资源描述
企业网络信息安全管理制度
XXXXXXXXXXXXXXXXX网络信息安全管理制度
XXXXXXXXXXXXXXXXX
网络信息安全管理制度
第一章总则
第一条为进一步推动信息化建设,强化网络安全管理能力,统一XXXXXXXXXXXXXXXXX〔以下简称“本企业〞〕网络安全管理规范和流程,提升企业网络安全确保意识和能力,依据《中国人民共和国网络安全法》、《网络安全等级保护基本要求》等有关政策法规,依据集团公司《网络安全和信息化管理办法》的总体要求,结合企业实际安全状况,制定本制度。
第二条本制度是对集团公司《网络安全和信息化管理办法》的细化和落地,信息安全总体方针、策略遵从《网络安全和信息化管理办法》的规定执行。
第三条本制度适用于指导展开网络安全管理工作,规范网络安全管理方面的各项管理活动、管理过程。本企业信息系统均应遵循本规定展开安全管理工作。
第二章组织机构及其使命
第四条在集团公司网信领导小组和集团公司网信办指导下,依据《网络安全和信息化管理办法》“谁主管谁负责、谁运营谁负责、谁使用谁负责〞的原则展开网络安全工作,企业
负责人对企业网络安全工作负主体责任。
第五条技术部门承当网络安全职能,部门负责人对网络安全工作负主要责任,网络安全职能如下:
(一)落实落实集团公司网信领导小组有关网络安全和
信息化的重大战略决策和工作要求;
(二)负责网络安全工作的展开,包括网络安全培训计
划与展开、员工网络安全意识宣贯、网络安全制度落
地执行、系统安全建设管理、系统安全运维管理等各
项工作;
(三)依据企业自身网络安全特点,制定网络安全管理
流程;
(四)负责定期组织召开内部、外部网络安全工作会议;
(五)负责信息系统等级保护定级、备案、安全建设整
改工作;
(六)展开等级保护测评工作,应对监管部门安全检查;
(七)负责网络安全事件的应急处置,重要安全事件的
上报,负责配合集团公司网信办进行安全事件处置、
取证、回溯和事后的加固分析工作;
(八)及时向集团公司网信办报告网络安全工作。包括:
网络安全工作计划、网络安全重点工作进度、网络安
全重大事项、网络安全重要政策和制度措施和网络安
全工作年度总结;
(九)其他网络安全工作。
第六条网络安全职能部门应设置安全管理员岗位,信息系统管理部门应设置系统管理员及应用管理员岗位。安全管理员岗位人员名单应上报集团公司网信办备案。
第七条人员岗位使命如下:
(一)安全管理员:
负责网络信息安全管理制度的落地、执行;
负责对系统进行恶意代码检查、安全漏洞检测和安
全配置核查;
负责对信息系统进行安全检查,排查相关网络安全
隐患;
负责信息系统安全事件处理和恢复;负责协助集团
公司网信办对网络安全事件进行应急处置和取证
分析;
其他网络安全工作。
(二)系统管理员:
负责操作系统、数据库的日常管理与维护;
负责操作系统、数据库帐号和权限管理;负责操作系统、数据库的补丁升级、安全配置加固
和备份;
负责操作系统、数据库故障的处理。
(三)应用管理员:
负责应用系统日常管理与维护;
配合安全管理员,在应用系统制定、测试、布暑、
运行过程中,对应用系统进行安全把控、测试、配
置、加固;
负责应用系统帐号和权限管理;
负责应用系统故障的处理。
第三章人员安全管理
第八条企业人员选用必需签署保密协议。关于网络安全相关岗位人员的选用,应严格视察该人员的业务技术水平和相关资质认证。
第九条企业内部人员在变幻岗位时,信息系统管理部门负责改换关联访问权限,如有必要,修改保密协议。
第十条人员离职时,应及时移交相关工作,上交计算机等软、硬件资产,办理完成离职人员移交手续后方能批准离职。
第十一条人事部门和员工所在部门要做好人员离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获
得机密信息。员工离职后如发生泄密状况,应承当由此涉及的法律责任。
第十二条系统管理员、应用管理员或安全管理员离职时,网络安全职能部门应组织统一修改所有系统、应用等相关密码,重点核查VPN、对外提供服务系统中离职人员账号是否清除。安全管理员离职或改换时,网络安全职能部门应上报集团公司网信办备案。
第十三条定期对各部门人员进行网络安全意识培训,对网络安全重要岗位进行网络安全技能培训并定期考核。
第十四条信息系统管理部门因工作必需要引入第三方人员,并从事信息化或网络安全工作的,必需报备安全管理员。
第十五条第三方人员应严格遵循集团公司及企业相关的安全管理规定展开服务工作,对应的信息系统管理部门负责对第三方人员工作进行安全监督,第三方人员如果出现违规安全事件,则由对应信息系统管理部门承当安全风险责任。
第十六条原则上不同意第三方人员访问集团公司内部网络。如因工作必需要访问内部网络,应通过网络安全职能部门的授权许可并登记。第三方人员离场或服务结束后,应及时清除第三方人员的访问账户和权限。
第四章安全建设管理
第十七条信息系统安全建设在系统定级、备案、安全规划制定、安全实施、测试验收、交付上线等环节,应严格遵循集团公司《网络安全和信息化管理办法》:
(一)信息系统管理部门在系统建设前,应对系统服务
的对象、系统业务信息和系统服务的连续性要求进行
充分评估,并报网络安全职能部门确定信息系统安全
保护等级,安全管理员负责系统定级备案工作;
(二)应依据系统的安全保护等级选择基本安全措施,
依据风险分析的结果补充和调整安全措施,并在系统
制定方案中加入对系统的安全保护要求、策略和措施
等内容,安全管理员应将安全制定方案报集团公司网
信办,集团公司网信办组织专家评审通过后,方可建
设实施;
(三)设备采购方面,应按照国家相关设备采购要求开
展设备采购工作,参照建设方案对主流网络安全设备
进行比对和筛选。严禁采购和使用未通过国家网络安全
测评机构和公安部认可的网络安全设备;
(四)设备上线前,安全管理员应对设备展开安全检查
和加固工作,包括安全性检查、安全配置加固,安全
补丁更新、安全策略库升级等工作内容,避免设备使
用中引入安全漏洞隐患,其他运维人员配合安全管理
员工作;
(五)信息系统在实施前应制定实施计划,实施计划应
包括负责部门、工程负责人、施工单位状况和工程实
施方案等内容;
(六)定制、合作和独立开发系统时,其参加人员应经
过资格检察,并签订保密协议书,承当相应的安全保
密责任和义务。外包软件安装之前,应进行恶意代码
检测。如果开发方能够提供源代码,还必需进行代码审
查;
(七)应按照工程实施方案的要求对工程实施过程进行
进度和质量控制,并按照实施方案形成的阶段性工程
报告等文档。
第十八条信息系统验收前,信息系统管理部门应提前告知安全管理员,并及时展开网络安全相关测试工作,依据发现的安全问题要求服务商整改并复测。网络安全测试不通过的,原则上不予验收。
第十九条信息系统验收时,必需要项目建设部门、信息系统管理部门、网络安全职能部门组成验收组,对项目进行验收。
项目验收内容应至少包括系统备案证实、安全测试报告、系统培训记录及文档、资产交付清单、系统制定文档、安全制定文档、系统建设文档、系统运维手册、用户使用手册。
第二十条所有通过验收并正式上线的信息系统,主管部门应将相关安全文档资料应进行完整归档,由安全管理员统一归档并报集团公司网信办备案。
第五章安全运维管理
第二十一条办公环境安全管理要求如下:
(一)办公区域内部使用的电脑必需安装病毒防护软件。
各使用人员在计算机上使用移动介质以及在互联网上
接收文件或邮件之前,先进行病毒检查。未通过业务部
许可,不得安装任何其他软件。
(二)员工办公桌面上禁止存放包涵敏感信息的纸质文
档,在办公环境中处理敏感信息时应防止信息泄密,
处理完成后注意清理和检查工作。
(三)员工离开座位前应确保终端计算机处于安全状态,
防止非授权人员操作。禁止私人移动存储设备接入工
作计算机,禁止任何形式复制、拷贝工作数据用于其
他用途。第二十二条信息系统是指支持企业业务运行的计算机软件系统,信息系统在本制度中指完成某一业务运行的应用软件、中间件、数据库和操作系统集合。信息系统管理部门承当信息系统的安全管理责任。
第二十三条信息系统安全管理要求如下:
(一)编制并储存信息系统的《信息资产清单》,清单中
应包括资产分类、资产责任部门、资产等级和所处位
置等内容,如信息资产变动应及时更新表单。资产清
单报备集团公司网信办。
(二)对信息资产进行统一管理,关于信息数据资产的
访问,依据数据资产等级以及数据资产提供服务的不
同,设置不同的访问权限,避免非授权访问,企业内
部应全部使用正版软件;
(三)在使用或管理硬件资产时,要注意硬件资产的安
全性、机密性、完整性,防止信息载体的毁坏和信息
的泄密,防止信息处理设施的乱用;硬件资产如必需报
废时,应向主管部门提出报废申请,经批准后报废;
(四)定期对本单位信息资产进行盘点;
(五)应依据安全加固基线对信息系统进行安全加固;
(六)应记录和储存信息系统基本配置信息,包括各个
设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;
(七)定期对信息系统的配置、日志信息进行备份储存,
日志应转发到审计系统储存,储存至少6个月的相关安全日志;
(八)应依据账号管理原则对用户分配账号和权限,密
码设置应遵循密码策略,账号密码的发放必需严格保密,应修改原始密码;
(九)信息系统一般用户账号原则上每年改换一次,管
理类账号每半年改换一次;
(十)员工岗位调整、离岗、离职时,所属部门领导应
及时通知系统管理员和应用管理员删除离职人员的账号及权限,具体要求参照人员安全管理规定;
(十一)应定期检查用户的账号及其权限,及时依据用户的安全责任和工作要求对用户身份和相应的权限进行变更;
(十二)定期对信息系统进行安全巡检,安全巡检记录进行存档,对发现的安全隐患上报安全管理员,并负责协调、组织、跟进、监督安全隐患处置工作。
第二十四条恶意代码防范管理要求如下:
(一)所有终端及服务器操作系统必需安装正版防病毒
软件并实时运行,及时更新防病毒软件和病毒特征库;
(二)禁止外部计算机和存储设备接入本单位网络,接
入内部网络之前应进行病毒检查;
(三)定期对网络和主机进行恶意代码检测,对主机防
病毒产品截获的危险病毒或恶意代码进行及时分析处理,必要时上报集团公司网信办。
第二十五条备份恢复安全管理要求如下:
(一)信息系统的备份应包括配置备份、日志备份和数
据库备份,备份周期为每周至少一次全备份。(二)系统管理员和应用管理员应定期检查备份数据,
确认备份有效性,定期进行恢复性测试并进行记录归档。
第二十六条变更管理要求如下:
(一)变更管理是指各类硬件设备的改动、添加、改换,
或者各类软件系统的重要升级。
(二)系统变更可能影响网络安全的,必需要报备安全管
理员,重要信息基础设施变更时,安全管理员必需向
集团公司网信办提出书面变更申请,经批准后方可进
行;
(三)信息系统进行升级、变更等重大操作前,对系统
数据和业务数据要进行完整备份。要制定具体的计划、
流程和回退方案。发生问题后,要马上用备份数据恢
复系统运行,尽量坚持业务的连续性、完整性;
(四)运维部门执行变更操作前应通知相关人员做好准
备,变更操作过程中必需按规定进行具体登记和记录,
对各类软件、现场资料、档案等进行整理存档;
(五)涉及设备改换时,应对被改换设备进行检查处理。
如必需储存历史数据,按数据备份管理要求执行;如必需
清除或销毁,由技术部门实施不可恢复性消除或物理
销毁。
第二十七条安全管理员每半年对网络安全运维工作进
行安全检查,检查内容包括但不限于信息系统安全运维工作、安全配置状况、安全加固工作、日常巡检工作、安全备份及恢复、其他安全管理工作的落实状况;安全检查中发现的问题,应马上要求相关问题责任人进行整改,并对整改结果进行验证;安全检查完成后,安全检查相关文档上报集团公司网信办。
第六章安全事件管理
第二十八条安全管理员制定安全事件应急预案,预案应包涵常规网络安全攻击、设备故障及自然灾害的处置方法和流程、相关部门和应急人员,并定期培训。
第二十九条安全事件管理及应急响应要求如下:
(一)企业所有部门发现网络安全事件,均应第一时间
通知安全管理员。安全管理员第一时间上报集团公司
网信办。
(二)集团公司网信办推断网络安全事件类型和级别,
并组织相关人员进行应急处置。
(三)安全管理员应组织企业相关人员,配合集团公司
网信办进行安全事件处置、分析、取证,并生成安全
事件处置报告;
(四)安全管理员应依据事件发生原因,发现的安全问
题组织相关人员及时进行安全整改,并将整改结果上
报集团公司网信办。
第三十条对安全事件整改不利的,网络安全职能部门将对相关责任人进行约谈,如仍未按要求进行整改,将在全企业范围内对相关责任部门、责任人进行通报批评,并对相关系统采用停止服务等处置措施。第七章处罚措施
第三十一条有以下情形之一的,网络安全职能部门将在全企业范围内对相关责任部门、直接责任人进行通报批评,造成严重影响的,将按照《XXXXXXXXX公司管理章程》及《集团公司集团公司奖励处罚规定》提出处罚建议并报企业负责人决定。造成严重后果或损失的,按国家相关法律法规进行处理:
(一)入侵应用软件系统的;
(二)非法删除、修改、增加、干扰信息系统的功能、
数据、程序,造成严重后果的;
(三)制造、传播计算机病毒等破坏性程序,影响信息
系统正常运行的;
(四)发现信息系统存在安全隐患或者对发生的安全事
件,瞒报、缓报、处置不当或不采用措施,造成严重
后果的;
(五)泄露信息系统安全防护技术、方法、措施、安全
产品性能、效果和应用范围,造成后果的;
(六)泄露工作数据,造成不良影响或严重后果的;
(七)使用已经禁用或者不符合规定的软硬件系统、安
全产品,造成严重安全隐患的;
(八)引发其他安全事件,危害信息系统安全的。
第八章附则
第三十二条本制度适用于XXXXXXXXXXXXXXXXX。
第三十三条本制度由技术部负责解释。
第三十四条本制度正式公布之日起执行。
附录
1.账号权限管理原则:
(一)最小权限原则:系统只能授予应用程序和用户必要的权限,
而不能授予额外的权限。
(二)最少服务原则:在确保系统和应用运行正常的前提下,关闭
其它无关的系统服务和网络服务。
(三)各类系统应依据“权限分开〞的原则分配相应的管理权限,
各类管理人员只能进行使命权限下的管理维护操作,不得越权
访问。
(四)为各类用户分配的权限以满足其所在岗位最低工作要求为
准。
(五)严禁将工作账号及密码泄露给非本单位的人员。
2.密码复杂度要求:
(一)用户密码基本安全要求由密码长度、密码复杂度、密码最长
有效期组成:
(二)密码最小长度:8位;
(三)密码复杂度:至少包括数字、大小写字母及特别字符的三种
〔动态密码除外〕;
(四)密码最长有效期限:一般账户365天,管理账户180天。
3.数据备份方式:
(一)数据备份采纳全备份、增量备份、差量备份相结合的备份方
式;
(二)全备份是指对应用系统和数据库的数据文件进行完整备份;
(三)增量备份是指对上次备份后发生变动或新产生的数据文件
进行备份;
(四)差量备份是指对上次完全备份后发生变动或新产生的数据
文件进行备份;
(五)每日工作完成或加班完成后进行文件备份工作,备份位置为
本机备份和网络备份;
4.网络安全事件分类:
(一)网络安全事件是指由于自然、人为、软硬件本身缺陷或故障
等原因,对信息系统造成危害,并可能发生对本企业造成负面
影响的事件。
(二)网络安全事件分为网络攻击事件、设备设施故障、灾害性事
件和其他网络安全事件等4个基本分类,每个基本分类分别包
括假设干个子类。
(三)网络攻击事件是指通过网络或其他技术手段,利用信息系统
的配置缺陷、协议缺陷、程序缺陷对信息系统实施攻击,并造
成信息系统异常或对信息系统当前运行造成潜在危害的网络
安全事件,网络攻击事件包括如下事件:
拒绝服务攻击事件;
后门攻击事件;
漏洞攻击事件;
其他网络攻击事件。
(四)设备设施故障事件是指由于信息系统自身故障或外围确保
设施故障导致的网络安全事件,以及人为的有意或无意的破坏
导致的网络安全事件。设备设施故障事件包括如下事件:
软硬件自身故障;
外围确保设施故障;
人为破坏事件;
其它设备设施故障。
(五)灾害性事件是指由于不可抗力对信息系统造成物理破坏导
致的网络安全事件。灾害性事件包括如下事件:水灾、台风、
地震、雷击、坍塌、火灾、恐惧袭击、战争等导致的网络安全
事件。
5.网络安全事件分级:
(一)对网络安全事件的分级主要合计三个要素:信息系统的重要
程度、系统损失和集团公司会影响。
(二)依据网络安全事件的分级合计要素,将网络安全事件划分为
三个级别:重大安全事件、较大安全事件和一般安全事件。重大安全事件:指能够导致严重影响或破坏的网络安全事件,包括以下状况:会使本企业信息系统遭受严重的系统损失,产生的影响会威胁到集团公司会稳定和公共秩序,严重损害本企业利益;
较大安全事件:指能够导致较严重影响或破坏的网络安全事件,包括以下状况:会使信息系统遭受遭受严重的系统损失,造成集团公司会影响,损害中心利益;
一般安全事件:指能够导致一般影响或破坏的网络安全事件,包括以下状况:会使信息系统遭受一般的系统损失,损害员工和部门利益。
2
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
