机关各处室、下属事业单位：

近年来，市政务办始终高度重视网络安全工作，深入贯彻习近平总书记关于网络强国重要思想和网络安全“四个坚持”重要指示精神，在网络安全保障方面做了大量工作。但由于市政务办所属的“一网通办”平台、公共资源交易平台、12345热线平台涉及网络接口多、应用覆盖面广，客观上带来了众多网络安全风险点，近两年多次被省、市相关主管部门发现并通报。为迎接中国共产党第二十次全国代表大会的召开，强化部署党的二十大期间市政务办网络与信息系统安全保障工作，结合近期国家、省、市对网络安全方面的管理要求，现就加强市政务办网络安全工作通知如下：

一、工作目标

提高市政务办信息系统和网络防护水平，构建网络安全综合防控体系，进一步强化网络与信息化系统安全工作责任，及时防范系统、网络可能存在的安全隐患和风险，营造安全优质、稳定有序的政务服务环境，确保党的二十大期间各项重大活动万无一失。

二、工作范围

常州市政务服务管理办公室及下属事业单位所属的信息化系统、信息网络及网络设备、门户网站及微信公众号。

三、重点任务

（一）深入梳理互联网资产

1.针对在互联网上暴露的资产进行全面梳理，与现有资产清单进行对比，查漏补缺，形成准确的资产清单，并对风险端口进行评估关闭。

2.对所有的互联网出入口，按照就近归并的原则进行缩减或集中。同时加强域名管理，对废弃域名及时进行清理。

3.采购第三方网络安全服务，对互联网资产进行全面扫描，针对互联网暴露的敏感信息，包括但不限于文档信息、代码、人员信息等，进行查找、梳理、清理等工作。

（二）强化问题隐患排查和整改

1.开展网络与信息系统安全全面自查自纠，排查网络安全隐患、安全保障措施、日常管理规范等方面存在的问题，及时分析原因，修补漏洞，整改到位。

2.杜绝弱口令的使用。所有人员要进行自身密码核查，并使用安全工具进行弱口令检测，杜绝弱口令；开发单位要在系统中加入口令复杂度校验，通过技术手段强制设定口令必须满足复杂口令的要求。

3.做好系统建设、运维期间安全跟踪管理。上线前必须做好全面的安全监测，并邀请信息技术专家对系统安全性方面进行论证。系统开发和运行维护期间，应及时更新中间件、数据库版本，避免新发现的漏洞被利用；修改系统中的默认配置，加入必要的访问权限限制；系统建设单位和运维单位人员建立的临时账号、测试账号等要及时删除。

（三）持续提升应急处置能力

1.针对前期发现的系统漏洞，制作信息资产的漏洞清单，制定漏洞修复方案。

2.对安全漏洞隐患、安全风险，积极整改并形成整改跟踪记录表，确保各层面问题整改到位。

3.明确应急响应小组和技术支撑队伍的职责任务、响应时限方面的要求，提高事件应对效率，确保网络与信息安全。

（四）加强值班值守

在国庆节、党的二十大等重要时间节点，机关各处室及下属事业单位要加强网络与信息系统安全监测监控，全体保障人员按要求到岗到位，24小时值班，全方位防守。应急联系人保持通信联络畅通，及时发现和处置网络安全事件，严格落实每日“零报告”制度，遇重大突发情况，第一时间上报市委网信办。

四、工作要求

一是要提高思想认识。高度重视党的二十大期间网络安全保障工作，坚决克服麻痹思想、松懈情绪和侥幸心理，时刻绷紧网络安全这根弦。全面落实网络安全与信息化领导小组工作职责，进一步压实责任，做到工作到人、责任到人，用严、细、实的工作作风落实网络安全的各项工作要求。对于因思想不重视、责任不落实造成严重后果的，要严肃追究责任。

二是要强化管理防护。严格落实《网络安全法》等相关法律法规和政策文件要求，结合市政务办实际情况，及早研判党的二十大期间网络安全风险，围绕对信息系统攻击、网站内容篡改、网络病毒、数据安全等安全风险点，认真落实部门协调、应急值班、信息报送等工作机制，做到组织保证、措施到位，做好周密防护。

三是要加强宣传培训。建立网络安全常态化宣传培训机制，加强网络安全教育，提高全办人员网络安全意识，普及网络安全基础知识，提升网络安全防护基本技能。特别是把握好工作人员上岗前、岗位变动调整、网络安全政策标准发生重大调整、新建和升级的信息系统投入使用前等重要节点，加强针对性的网络安全培训。

常州市政务服务管理办公室

2022年9月22日

扫一扫在手机打开当前页