1.1.总则

本办法明确了门户网站的运行与管理，并对网站建设、运行维护、网站内容审核、内容发布、安全管理等方面提出了相关要求。

本办法适用于郑州市人社局数据保障中心（以下简称“中心”）内外网网站的运行管理工作。

1.2. 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有修改单（不包括勘误的内容）或修订版均不适用于本标准，鼓励用最新版本,但是否采用最新版本由人社局信息安全领导小组研究决定；凡是不注日期的引用文件，其最新版本适用于本标准。

 《信息系统安全管理要求》（GB/T 20269-2006）

《信息安全事件分类分级指南》（GB/Z 20986-2007） 

《计算机信息系统维护管理标准》 

1.3.职责

按照“谁主管、谁负责，谁运营、谁负责”的要求，人社局网站管理实行“统一领导、分级负责”，在中心统一领导下，网站管理科负责本单位网站的运行管理工作，并建立健全本单位网站运行工作责任制，将责任落实到人。

1.3.1.网站管理科  

网站管理科是网站的建设和运维部门。

网站管理科负责以下工作：

（一）协助信息安全小组制定人社局网站管理办法，并督促执行。

（二）负责人社局各级网站建设的规划、指导、协调、监督和管理。

（三）负责人社局网站技术支持。

（三）负责协助应急处理工作组处置网站发生的安全事件。

（四）负责人社局网站的运行和日常维护。

（五）网站内容更新、提醒。

（六）发布信息的审核筛选，确保网站内容的正确性、安全性。

（七）网站内容的监测。

1.4.管理内容与方法

1.4.1. 网站建设

    信息网站建设遵循“界面规范、资源共享、安全可靠、权限细分”的基本原则。充分发挥各单位的积极性和作用，整合信息资源和服务项目，避免重复建设，减少资源浪费。

    网站管理科负责人社局各级信息网站建设的规划、指导、协调、监督和管理。会同各科室及开发单位提供网络环境、技术支持和日常维护。

    中心对各网站建设实行审批管理制度，建网站须报中心网站管理科审批并统一分配网站域名和IP地址，并送办公室备案。各业务部门可向中心网站管理科申请，在人社局信息门户网站建专栏发布业务信息。

所有网站界面必须符合中心VI要求；不得链接或登载任何与业务无关的网站或广告；对外网站不得链接内部网站；对外网站服务器必须放置在互联网防火墙的DMZ区，严禁在综合数据网内部布置对外的网站服务器，以避免外网直接访问内网。

各级网站的开发单位必须与中心签订有关保密协议，明确信息安全和保密责任；所有网站必须经过严格测试才能挂网运行，所有在互联网发布的网站必须由有关单位报公安局公共信息网络安全监察部门备案；网站的版权必须归人社局全权所有，开发单位必须提供所有直接开发的源代码和第三方软件的合法使用权并妥善保管。

1.4.2.运行维护

人社局各级信息网站的运行维护，按照“谁建设、谁运行、谁管理、谁负责”的原则进行管理。网站建设部门应当建立健全工作责任制。

网站管理科对网站、各专栏的运行、维护和管理负责。分管负责人是网站或专栏管理的直接责任人，负责网站或专栏建设、运行维护及信息安全工作。应当明确专门人员（网管人员和栏目管理员），负责网站或专栏的日常维护和管理。

服务器管理必须符合中心的《信息系统建设管理标准》；网站投运后，不允许在运行系统上直接修改程序代码，程序的修改必须在测试环境中进行，测试后，方可投入使用，降低系统风险。

1.4.3.内容审核与发布

各级网站内容由网站管理科负责保障，保证网站内容及时更新和时效性。

各级网站或专栏发布的新闻由中心领导审签后发布，未经审签的信息不得发布；业务系统抽取和挖掘的数据不得直接发布到外部网站。

网站互动栏目的信息，各栏目负责科室应当指定专人负责信息内容的审核和过滤。未经审核的信息不得随意发布，含有不良内容的信息必须及时清理。

设有网站举报、投诉、留言信箱的，必须明确具体人员负责管理。信箱举报材料实行“网上受理、网下办理”的办法，及时下载信箱材料，及时清除网站上已处理完的过期内容。信箱举报、投诉、留言材料在网站上的滞留时间原则上不得超过72小时，连续节假日超过72小时的应当关闭信箱。

主管部门、网管人员和栏目管理员在加载信息时应严格把关，甄别真伪，确保上网信息的严肃性。不得随意加载未经审签和审核的信息，不得加载非正规渠道来源的信息，不得加载或链接含有有害内容和恶意内容的非友好网站的信息，不得与非法网站建立超级链接。

1.4.4.安全管理

（一）应当建立健全完善的网络信息安全组织领导机构和严格的网站管理制度；会同应急处理小组制定网站应急预案并定期预演。

（二）在网站建设和运行中应当加强安全技术手段的使用，如采取访问控制技术和信息加密技术，对信息系统的安全进行实时跟踪，对网络运行环境进行加固等，保证网络系统安全可靠。

（三）系统管理员必须按照有关要求认真做好系统、数据和日志备份；关闭不必要的端口，停用不必要的服务；定期进行注册表安全检查，禁用允许自动播放设置；启用日志审计功能，并作定时审计；去掉数据库中存在风险的服务模块；对外网站配置冗余备份措施；采用必要的网页防篡改措施；网站文件、目录按照不同的用户分配不同的访问权限；对网站管理操作进行登陆源限制。

（四）有关部门应当实时监测网站信息内容和系统运行环境的安全情况，避免遭受黑客恶意攻击，发现问题及时处理、及时报告。网站后台管理必须分权限管理，管理员口令（密码）必须符合口令管理规定。网管人员、栏目管理人员及举报信箱管理人员应当妥善保管好用户密码等信息，不得泄漏他人，遇有密码泄漏，应及时通知网管部门补救。

（五）网站建设单位应严格遵守国家有关保密和信息安全的法律法规，限定上网信息内容。不得在网上发布国家秘密或不宜扩大范围的信息；不得发布影响社会稳定的不良信息；不得宣扬邪教、暴力、色情等内容的有害信息；不得利用网站从事泄露国家秘密、危害国家和人社局安全等违法犯罪活动。

（六）任何用户不得利用人社局内外信息网站制作、复制、查阅和传播下列信息：

a) 煽动抗拒、破坏宪法和法律、行政法规实施的；

b) 煽动颠覆国家政权，推翻社会主义制度的；

c) 煽动分裂国家、破坏国家统一的；

d) 煽动民族仇恨、民族歧视，破坏民族团结的；

e) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

f) 宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的；

g) 公然侮辱他人或者捏造事实诽谤他人的；

h) 损害国家机关和人社局信誉的；

i) 其他违反宪法和法律、行政法规、地方和人社局规定的。

（七）任何用户不得利用人社局内外信息网站从事下列危害计算机信息网络安全的活动：

a) 未经允许，进入中心计算机信息网络的；

b) 未经允许，对计算机信息网络功能进行删改、修改或者增加的；

c) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删改、修改或者增加的；

d) 故意制作、传播计算机病毒的破坏性程序的；

e) 其他危害计算机信息网络安全的。

1.5.附则

本制度由数据保障中心负责解释。

本制度自发布之日起生效执行。