重要会议活动网络安全保障专项工作的通知

市局各单位：

为贯彻落实习近平总书记关于网络安全工作的系列重要指示精神，进一步做好今年各类重要会议、活动期间的网络安全保障专项工作，现就有关工作要求通知如下：

一、工作重点

各单位要在市局网络安全和信息化工作领导小组统一领导下，切实履行网络安全主体责任，加强组织领导和统筹协调，高标准做好重要会议、活动期间网络安全保障专项工作。

（一）严格落实网络安全工作责任制。各单位要严格遵守《丽水市市场监管系统网络与信息安全管理制度》《丽水市市场监督管理局数据安全管理制度》《丽水市市场监管局网络与信息安全工作责任书》等相关要求，坚持“谁建设、谁负责，谁运营、谁负责，谁发布、谁负责”原则，落实落细网络安全管理责任。

（二）严格落实网络安全管理制度。深入实施网络安全等级保护制度，持续开展等保定级备案和测评工作。加强网络安全事件监测预警与应急响应管理、外包服务管理、安全策略管理、用户访问权限管理、网络安全教育与培训等相关制度落实。加强重要数据加密、脱敏、审计和公共数据共享使用安全技术措施等相关制度落实。

（三）加强第三方系统运维公司和人员管理。实施第三方运维人员背景审查机制，与承担信息系统运维的单位和运维人员需签订保密协议（保密承诺书）；建立系统运维绩效评价机制，加强日常运维工作的约束机制，落实第三方运维单位网络安全主体责任。

（四）完善网络安全防护体系。持续健全网络技术防护体系、数据安全防护体系。以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，加强业务系统上线前安全测试和上线运行后迭代升级的安全管控。常态化开展重要业务信息系统网络安全监测预警、安全检查和风险评估，深入查找薄弱环节并组织整改，消除安全隐患，提升网络主动防御能力和应急处置能力。

（五）强化网络安全协同联动。深化协同联动机制，加强与市委网信办、市公安局、市大数据局等部门协作配合，建立定期沟通机制，及时了解最新工作要求，实时掌握网络安全最新动态。

二、工作计划

（一）网络资产梳理阶段（即日起至7月底）。全面梳理本单位基础网络、门户网站、业务信息系统（含移动端app、小程序等，下同），建立网络资产档案。全面排查互联网出入口和无线接入点，缩减不必要的互联网暴露面，严禁违规外联网络。

（二）风险排查阶段（7月至8月）。

1.开展网络安全风险自查。根据形成的网络资产清单，对相关的网络设备、服务器（云资源）、业务信息系统、安全设备等开展安全自查和整改，提前发现存在的安全隐患。一是重点检查单位核心网络节点、网络出口边界的安全防护情况，及时进行安全策略加固；二是对信息系统（包括服务器和云资源）进行安全漏洞扫描、渗透测试等，重点开展“三高一弱”（高危端口、高危漏洞、高危外联、弱口令）风险隐患排查，形成网络安全风险评估报告，并确保整改到位；三是数据安全防护检查，重点检查重要数据加密、脱敏、审计等，以及公共数据（特别是涉疫数据、个人敏感数据）共享使用安全技术措施落实情况。

2.第三方运维单位及服务外包管理情况自查。一是重点检查与运维单位及相关运维人员签署安全保密协议情况，数据安全管理情况；二是建立运维绩效评价机制，加强日常运维工作约束；三是实施第三方运维人员背景审查机制，进一步落实第三方运维单位和服务外包单位的网络安全主体责任。

（三）安全优化阶段（8月至9月）。

1.做好网络安全整改复查。对自查中发现的安全隐患，以及通过丽水市大数据局“电子政务网络及数据安全监管平台”接收的各类风险隐患通报，指定专人负责签收和处置，逐一复查，及时上传反馈处置结果，确保整改工作落实到位。

2.严禁违规外联网络，缩减不必要的互联网出口和无线接入点。关闭或删除不必要的应用、服务、端口和链接，严禁出现弱口令、默认口令、通用口令等现象，落实重要数据存储、传输加密措施，消除安全隐患。

3.提升网络安全应急处置能力。根据《丽水市市场监管局网络与信息安全应急预案》，对各类安全事件（网络中断、非法攻击、木马病毒、网页篡改、劫持等）划分响应等级，制定明细的操作规程。开展一次网络安全攻防（应急）演练，提高应对网络安全突发事件的实战能力。

4.做好网络安全教育培训。对重要岗位、重要人员开展网络与信息安全、数据安全相关培训，宣贯《中华人民共和国网络安全法》、安全态势、安全防护措施、重要会议和活动期间网络安全保障要点等。

（四）安全保障阶段（重要会议、活动期间）。

1.组建安全保障团队。市局网监分局要协调各单位技术力量，与第三方专业安全服务机构合作，组建网络安全技术保障团队。同时，与市委网信办、市公安局、市大数据局等部门建立工作联络机制，实时获取最新的网络安全态势。

2.加强监测预警。对重点保障对象实行24小时高频度监控，加强运行日志分析，建立监控日志台账。实行“报平安”制度，发现异常情况即时报告。

3.实行值班值守。制定值班值守方案，明确职责、要求，实施全天候应急值守。建立手机、浙政钉、微信等多种通讯方式，实现应急联络畅通。各单位加强日常安全巡查，每日报送本单位网络安全状况，对存在安全隐患的非重要业务系统实行临时关停处置。

4.做好应急处置。当发生重大网络攻击、域名劫持、网页遭篡改、网络瘫痪等网络安全突发事件时，应立即启动应急预案，组织应急保障力量进行应急处置，及时消除危害，将损失降至最低，将影响控制到最小范围。同时，立即向市局网信领导小组报告相关情况。

三、工作要求

（一）加强组织领导。做好重要会议、活动网络安全保障是一项重要的政治任务，也是落实网络安全工作责任制的具体行动，各单位主要负责人要高度重视，亲自研究部署，做到领导到位、机构到位、人员到位、责任到位、措施到位。两院可根据实际情况组建网络安全技术保障团队。

（二）强化协同联动。市局网监分局要持续与市委网信办、市公安局、市大数据局等部门保持协同联动机制，及时了解最新网络安全工作要求，加强协同作战。各单位要主动对接市局网监分局，做好网络安全工作衔接，及时反馈存在的问题和处置情况。市局网监分局要加强对各单位的网络安全指导和技术支持。

（三）确保安全稳定。重要会议、活动期间，落实全天候应急值守力量，强化监测预警、安全防范机制，做到风险隐患第一时间发现、第一时间处置，坚决维护市局网络与信息安全，营造安全可靠的网络环境。

丽水市市场监督管理局

2022年7月25日

（此件公开发布）

丽市监便笺〔2022〕126号关于做好重要会议活动网络安全保障专项工作的通知.pdf