网络安全管理办信息系统建设管理规定法.docx

网络安全管理办法第一章总则第一条为保障公司信息系统的安全性，降低信息系统存在的安全风险，保障公司网络与信息系统安全稳定运行，依据有关法律法规和规章制度要求，结合公司实际，制定本办法。第二条本办法适用于公司的网络安全管理工作，各级分子公司（以下简称“各单位”）参照执行。第二章管理要求第三条公司、各单位应认真贯彻执行国家网络安全法律、法规和政策，建立并完善网络安全管理体系、标准及制度，实施网络安全技术措施，保障网络与信息系统安全稳定运行，及时上报网络安全事件，加强灾害事件和网络安全事件应急管理，加强全员网络安全教育与培训。第四条公司网络安全管理按照“谁主管谁负责，谁运营谁负责”原则，建立分级管理、逐级负责的网络安全管理体系。公司网络安全和信息化领导小组是网络安全工作的最高决策机构；公司技术部是公司网络安全归口管理部门；各各单位是本单位网络安全管理与保障的责任主体。第五条各单位应成立网络安全和信息化领导小组，负责本各单位网络安全工作，研究决定网络安全重大事项，建立工作制度。第六条公司、各单位应设置网络安全管理专职岗位,配备专职网络安全管理人员，做好网络安全关键岗位人员的管理。第七条网络安全防护应与信息系统同步规划、建设与运行。网络安全产品和服务，原则上应优先选择自主可控产品和国内厂商。第八条公司、各单位应保证网络安全投入，加强全员网络安全宣传教育培训，开展网络安全教育和相关培训，提高网络安全人员的技能和全员网络安全意识水平。第三章总体安全策略第九条关于安全物理环境，机房应建设于合理位置,配置电子门禁、监控报警、防震、防水、消防、温湿度控制、UPS供电等基础设施防护系统和设备。第十条关于安全通信网络，通信线路、关键网络设备和计算设备应采取硬件冗余方式保证网络可用性，重要网络区域采取安全技术措施与其他网络进行隔离防护。第十一条关于安全区域边界，应在网络边界或区域之间采取严格网络访问控制策略，对非授权设备、用户内联或外联行为进行检查或限制，在关键节点处对网络行为进行检测、分析、审计，防范网络攻击行为，及时更新升级防护机制。第十二条关于安全计算环境，所有信息系统应启用身份标识鉴别，重要信息系统采用多因素认证方式，设置必要的登录失败处理、密码管理等策略，遵循最小权限原则，启用覆盖所有用户的安全审计功能，具备重要业务数据、审计数据、配置数据等备份、恢复功能，采取必要措施保证重要数据传输、存储的完整性与保密性。第十三条关于安全管理中心，应对服务器管理、网络安全审计、网络安全管理等人员身份进行有效鉴别，只允许通过特定方式进行操作，并可对操作记录进行审计。划分专门区域对网络安全设备设施进行管理，对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理，对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。第四章安全防护策略第十四条公司、各单位应严格按照中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例等法律法规有关规定，开展网络安全等级保护工作，落实等级保护制度的各项要求。第十五条各单位应严格按照网络安全等级保护相关制度和行业监管要求，制定网络安全防护技术标准，建立安全基线，建设网络安全技术防护体系，定期开展网络安全自查和整改。第十六条根据信息系统管理的重要程度，应对系统进行安全等级的划分，并采取不同强度的安全防护措施。第十七条技术部负责组织开展公司网络安全等级保护定级备案及安全防护工作，监督、检查和指导企业网络安全等级保护定级备案及安全防护相关工作。第十八条加强安全防护，根据信息系统的变更及时调整安全策略、更新代码、更改配置，加强日常运行监控。第十九条加强信息系统的用户口令管理；对于主机、数据库、应用服务器等系统管理员口令应定期更改。第二十条加强对信息系统的数据备份管理，制定并及时调整备份策略，落实备份制度。第五章监控和应急处置第二十一条公司、各单位应加强网络安全日常监控、网络安全运行监控、重要敏感时期监控。第二十二条公司、各单位应建立健全网络安全应急工作机制，提高应对网络安全突发事件的能力，预防和减少网络安全事件造成的损失和危害。第二十三条重要系统必须制定网络安全应急预案应对各种突发情况，并根据业务实际需要对重要系统和数据进行备份。第二十四条网络安全应急预案由公司技术部负责组织编制、管理和宣贯培训，包括报告机制、应急资源情况、应急措施和操作方法，并定期组织开展应急演练。第六章涉密载体管理第二十五条使用涉密载体，应由各单位有关负责人根据载体密级和制发单位的要求以及实际工作需要，确定涉密载体的知悉范围，任何人不得擅自扩大知悉范围。涉密载体使用完毕后应立即清退、存档或销毁。第二十六条保存涉密载体，应由专人选择安全保密的单位内部场所进行保存，并配备保密柜等必要的安全防护措施。各级保密办应定期对涉密载体进行清查、核对，确保涉密载体安全。人员离开办公场所时，应确保涉密载体妥善保管、安全可控。第二十七条涉密设备包括但不仅限于移动存储介质、计算机、服务器、网络设施、信息系统以及打印机、传真机、电话机及其他周边设备等涉密专用设备。第二十八条部署、存放涉密设备的场所，应按保密要害部位管理有关要求采取安全防护措施。第二十九条各类移动存储介质不得在涉密与非涉密计算机、信息系统、服务器之间交叉使用。第三十条公司管理、使用涉密计算机，应按下列规定执行：（一）禁止将涉密计算机接入公共网络；（二）禁止将手机、移动存储介质等各类非涉密设备接入涉密计算机；（三）禁止使用无线鼠标、键盘、话筒、音箱等无线设备；（四）涉密计算机应采取设置口令、安装防护审计软件等安全措施，不得随意安装来源不明的软件；（五）需连接使用打印机等外部办公设备的，应确保设备符合保密要求；（六）未经批准，不得将涉密计算机带出办公场所；（七）涉密计算机未经技术处理不得随意报废。第三十一条涉密专用计算机、打印机等设备不得接入公共网络，并应完全禁用设备内部存储功能。第七章附则第三十二条本办法由公司技术部负责解释和修订。第三十三条本办法自发布之日起施行。