絡采用的安全措施、監獄信息化網絡與信息安全的軟硬件配置、監獄干警對網絡與信息安全的重視程度、監獄干警對網絡與信息安全培訓內容要求、監獄每年在網絡與信息安全培訓方面的預算、培訓采取的方式、組織培訓的機構、目前培訓存在的問題等內容。
(二)培訓調查結果
1.監獄在網絡與信息安全方面的管理。通過對調查問卷的分析和相關監獄一線干警人員的座談,監獄信息化網絡與信息安全培訓調查情況如下:大部分監獄制定了監獄網絡與信息安全管理制度,確定了安全組織和責任人,并使用了防火墻和防病毒軟件;干警最關心的網絡安全問題是數據安全、防病毒安全、存儲安全管理,而對安全認證關心最少;大部分監獄都采用物理隔離來保證監獄外網及內網中的信息安全,但各監獄部署入侵檢測(IDS)和使用數據傳輸安全相對較少;監獄信息化建設中采用的網絡安全技術主要是加密和防病毒軟件,而電子簽名的應用相對較少。
2.監獄在網絡與信息安全方面的軟硬件配置。目前監獄網絡與信息安全人員的規模較小,59%以上的監獄都是在5人以下,但是監獄網絡中的計算機數量最多比例的是100-500臺,平均下來可能要一個干警管理100臺左右的計算機。這個工作量還是非常大的,因此監獄非常有必要擴大專業人才隊伍,保障監獄信息化網絡與信息安全。從監獄在網絡安全設備上的投入可以看出監獄每年投入在10萬以上的比例最高,也說明了大部分監獄已經認識到了網絡與信息安全的重要性。
3.監獄信息化網絡與信息安全培訓現狀。監獄干警普遍對網絡與信息安全的需求強烈,而這其中,網絡安全管理與維護、容災備份與數據恢復尤為重要。監獄培訓費用每年在3000元以上占樣本空間的86%以上。監獄干警更希望在監獄內部進行培訓,培訓能理論聯系實際,在培訓中有針對性地解決實際工作中遇到網絡與信息安全問題。目前由公司或專業培訓機構及高校舉辦的培訓占據了70%,由此可以說明這些是目前主要培訓組織。需要注意的是仍然有34%的人沒有參加過網絡與信息安全培訓,說明網絡與信息安全的培訓還可進一步深入挖掘。已參加的培訓,主要還是側重管理、理論、政策、產品介紹,而真正用于網絡與信息安全實踐技能的培訓還很少。同時,系統化、層次化的培訓也非常少,培訓中涉及到的這兩方面的問題正是我們課題組主要研究的問題。
二、監獄信息化網絡與信息安全數字化培訓體系的構建
(—)監獄信息化網絡與信息安全培訓目標
近年來,國內外一些教育機構和專業公司研究開發了一系列網絡與信息安全教學培訓體系[M],國際上主要包括BS7799、IS027000、CISSP、CISA、CIW、SANSGIAC等,國內主要有中國信息安全測評中心實施的CISP、公安部等結構的信息安全等級保護、啟明星辰的VCSE等。這些培訓大都注重理論,而實踐不強,并且培訓費用很高。培訓后,把培訓的內容轉換為工作實踐,還需要花很長時間。因此,研究基于職業導向的監獄信息化網絡與信息安全培訓需求,制定一套適合全國監獄信息化建設實際情況的監獄信息化網絡與信息安全培訓體系變得尤為重要而緊迫。
根據《全國監獄信息化建設規劃》和全國監獄信息化建設實際情況,通常監獄干警應具有較強的信息安全意識,掌握網絡與信息安全基礎理論,能熟練運用網絡與信息安全知識和技能完成較為復雜的網絡與信息安全保障工作,能夠獨立解決網絡與信息安全工作中出現的常見問題。為此,監獄信息化網絡與信息安全干警應通過有規劃的培訓和學習,掌握網絡與信息安全管理理論知識,具有較強的網絡與信息安全實踐動手能力、處理能力和應變能力。為此,本文制定了監獄信息化網絡與信息安全培訓目標,主要涵蓋專業知識、專業技能和信息安全素養。
(二)監獄信息化網絡與信息安全培訓教學內容體系
通過對網絡工程和信息安全專業教學目標的比較分析、歸納總結,結合司法部制定的《全國監獄信息化建設規劃》、警察素質和其職業能力特點,以監獄信息安全干警的職業為導向,研究監獄干警在監獄信息化工作中的目標分工,制定各個工作環節所要達到的要求和應具備的職業技能,從而構建監獄信息化網絡與信息安全培訓教學內容體系。考慮到不同監獄信息化水平不一,監獄干警信息安全水平能力不一,因此本教學內容體系采取抽取式、模塊化、層次化教學內容設計[5]8,各教學模塊用Ml到M13表示,分別對應信息安全概念和法規、操作系統安全(Windows和Linux)、網絡管理與組網、應用服務器安全、數據安全、惡意代碼防范與處置、防火墻(Firewall)、入侵檢測系統(IDS)、網絡與信息安全滲透測試、密碼學、信息安全審計、數據恢復與容災備份。其中M1是基礎模塊,是后續模塊的先導,M2到M13屬于獨立的教學模塊,教學模塊順序和內容可由培訓教師自行選定。根據信息化要求,將M1-M3模塊定為初級水平;將M4-M7模塊定為中級水平;將M8-M13模塊定為高級水平。一般而言,只有初級通過了才可以參加中級的培訓和考核,只有中級通過了才可以參加高級的培訓和考核。監獄信息化網絡與信息安全強調理論教學和實踐教學相結合,二者融合貫通,因此在具體教學時,在課時安排上要有針對性。
(三)監獄信息化網絡與信息安全培訓教學考核與評價體系
監獄信息化網絡與信息安全培訓體系注重理論和實踐相結合,強調二者融會貫通。因此考核方式為理論知識和實踐技能,理論知識考試為閉卷考試,占總成績的40%,實踐技能考試占總成績的60%。考慮到監獄信息化網絡與信息安全數字培訓體系的長期性和穩定性,理論考試一般通過在網絡上部署考試服務器,建立考試題庫,進行隨機生成在線試卷,保證參加考試時,每一個學員考試試題的唯一性和相對穩定性,提高考試的權威性。通過調研,我們也發現有相當一部分培訓學員對信息安全行業部門的權威認證是比較認可的,因此可以和相關行業部門建立合作,將他們的考核內容納入到監獄信息化網絡與信息安全數字培訓體系的考核評價中,建立獨立的考核模塊,作為一個可選評價。
由于網絡與信息安全是一個綜合性的學科,所以要求相關從業人員必須具備豐富的網絡與信息安全氣囊理論知識,同時也有較強的實踐動手能力和解決問題的能力,因此對實踐要求的比重要大于理論知識,同時對不同崗位、不同知識技能設定不同的考核權重,以此來進行考核與評定。
<p style="text-align:center"
(四)監獄信息化網絡與信息安全數字化培訓體系的構建
建設監獄信息化網絡與信息安全培訓與交流網絡平臺是非常有必要的[6]。為此,重點需要抓好以下五方面工作。第一,通過該平臺可以網絡與信息安全培訓課程通知,監獄干警可隨時查詢,根據自己的需要選擇相關的培訓課程。第二,通過該平臺,監獄干警可在培訓結束后,將工作中遇到的問題向培訓老師請教,或者向同行業其他監獄干警請教,避免培訓后仍然不能和工作相結合的問題。通過該平臺加強全國各監獄干警之間的信息化交流,從而縮減各基層監獄之間已造成的數字鴻溝,為監獄信息化的建設與信息安全保障提供支持,提高技術人員水平,避免一些重復建設、促進信息化建設。第三,通過對監獄干警提問的內容進行整理,可以拓展培訓中的實訓內容,提高培訓的效果。第四,通過在該網絡平臺上提供相關培訓資料,實現了個性化培訓和個性化服務[7],突破了以往固有的條件限制。這樣,任何干警可以不受時間和地點限制,學習任意課程、任意章節,為監獄干警進行主動學習提供一個平臺,實現了和短期培訓互補。第五,通過吸引更多的IT公司為監獄信息化建設及其信息安全提供服務,該平臺也將為上級領導及時了解最新的監獄信息化動態提供服務。
監獄信息化網絡與信息安全數字化培訓體系模型見圖1所示。它以監獄信息化網絡與信息安全培訓與交流網絡平臺為依托,在此基礎上將監獄信息化網絡與信息安全培訓目標、監獄信息化網絡與信息安全培訓教學內容、監獄信息化網絡與信息安全培訓教學組織與安排、監獄信息化網絡與信息安全培訓考核與評估互相銜接,建立起監獄信息化網絡與信息安全數字化培訓體系的一個維度。它按照監獄信息化網絡與信息安全本身崗位的需要設定了M1-M13模塊,構成了監獄信息化網絡與信息安全數字化培訓體系的第二個維度。對從事監獄信息化網絡與信息安全干警的水平進行崗位績效考核與評估,可依據他們所具有的網絡與信息安全理論知識和實踐技能,進行評定,設定初級、中級、高級三個層次,然后再針對上述崗位設定需要滿足的技術和管理層次。這,構成了監獄信息化網絡與信息安全數字化培訓體系的第三個維度。
圖1監獄信息化網絡與信息安全數字化培訓體系模型
通過建立開放性、數字化、應用性、行業性、抽取式、模塊化、職業性的監獄信息化網絡與信息安全數字化培訓體系,構建了培訓體系的長效機制,從而實現以學員為中心,教學內容與工作任務一體化、教學情境與工作環境一體化、理論教學與實踐教學一體化、培訓教師與行業管理一體化的多維度、多層次的培訓。這,為監獄信息化建設的可持續性、網絡與信息安全提供了重要的保障。
參考文獻:
[1]吳愛英.2007年5月29日在全國監獄信息化建設工作會議上的講話[N].新華日報,2007-05-30,(1).
[2]思源新創信息安全資訊公司.國外信息安全培訓及認證現狀和發展(上)[J].網絡安全技術與應用,2004(11):12-14.
[3]思源新創信息安全資訊公司.國外信息安全培訓及認證現狀和發展(下)[J].網絡安全技術與應用,2004(12):12-13.
[4]劉小平,宋建偉.國內信息安全培訓發展淺析[J].信息安全與技術,2010(10):74-77.
[5]賈鐵軍,常艷,等.網絡安全實用技術[M].北京:清華大學出版社,2011.
[6]王惠鵬,馬國富,等.網絡文化安全防范體系研究[J].重慶科技學院學報:社會科學版,2012(4):45-47.
篇4
制定網絡安全基線
網絡安全基線是阻止未經授權信息泄露、丟失或損害的第一級安全標準。確保與產品相關的人員、程序和技術都符合基線,將有效提高政府的網絡安全等級。網絡安全基線應體現在采辦程序的技術需求以及性能標準中,以明確在整個采辦生命周期內產品或服務的網絡風險。由于資源有限以及采辦中風險的多樣性,政府應采取漸進和基于風險的方法,逐步增加超越基線的網絡安全需求。這種需求應在合同內清晰且專門列出。
開展網絡安全培訓
政府應對工業合作伙伴開展采辦網絡安全培訓。通過這種培訓向工業合作伙伴明確展示,政府正通過基于風險的方法調整與網絡安全相關的采購活動,且將在特定采辦活動中提出更多網絡安全方面的要求。
明確通用關鍵網絡安全事項定義
明確聯邦采辦過程中關鍵網絡安全事項的定義將提高政府和私營部門的效率和效益。需求的有效開發和完善很大程度上依賴于對關鍵網絡安全事項的共同認識。在采辦過程中,不清晰、不一致的關鍵網絡安全事項定義將導致網絡安全不能達到最優效果。定義的清晰界定應建立在公認或國際通用的標準上。
建立采辦網絡風險管理戰略
政府需要一個部門內普遍適用的采辦網絡風險管理戰略。該戰略將成為政府企業風險管理戰略的一部分,并要求政府部門確保其行為符合采辦網絡風險目標。該戰略應建立在政府通用的采辦愿景基礎上,并與美國家標準與技術研究院制定的“網絡安全框架”相匹配。戰略應為采辦建立網絡風險等級,并包含基于風險的采辦優先次序。戰略還應包含完整的安全需求。制定戰略時,政府應將網絡風險列入企業風險管理,并積極與工業界、民間和政府機構以及情報機構合作,共享已驗證的、基于結果的風險管理程序和最佳經驗。
加強采購來源的網絡風險管控
確保提供給政府的產品真實、未被篡改和替代是降低網絡風險的重要環節。偽冒產品往往不能進行安全更新,或達不到原始設備制造商產品的安全標準。政府需要從原始設備制造商、授權商獲取產品,或者從合格供應商表中確定可信采購來源。政府通過一系列基于采辦類型的網絡安全標準,評估供應商的可信情況,建立合格供應商表。即便來自可信采購來源的產品也可能存在網絡安全缺陷。對此,政府應限制原始設備制造商、授權商以及可信供應商的來源,并將資格要求貫徹到全采辦生命周期。政府從供應商獲取產品或服務時,若供應商未與原始設備制造商建立信任關系,政府應要求其就產品的安全和完整性提供擔保。
篇5
第二條本省行政區域內計算機信息系統的安全保護,適用本細則。
軍隊的計算機信息系統安全保護工作,按照軍隊的有關法規執行。
第三條縣級以上人民政府公安機關公共信息網絡安全監察部門負責主管本行政區域內的計算機信息系統安全保護工作。
第二章安全監督
第四條公安機關公共信息網絡安全監察部門對計算機信息系統安全保護工作行使下列職責:
(一)監督、檢查、指導計算機信息系統安全保護工作;
(二)組織實施計算機信息系統安全評估、審驗;
(三)查處計算機違法犯罪案件;
(四)組織處置重大計算機信息系統安全事故和事件;
(五)負責計算機病毒和其他有害數據防治管理工作;
(六)對計算機信息系統安全服務和安全專用產品實施管理;
(七)負責計算機信息系統安全培訓管理工作;
(八)法律、法規和規章規定的其他職責。
第五條公安機關公共信息網絡安全監察部門對重點安全保護單位計算機信息系統的安全檢查,每年不應少于一次。
第六條公安機關公共信息網絡安全監察部門采取24小時內暫時停機、暫停聯網、備份數據等緊急措施須經縣級以上公安機關批準。
第七條公安機關公共信息網絡安全監察部門與所在地安全服務機構、互聯網運營單位和其他計算機信息系統使用單位應當建立聯防機制,依法及時查處通過計算機信息系統進行的違法犯罪行為,組織處置重大突發事件。
第三章安全保護責任
第八條單位和個人應當對其所有、使用和管理的計算機信息系統承擔相關的安全保護責任。
提供接入服務和信息服務以及主機托管、虛擬主機、網站和網頁信息維護等其他服務的單位應當和用戶在合同中明確雙方的計算機信息系統安全保護責任。提供服務的單位應當承擔與其提供服務直接相關的安全保護義務。
第九條網吧、社區、學校、圖書館、賓館等提供上網服務的場所和互聯網運營單位應當落實相應的安全措施,安裝已取得《計算機信息系統安全專用產品銷售許可證》的安全管理系統。
第十條計算機信息系統使用單位和個人為了保護計算機信息系統的安全,可以與安全服務機構明確服務項目和要求,建立相對穩定的服務關系。
第四章安全專用產品
第十一條計算機信息系統安全專用產品生產單位在其產品進入本省市場銷售前,應當取得公安部頒發的《計算機信息系統安全專用產品銷售許可證》,并報省公安廳公共信息網絡安全監察部門備案。
第十二條本省安全專用產品生產單位應當在領取營業執照后30日內持下列資料到省公安廳公共信息網絡安全監察部門備案。
(一)單位簡況;
(二)營業執照復印件;
(三)安全專用產品類型、功能等情況;
(四)主要技術人員資格證書復印件。
第十三條銷售信息網絡安全檢測產品的單位應當在領取營業執照后30日內向地級以上市公安機關公共信息網絡安全監察部門申請備案,填寫《廣東省信息網絡安全檢測產品銷售備案表》,并提交如下資料:
(一)單位簡況;
(二)營業執照復印件;
(三)信息網絡安全檢測產品銷售和售后服務管理制度;
(四)主要技術人員資格證書和銷售人員有效證件復印件。
第十四條信息網絡安全檢測產品只限于單位購買使用。購買信息網絡安全檢測產品的單位應當指定專人管理和使用,不得出租、出借、轉讓、贈送,不得擅自用于檢測他人計算機信息系統。
用戶購買信息網絡安全檢測產品,應當持單位的證明文件到所在地地級以上市公安機關公共信息網絡安全監察部門辦理備案手續,公安機關應當在15日內予以辦理,發給《信息網絡安全檢測產品購買備案表》;不予辦理的,應當書面說明理由。
用戶應當憑《信息網絡安全檢測產品購買備案表》購買信息網絡安全檢測產品。投入使用后,應當在10日內將本單位的《用戶IP地址配置備案表》報送所在地地級以上市公安機關公共信息網絡安全監察部門備案。
第十五條信息網絡安全檢測產品銷售單位應當查驗用戶的《購買信息網絡安全檢測產品備案表》后方可銷售。
銷售信息網絡安全檢測產品的單位,應當負責產品的使用授權和維護、更新。
第五章安全服務機構
第十六條安全服務資質實行等級管理,分一、二、三、四級。各等級所對應的承擔工程的資格如下:
(一)一級:可承擔所有計算機信息系統安全設計、建設、檢測;
(二)二級:可獨立承擔第一級、第二級、第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統安全設計、建設、檢測,合作承擔第五級安全保護等級或安全投資總額為300萬元以上的計算機信息系統安全設計、建設、檢測;
(三)三級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統安全設計、建設、檢測,合作承擔第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統安全設計、建設、檢測;
(四)四級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為50萬元以下的計算機信息系統安全設計、建設,合作承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統安全設計、建設。
第十七條各安全服務資質等級條件如下:
一級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本1200萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值3000萬元以上,并承擔過至少1項450萬元以上或至少4項150萬元以上的項目;所完成的安全服務項目中應具有自主開發的安全產品;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于900萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于50人,其中大學本科以上學歷的人員不少于40人;
(五)安全服務工作的管理人員應當具有5年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于5年;
(六)具有較強的綜合實力,有先進、完整的軟件及系統開發環境和設備,具有較強的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制,并能不斷改進;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施。
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
二級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本500萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值1500萬元以上,并承擔過至少1項225萬元以上或至少3項120萬元以上的項目;所完成的安全服務項目中應具有自主開發的安全產品;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于450萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于40人,其中大學本科以上學歷的人員不少于30人;
(五)安全服務工作的管理人員應當具有4年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于4年;
(六)具有先進、完整的軟件及系統開發環境和設備,有較強的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
三級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本100萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統安全服務項目總值600萬元以上;服務費用(含系統設計費、軟件開發費、系統集成費和技術服務費)應占工程項目總值的30%以上(即不低于180萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于20人,其中大學本科以上學歷的人員不少于15人;
(五)安全服務工作的管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于3年;
(六)具有與所承擔項目相適應的軟件及系統開發環境和設備,具有一定的技術開發能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理;
(八)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統安全保護等有關法律法規的行為。
四級資質:
(一)具有相應經營范圍的營業執照;
(二)注冊資本30萬元以上,近3年的財務狀況良好;
(三)具有計算機安全或相關專業資格證書的專業技術人員不少于15人;
(四)安全服務工作的管理人員應當具有2年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事計算機信息系統安全集成工作不少于2年;
(五)具有與所承擔項目相適應的軟件及系統開發環境和設備,具有一定的技術開發能力;
(六)具有較為完善的組織管理制度、質量保證體系和客戶服務體系;
(七)具有系統的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(八)竣工項目均通過驗收;
(九)無觸犯計算機信息系統安全保護等有關法律法規的行為。
第十八條申請安全服務資質,應當持下列資料向地級以上市公安機關公共信息網絡安全監察部門提出申請:
(一)申請書;
(二)營業執照復印件;
(三)管理人員和專業技術人員的身份證明、學歷證明和計算機安全培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的,報送省公安廳公共信息網絡安全監察部門核準;初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查,符合條件的,核發資質證書。不符合條件的,作出不予核準的決定并說明理由。
持國家工商行政管理總局或省工商行政管理局核發的營業執照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在30日內作出核準意見。
第十九條從事計算機信息系統安全檢測的安全服務機構應當具有三級以上安全服務資質。
承擔重點安全保護單位計算機信息系統和計算機機房使用前安全檢測的安全服務機構由地級以上市公安機關公共信息網絡安全監察部門實行總量控制,擇優授權,應具備下列條件:
(一)具有三級以上安全服務資質;
(二)中國公民或者組織持有的股權或者股份不少于51%;
(三)具有提供長期服務的能力和良好信譽;
(四)具有自主開發的信息網絡安全檢測產品。
轄區內無符合條件的安全服務機構的,由地級以上市公安機關公共信息網絡安全監察部門委托省內符合條件的安全服務機構承擔。
第二十條資質證書分為正本和副本,正本和副本具有同等法律效力。
第二十一條資質證書實行年審制度。年審時間為每年2月至3月,新領(換)資質證書未滿半年的不需年審。
第二十二條安全服務機構在年審前應當對本單位上一年度的下列情況進行自查,并形成自查書面材料:
(一)遵守國家有關法律法規和本省有關規定的情況;
(二)安全服務業績;
(三)用戶投訴及處理情況;
(四)參加國內和國際標準認證的情況;
(五)符合資質證書頒發條件的有關情況。
第二十三條安全服務機構參加年審,應當持下列材料向地級以上市公安機關公共信息網絡安全監察部門提出申請:
(一)《計算機信息系統安全服務資質年審申請書》;
(二)資質證書副本;
(三)自查書面材料;
(四)其他材料。
第二十四條地級以上市公安機關公共信息網絡安全監察部門自接到申請材料之日起15日內進行初審,材料齊全,情況屬實的,報送省公安廳公共信息網絡安全監察部門審查。初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起10日內作出年審結論。
持國家工商行政管理總局或省工商行政管理局核發的營業執照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在20日內作出年審結論。
年審結論分為合格、降級、取消3種。
具備下列情形的,年審結論為合格:
(一)遵守國家有關法律法規和本省有關規定;
(二)上年度安全服務項目總值不低于本級資質條件規定的年均安全服務項目總值的四分之三(四級資質不低于50萬元);
(三)用戶投訴基本能合理解決;
(四)符合原等級資質證書頒發條件。
有下列情形之一的,年審結論為降級:
(一)違反國家有關法律法規和本省有關規定,情節輕微;
(二)上年度安全服務項目總值低于本級資質條件規定的年均安全服務項目總值的四分之三;
(三)10%以上的安全服務項目有用戶投訴且未能合理解決;
(四)不符合原等級資質證書頒發條件。
有下列情形之一的,年審結論為取消:
(一)違反國家有關法律法規和本省有關規定,情節嚴重;
(二)年度安全服務項目總值低于50萬元;
(三)20%以上的安全服務項目有用戶投訴且未能合理解決;
(四)情況發生變更,達不到資質證書頒發條件。
年審合格的,在資質證書副本和《計算機信息系統安全服務資質年審申請書》上注明,加蓋省公安廳公共信息網絡安全監察專用章。
年審結論為降級的,原資質證書作廢,換發資質證書。
年審結論為取消的,資質證書作廢,安全服務機構應當自接到年審結論之日起10日內交回資質證書。
未按時參加年審的,年審結論視為取消。
年審結論為取消的,兩年內不得申請安全服務資質。
因特殊原因未年審的,應當書面說明理由,經批準,方可補辦相關手續。
第二十五條資質證書有效期為4年,安全服務機構應當在期滿前60日內提交換證申請材料。換證程序與資質證書申請程序相同。期滿不換證的,資質證書作廢。
因特殊原因未按時換證的,應當書面說明理由,經批準,方可補辦相關手續。
第二十六條資質證書登記事項發生變更的,應在30日內到地級以上市公安機關辦理變更手續。
第二十七條安全服務機構在取得資質證書一年后,達到較高一級資質條件的,可申請晉升等級,辦理程序與初次申請相同。
第二十八條安全服務機構情況發生變更,不符合原資質等級條件的,應當予以降級。
第六章安全審驗
第二十九條計算機信息系統和計算機機房的規劃、設計、建設應當按照國家有關規定和標準,同步落實安全保護制度和措施。
第三十條重點安全保護單位計算機信息系統和計算機機房安全設計方案應當報單位所在地地級以上市公安機關公共信息網絡安全監察部門備案。
重點安全保護單位計算機信息系統和計算機機房建成后,應當由具有相應資格的安全服務機構進行安全檢測。檢測合格,方可投入使用。
安全檢測應當接受公安機關公共信息網絡安全監察部門的監督。
第三十一條計算機信息系統安全設計方案備案,應當填寫《廣東省計算機信息系統安全設計方案備案表》,并提交下列材料:
(一)計算機信息系統安全設計方案;
(二)計算機信息系統的總體需求說明;
(三)計算機信息系統的安全保護等級。
第三十二條計算機機房安全設計方案備案,應當填寫《廣東省計算機機房安全設計方案備案表》,并提交下列材料:
(一)承建單位營業執照和資質證書復印件;
(二)計算機機房的用途和安全要求;
(三)計算機機房的施工方案和設計圖紙;
(四)其他應當提交的資料。
第三十三條安全服務機構對重點安全保護單位計算機信息系統和計算機機房進行使用前安全檢測,應當預先報告地級以上市公安機關公共信息網絡安全監察部門。安全檢測結論由重點安全保護單位報地級以上市公安機關公共信息網絡安全監察部門。
第三十四條計算機信息系統和計算機機房存在下列情形之一的,應當進行安全檢測:
(一)變更關鍵部件;
(二)安全檢測時間滿一年;
(三)發生案件或安全事故;
(四)公安機關公共信息網絡安全監察部門根據應急處置工作的需要認為應當進行安全檢測;
(五)其他應當進行安全檢測的情形。
第三十五條安全服務機構應當履行下列職責:
(一)如實出具檢測報告;
(二)接受公安機關公共信息網絡安全監察部門對檢測過程的監督檢查;
(三)保守用戶秘密,不得保留安全檢測相關資料,不得擅自向第三方泄露用戶信息。
第七章安全培訓
第三十六條省公安廳、人事廳聯合成立的省計算機安全培訓領導小組,負責全省計算機安全培訓考試工作的組織和領導。下設省計算機安全培訓考試辦公室,具體負責計算機安全培訓的日常管理工作。
第三十七條下列人員應當參加計算機安全培訓,取得省計算機安全培訓考試辦公室頒發的計算機安全培訓合格證書,持證上崗:
(一)計算機信息系統使用單位安全管理責任人、信息審查員;
(二)重點安全保護單位計算機信息系統維護和管理人員;
(三)安全專用產品生產單位專業技術人員;
(四)安全服務機構專業技術人員、安全服務管理人員;
(五)其他從事計算機信息系統安全保護工作的人員。
第三十八條計算機安全培訓和考試由省計算機安全培訓考試辦公室授權的安全培訓考試點負責組織。安全培訓考試點實行統籌規劃,總量控制。
第三十九條計算機安全培訓和考試按照有關規定進行,實行學大綱,材,統一考試,統一發證。
考試合格的,由省計算機安全培訓考試辦公室在20日內發給計算機安全培訓合格證書。
計算機安全培訓合格證書有效期4年,期滿前60日內應重新參加培訓。
