各旗自然资源局、各直属分局:
为进一步贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》《中华人民共和国测绘法》,落实好国家、自治区和市委政府关于加强网络和数据安全以及测绘管理的工作部署,提高网络和数据安全防护能力,全面提高测绘保障服务水平,现就进一步加强全市自然资源系统网络和数据安全以及测绘管理工作通知如下。
一、工作目标
以习近平新时代中国特色社会主义思想理论为指导,深入贯彻落实习近平总书记关于网络安全工作的重要指示精神以及关于测绘地理信息工作的重要讲话和重要论述精神,贯彻落实王广华部长在全国测绘地理信息工作会议上的讲话精神,践行网络安全和数据安全高标准、高质量防护要求,做好网络和数据安全防护工作。进一步加强测绘管理工作,全面提高测绘保障能力和服务水平;加强测绘工作监督指导,促进测绘市场健康有序发展,为全市经济社会发展提供坚实的基础保障。
二、加强网络和数据安全以及测绘管理工作的重要意义
(一)充分认识网络和数据安全工作的重要意义
介于当前国内外网络和数据安全面临的严峻形势,各旗区自然资源局要提高政治站位,要充分认识到网络安全和数据安全的重要性,要切实增强防范网络安全和数据安全重大风险的责任意识。
各旗区负责人作为第一责任人,对本单位网络安全和数据安全工作负主体责任。在日常工作中,要落实主体责任、监督责任以及过程责任、环节责任,真正将矛盾化解于未然,将风险化解于无形。
各旗区要高度重视网络和数据安全工作,根据自身实际情况,将网络和数据安全与信息化建设紧密结合,统筹推进、统一实施,采取必要的技术防护手段,确保安全。积极组织开展《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》《中华人民共和国测绘》等法律的学习宣传活动,将网络和数据安全意识与责任意识、保密意识结合起来,全面提高网络和数据安全防范意识。
(二)充分认识加强测绘管理工作的重要性和紧迫性。
测绘是经济社会发展和国防建设的一项基础性、战略性、长期性工作,是准确掌握国情国力、应对突发公共事件和防灾减灾、提高管理决策水平的重要手段。进一步加强测绘管理工作,全面提高测绘保障服务水平,对改善宏观调控、促进区域经济协调发展、构建资源节约型和环境友好型社会具有十分重要作用。近年来,我市测绘工作统一监管力度不断加大,现代测绘基准体系基本形成,测绘保障能力逐步增强。但是,测绘事业发展中还存在基础地理信息资源短缺、管理机构不完善、基础测绘投入不足等问题,测绘滞后于经济社会发展需求的矛盾还比较突出。各旗区要充分认识加强测绘管理工作的重要性和紧迫性,进一步增强做好测绘工作、服务全市经济社会发展的使命感和责任感,切实加强组织领导,加大工作力度,推动测绘事业加快发展。
三、网络和数据安全工作面临的严峻形势
目前,由于网络安全和数据保密意识不强(在调研中发现,部分旗区自然资源局为工作方便,未按照保密管理相关规定对涉密测绘地理信息数据进行保存和使用)、管理疏忽、技术力量薄弱、技术手段缺乏等多重因素,致使网络和数据安全问题时有发生(2021年达拉特旗金元测绘有限公司在互联网传输地形图时被国家保密局截获,在全区范围内造成了一定的影响;
2023年内蒙古宸基规划设计有限公司在微信工作群内传输控制点成果数据被保密主管部门截获),隐患风险逐级递增。全市各级自然资源部门作为国家重要关键信息基础设施单位,内部数据涉及国家重要信息,特别是基础测绘地理信息数据关系国际民生,面临来自业务网以及电子政务外网、互联网的攻击威胁,虽然在网络中部署了少量的安全设备,但是与全面安全防护存在较大差距,仍然存在网络和数据安全风险,发生重要数据资产泄漏、损坏或被篡改等重大安全事件的隐患依然存在。
近年来,随着自然资源“两统一”职责的不断加强,自然资源部门各类业务不断延伸、应用系统数量不断增加、在线客户端数量不断增多,特别是自然资源局作为测绘行政主管部门,掌握了大量的测绘地理信息数据和涉密基础测绘成果,各类涉密数据连续积累,网络和数据管理任务日趋加重,潜在的网络和数据安全等风险隐患也在增多。同时,新形势下的数据安全和保密工作的重要性、复杂性、艰巨性不断加强,进一步加强网络和数据安全管理尤为重要和必要。请各旗区一定要高度重视,务必将该项工作纳入本单位年度重要议事日程。
四、各旗区存在的主要问题
通过2023年全市各旗区调研以及全市测绘资质和测绘成果质量检查工作发现,各旗区目前普遍存在以下几个方面的问题:
(一)网络和数据安全管理制度不够完善,缺少统一的管理机构,数据管理相对分散。
(二)旗区局网络和数据安全管理以及信息化人才匮乏,从事网络和数据安全以及信息化工作的多数为非专职、非专业技术人员。
(三)各类应用系统管理分散,部分重要信息系统未按照《信息安全等级保护管理办法》《密码法》等网络和数据安全相关工作要求开展信息系统的安全保护等级测评和密码安全性应用评估工作,存在被网络攻击和数据丢失风险。
(四)2022年至2023年期间,在自治区以及全市测绘资质和测绘成果质量检查工作中发现,各旗区自然资源主管部门在未采取任何技术防护措施的情况下对外提供涉密数据,致使大量的涉密数据在各测绘资质单位进行传播,无法管控和溯源,特别是部分测绘资质单位将从自然资源主管部门拷贝的涉密测绘地理信息数据随意拷贝到互联网电脑上使用,存在重大的数据安全和泄密隐患。此外,针对外地测绘单位拷贝的涉密数据更是无法管控,给主管部门的涉密数据管理工作带来了巨大的挑战和安全隐患。
(五)多数旗区没有网络和数据安全专项经费投入,没有配备或配备了少量的网络安全设备,存在较大网络和数据安全隐患,且大多数工作计算机与互联网相联,存在数据泄密隐患。
五、相关工作要求
(一)进一步加强网络和数据安全管理
按照国家和自治区有关规定,网络安全和保密工作为“一把手”负责制。各单位要严格按照“谁主管、谁负责,谁使用、谁负责”原则,遵循“积极防范、突出重点、严格标准、强化管理”要求,认真组织开展好网络安全和保密宣传教育培训工作,加强网络管理和监督检查,督促本单位工作人员认真做好日常管理与相关制度的落实工作。
1.全面加强安防举措。尽快开展网络和数据安全自查工作,做好涉密数据、敏感数据以及其他重要数据的资产梳理,建立台账,统一管理部门,统一数据出口。在对外提供涉密数据时,除严格签订保密协议外,要加强技术手段管控,严防泄密事件发生。定期对对外提供的涉密数据进行保密监督检查,对发现的问题要及时督促整改。
2.定期开展网络和数据安全防护检查。对于服务器和信息系统运行相关的软硬件系统设备,有计划地开展安全防护检查。强化口令控制、病毒扫描、漏洞补丁等基础安全策略,确保各类硬件设备安全可控。对信息系统的操作行为进行身份标识、口令限制、访问控制和管理。规范数据库管理操作,加强数据操作记录审计和追溯,避免数据信息泄露。
3.制定网络和数据安全事件应急处置预案。明确应急响应工作流程并定期组织演练,确保一旦发生网络和数据安全事件时能及时有效处置。对于发生的事件要及时做好记录,根据严重程度和影响范围等,按照相关的制度进行报告。
4.加强自然资源业务专网的管理。一是业务网属于非涉密网,各单位一律不得在与本网相连的计算机、服务器及存储设备上办理或存储任何涉密资料或敏感信息;二是业务网与互联网等网络实行物理隔离,不得将其它网络与该网直接相联;三是对接入业务网的计算机终端应责任到人,严格管理,建立台账,严格按照自然资源业务专网相关管理要求使用;四是在业务网上非法或违规使用各种接入设备、违规存储涉密资料、发生失泄密事件或导致业务网严重问题的,将按有关规定对相关人员严肃追责问责。五是有条件的旗区要加强机房安全建设,按照国家有关标准开展机房建设,确保机房安全运行。
5.要加强平台系统安全管理。按照《信息安全等级保护管理办法》《密码法》的相关规定,增强信息安全保护意识,定期开展自然资源重要信息系统的等级保护测评和密码安全性评估工作。对于本部门管理的应用系统平台,定期做好系统源文件特别是数据库的备份。加强各应用系统后台登录密码的管理以及系统程序漏洞修复和防注入等安全防护工作。
6.采取必要的技术手段,加强数据安全管理。王广华部长在全国测绘地理信息工作会议上强调:“要强化地理信息安全监管,健全安全监管的制度体系,贯彻落实《数据安全法》《网络安全法》,以安全应用为核心,用新技术解决保密问题,推动数字水印、安全控制、国产密码等安全技术与测绘地理信息保密处理技术融合应用,实现对涉密测绘地理信息保管、提供、使用全流程、全覆盖的可信分发、可控使用和过程溯源。”目前,国内已有成熟的软件实现对涉密数据的有效管控和溯源,确保数据安全可控使用。
(二)加强测绘工作统一监管
1.建立健全测绘管理体制。加强测绘行政管理与执法机构建设,落实机构职能,切实履行监督测绘市场、实施基础测绘、保管测绘成果、查处违法测绘行为等职责。要切实做到执法机构明确、管理职能到位,人员有编制、经费有保障。
2.加大测绘市场监督力度。加强对测绘资质、标准、质量的统一监督管理。各旗区自然资源局要根据地方经济发展合理安排基础测绘项目,统筹安排大比例尺地形图和地籍图、地下管线图等的测绘工作,避免重复测绘。加强测绘执法监督,严肃查处无资质测绘、毁坏测量标志等违法测绘行为。加快建立测绘市场信用体系,依法依规建立测绘行业和从业人员不良行为记录和公告制度。强化测绘产品质量监督检查力度,加强对重大基础测绘成果以及房产测量等关系民生的测绘成果质量检查,维护群众的切身利益。
按照《中华人民共和国测绘法》、《内蒙古自治区测绘管理条例》以及内蒙古自治区自然资源厅关于测绘质量测绘资质监督检查有关要求,2022年至2023年期间,鄂尔多斯市自然资源局会同内蒙古自治区自然资源厅测绘处以及旗自然资源局、直属分局,开展了全市以及外地备案测绘资质单位的测绘资质和测绘成果质量检查工作,截止目前已经实现测绘资质巡查全覆盖。在检查中发现的在资质符合性、测绘成果质量以及安全生产方面存在的问题,特别是数据安全和工作人员未及时缴纳人员社保以及实际工作人员与“全国测绘资质管理系统”不符等方面存在的问题,各旗区测绘主管部门要切实履行好整改监督和跟进工作,务必于2023年底完成全部整改工作,2024年将进行“回头看”工作。针对拒不整改或者整改不到位的测绘单位将上报内蒙古自治区自然资源厅进行严厉查处。
3.加强测绘成果管理。严格执行《内蒙古自治区测绘成果管理实施办法》,测绘成果实行无偿汇交、统一管理、资源共享、定期更新的原则,测绘单位或项目出资人要依法向自治区人民政府测绘行政主管部门汇交测绘成果。主管部门要及时公布现有基础测绘成果种类和覆盖范围,规范基础测绘成果管理和提供应用程序。强化涉密测绘成果的保密管理和使用监管,严格审批对外提供的测绘成果,严防发生失泄密事件。加强永久性测量标志的维护管理,进一步落实永久性测量标志的托管责任。
4.加强地图管理。强化对地图市场日常监管,加大对地图市场的监管力度,严肃查处各类违法违规地图,曝光典型案例,扎实有效地推动整顿和规范地理信息市场秩序工作。
鄂尔多斯市自然资源局
2023年11月22日