烟草行业信息网络安全管理规定

烟草行业信息网络安全管理规定
第一章总则
第一条为加强烟草行业信息网络（以下简称信息网络）安全管理，提高安全防护能力，根据国家有关法律法规及行业信息化工作管理的有关要求，制订本规定。

第二条本规定适用于不涉及国家秘密及行业敏感信息的信息网络安全管理。

本规定所称的信息网络包括行业各单位的局域网、省域网，以及行业骨干网等行业内部使用的计算机网络。

第三条信息网络安全坚持积极防御、综合防护和谁主管谁负责、谁运行谁负责、谁使用谁负责的原则。

第四条行业各单位要定期开展网络安全教育和培训，提高全员信息安全防范意识。

第二章联网准入
第五条行业各级单位的信息网络与其他单位（含行业外单位）联网，要经上级网络主管部门批准。

各单位信息网络结构调整需报国家局备案。

第六条行业各单位要对信息网络的互联网接入实行审批和登记制度，严格控制互联网接入数量，所有互联网接口要实行
统一安全策略。

终端计算机通过互联网或其他网络远程接入信息网络，要使用数字证书方式进行身份认证。

第七条行业各单位对联入信息网络的应用系统、终端计算机实行注册管理。

应用系统在上线前要经过安全评估，要符合行业有关信息安全标准和管理规定。

联入信息网络的终端计算机要符合行业及本单位的安全要求，不得安装其他上网设备。

第三章网络保护
第八条信息网络采取分区分域安全防护策略。

信息网络与互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措施，有效防范违规接入和外联。

第九条信息网络域名和IP地址由国家局统一规划。

各单位要对信息网络域名、IP地址和网络端口实行集中管理，关闭不必要的网络端口。

第十条行业各单位要对信息网络采取以下措施：
1.采取身份鉴别措施，有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备。

2.采取访问控制措施，有效防范用户对信息的越权访问。

3.采取安全审计措施，准确记录用户和管理人员的操作行为，有效监控违规操作。

第十一条部署在信息网络上的应用系统要采取访问控制、
数据保护、备份和监控等措施，保障数据安全和应用系统安全运行。

第十二条在信息网络上发布信息，要严格遵守国家有关法律法规及行业有关规定并经主管部门审核和登记后方可发布。

第四章管理监督和责任
第十三条国家局烟草经济信息中心负责国家局、总公司机关信息网络安全工作，管理、监督、检查行业信息网络安全工作；行业各单位信息化部门负责本单位及所属单位的信息网络安全工作。

行业各级信息化部门的主要职责是：
1.制订信息网络安全管理制度，落实信息网络安全责任制，定期对制度执行情况进行检查和监督。

2.定期进行信息网络安全检查，建立检查记录档案，制订并完善信息网络安全措施。

3.指定信息化部门内部人员担任网络安全管理员，与网络运行维护单位签订安全责任书。

4.建立信息网络安全应急工作机制，制订应急预案，明确应急处置流程和应急保障队伍，及时处理和上报信息网络安全事件。

第十四条任何单位和个人不得利用信息网络危害国家安全和行业安全，不得侵犯国家、社会和个人的合法权益，不得从
事违法犯罪活动。

第十五条任何单位和个人不得利用信息网络制作、复制、传播国家秘密及行业敏感信息，以及具有反动、色情、暴力倾向的信息。

第十六条任何单位和个人不得进行危害信息网络安全的活动。

第十七条对于违反本规定的单位和个人，视情节轻重给予相应的行政处分；构成犯罪的，移送司法机关处理。

第六章附则
第十八条行业各单位要根据本规定，结合实际情况制订本单位信息网络安全管理的具体办法。

第十九条本规定由国家局负责解释。

第二十条本规定自印发之日起施行。

1998年6月2日印发的《烟草行业计算机信息网络安全保护规定》（国烟办〔1998〕305号）同时废止。