烟草行业信息网络安全管理规定.docx

烟草行业信息网络安全管理规定
第一章总则
第一条为加强烟草行业信息网络（以下简称信息网络）安 全管理，是高安全防护能力，根据国家有关法律法规及行业信息 化工作管理的有关要求，制订本规定。
第二条本规定适用于不涉及国家秘密及行业敏感信息烟草行业信息网络安全管理规定
第一章总则
第一条为加强烟草行业信息网络（以下简称信息网络）安 全管理，是高安全防护能力，根据国家有关法律法规及行业信息 化工作管理的有关要求，制订本规定。
第二条本规定适用于不涉及国家秘密及行业敏感信息的 信息网络安全管理。
本规定所称的信息网络包括行业各单位的局域网、省域网， 以及行业骨干网等行业内部使用的计算机网络。
第三条信息网络安全坚持积极防御、综合防护和谁主管谁 负责、谁运行谁负责、谁使用谁负责的原则。
第四条行业各单位要定期开展网络安全教育和培训，是高 全员信息安全防范意识。
第二章联网准入
第五条行业各级单位的信息网络与其他单位（含行业外单 位）联网，要经上级网络主管部门批准。各单位信息网络结构调 整需报国家局备案。
第六条行业各单位要对信息网络的互联网接入实行审批 和登记制度，严格控制互联网接入数量，斤有互联网接口要实行 统一安全策略。终端计算机通过互联网或其他网络远程接入信息 网络，要使用数字证书方式进行身份认证。
第七条 行业各单位对联入信息网络的应用系统、终端计算 机实行注册管理。应用系统在上线前要经过安全评估，要符合行 业有关信息安全标准和管理规定。联入信息网络的终端计算机要 符合行业及本单位的安全要求，不得安装其他上网设备。
第三章 网络保护
第八条 信息网络采取分区分域安全防护策略。信息网络与 互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措 施，有效防范违规接入和外联。
第九条 信息网络域名和 IP 地址由国家局统一规划。各单位 要对信息网络域名、 IP 地址和网络端口实行集中管理，关闭不 必要的网络端口。
第十条 行业各单位要对信息网络采取以下措施：
采取身份鉴别措施，有效防范非授权用户登录服务器、终 端、应用系统以及安全保密设备。
采取访问控制措施，有效防范用户对信息的越权访问。
采取安全审计措施，准确记录用户和管理人员的操作行 为，有效监控违规操作。
第十一条 部署在信息网络上的应用系统要采取访问控制、 数据保护、备份和监控等措施，保障数据安全和应用系统安全运 行。
第十二条 在信息网络上发布信息，要严格遵守国家有关法 律法规及行业有关规定并经主管部门审核和登记后方可发布。
第四章 管理监督和责任
第十三条 国家局烟草经济信息中心负责国家局、总公司机 关信息网络安全工作，管理、监督、检查行业信息网络安全工作； 行业各单位信息化部门负责本单位及所属单位的信息网络安全 工作。行业各级信息化部门的主要职责是：
制订信息网络安全管理制度，落