以下为《公司网络与信息安全管理办法》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

**_*

网络与信息安全管理办法

总 则

为了加强**_*（以下简称“公司”）网络与信息安全，根据国家有关法律法规和《**_*网络与信息安全管理办法》，***实际，特制定本办法。

网络与信息安全管理的总体目标是确保网络、信息和信息系统的保密性、时效性，切实保护网络与信息系统正常、有效运行。

网络与信息安全管理的原则是规范、预防、注重实效、分权制衡、应急、灾难恢复等。

安全组织机构

公司网络安全与信息化工作领导小***网络与信息安全管理的领导机构，办公室***信息办。

各子（分）公司网络与信息安全管理工作由***信息化相应领导机构负责。

公司网络安全与信息化工作领导小组主要负责审批系统总体安全策略、安全技术框架、安全管理策略、安全总体建设规划、安全详细设计方案等。

公司信息办主要负责***网络与信息安全管理员，聘请信息安全专家，修订和***网络与信息安全管理制度，审批业务部门系统权限申请，***信息系统安全等级保护工作、***及子（分）公司网络与信息安全的培训和会议并组织考核。

各子（分）公司的网络与信息安全责任部门主要负责落实本单位网络与信息安全管理员，原则上有网络或信息系统的单位必须落实至少一名具有计算机相关专业知识的专职网络与信息安全管理员，有专业信息系统机房的单位须在此基础上按机房规模和业务复杂程度增配专职网络与信息安全管理员。该岗位人员负责***网络与信息安全管理制度，制定本单位相应的系统管理制度细则，负责本单位自建信息系统安全等级保护工作。

公司数据中***数据总中心和若干业务数据分中心（如大型矿业项目、特色建材项目）等组成。各数据分中***数据总中心归口管理。各数据分中心的信息安全根据信息系统安全等级保护要求，***网络及信息安全管理办法，制定各数据分中心的网络及信息安全管理办法并执行。

系统用户安全管理

网络与信息安全管理工作涉及的人员有企业内部人员和外部人员。

企业内部人员包括信息办负责人、安全管理员、系统管理员、数据库管理员、服务器管理员、机房管理员、网络管理员、业务部门负责人、业务部门系统管理员、子（分）公司及其下属关联企业业务部门负责人、系统用户。

信息办负责人负责的工作内容按本办法第六条执行；

安全管理员主要负责根据国家关于信息系统安全等级保护的有关规定和基本要求，结合本办法进行系统安全保障方案的制定、系统安全检查和系统权限审核，督促系统管理员和系统用户针对安全隐患进行排查和整改；对系统进行日常运行、系统漏洞、数据备份、报废后的处理等情况的检查，填写安全检查表格，汇总安全检查数据，形成安全检查报告，并对安全检查结果按月进行通报，每月1日前***信息办（见附件1：网络与信息安全情况月报表）；定期备份安全设备的安全策略及网络设备的配置信息。

系统管理员负责根据业务部门确认的系统访问申请对系统进行操作，并及时反馈操作结果；

数据库管理员负责管理系统后台数据库的访问权限，记录和控制对数据库的操作（附件2）；

服务器管理员负责管理系统应用服务器和数据库服务器的访问权限，记录和控制对服务器的操作；服务器病毒防控及病毒日志记录；

机房管理员负责控制、鉴别和记录进入机房的人员，以及人员对机房内设施的物理访问；

网络管理员负责控制和记录系统用***局域网的逻辑访问，设计和部署防火墙、入侵防御系统（IPS）、防毒墙等设施的安全策略，监控和防范非法入侵；应封闭除保证系统正常运行以外，一切非必须的对系统所在服务器访问的端口和协议。

业务部门负责人负责审核各子（分）公司对应的业务部门及业务人员提交的系统访问申请，包括增加、修改、删除与业务相关的系统参数，以及用户、权限、流程等；

业务部门系统管理员负责审查系统账号，受理子（分）公司提交的系统访问申请并跟踪落实；每月应对所负责的系统中的账号进行审查，发现有授权不当或冗余的账号应及时将更改要求提交系统管理员。

子（分）公司及其下属关联企业业务部门负责人负责审核下属机构对应业务部门及业务人员提交的系统访问申请。

系统用户负责保管根据本办法授权得到的系统账号及密码，在业务部门授权范围内操作相应系统。

外部人员指系统开发、实施单位人员。在系统开发、实施或维护前须签订保密协议或在实施合同中订立保密条款。需临时使用系统密码时，应填写使用申请表，公司须经信息办和对应的业务部门审核同意后在规定期限内使用，各子（分）公司须信息安全责任部门和对应的业务部门审核同意后在规定期限内使用。

系统管理员、数据库管理员、服务器管理员、机房管理员每次设置、启用或变更密码或钥匙时须及时将密码或钥匙装入信封，在骑缝处加盖个人名章或签字，并填写登记表。

系统用户离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸质文档等。发生岗位变化或离岗，系统用户应至少提前3个工作日将其所有系统访问权限终止。公司统一建设的信息系统，公司本部系统用户向本部门申请后报信息办审核，各子（分）公司通过本单位业务部门上报交通***相应业务部门审核后报经信息办审核。各子（分）公司自建系统由各子（分）公司系统用户所在部门报网络与信息安全责任部门审核。

系统用户凭账号和密码或令牌卡或U盾等可唯一识别用户身份的载体登录系统进行业务操作，禁止使用他人账号、密码或将账号、密码泄露给他人。密码需符合以下规定：

（一）密码不能设置为名字、生日或具有重复、顺序等规律的容易猜测的数字和字符串。密码长度须大于8位，并采用字母、数字、符号等组合方式；

（二）密码应定期修改，间隔时间不得超过三个月，连续的三次密码不得重复；

（三）不得将密码以明文形式存放在手机、U盘、未加密的电脑中或进行传递，用电子文档记录的，必须将该电子文档加密并更改文件名和文件类型。

系统建设安全管理

信息系统应制订专项安全解决方案。统一考虑包含系统安全技术框架、安全管理策略、详细设计方案，并形成配套文件，组织相关部门和有关安全技术专家进行文件的合理性、正确性的论证和审定，并经过规定的审批程序批准后发布执行。

信息系统建设过程中的信息系统立项、变更、验收等方面的网络及信息安全管理要求，参照《信息化项目建设管理办法》执行。

系统运维安全管理

信息系统软硬件资产、智能打印复印设备须建立资产清单，其内容应覆盖资产责任人、所属级别、所处位置、所处部门等方面；根据信息的重要程度、敏感程度或用途不同进行分类；依据资产的重要程度对资产做出不同的标识；资产的使用、借用、维护、传输和存储管理，申请人应填写申请表（附件3），资产管理人员、维护人员作记录。

存储介质送出维修时，应对外部单位人员填写登记表。存储介质的存放环境应注意防潮、防盗、防火、防磁。存储介质报废后应销毁，不能销毁的介质应进行消磁处理，由安全管理员监督和检查。

对配套设施、软硬件维护根据电子类产品维修流程执行。

中心机房由系统管理员管理。任何进入中心机房的人须先填写申请表（附件4），经系统管理员书面确认，机房管理员登记并陪同进入中心机房。中心机房报警时，应立即离开机房。任何人对中心机房设备操作须先经系统管理员书面确认操作步骤。系统管理员每天一次对中心机房进行日常巡检（附件5），并记录结果，若有异常情况，须立即联系厂商进行检查和维修。

终端计算机、工作站、便携机、系统和网络等设备须有操作手册，内容应涵盖主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作规程。要求服务器、存储、备份等关键设备放置在标准机房内。

私人和外单位电脑***网络时，须填写申请表,经公司信息办审核后在指定的网络交换机端口或无线AP上开通网络接入，访问系统还须经相应业务部门批准。

公司所有终端设备的MAC地址必须经信息办登记备案后才允许***网络，网络交换机端口均与终端网卡的MAC地址绑定，无线AP必须设置至少三个月一次更换的访问密码或与身份认证系统绑定。

系统管理员须根据厂家提供的软件升级版本及时对网络设备进行更新，并建立和保留网络设备升级更新的工作记录，安全管理员对结果定期检查及监督。

在安装系统补丁前，应首先在测试环境中测试通过，保障安全和系统正常运行的情况下，安装系统的最新补丁程序，并对重要文件进行备份后，方可实施系统补丁程序的安装。

***内网各信息管理系统的桌面电脑，须安装配置集团统一信息系统桌面安全管理平台控件，并安装任一款防病毒软件。不符合以上条件的桌面电脑无法***内网。桌面电脑硬件更新后，系统在一个月内会要求重新用户信息认证，通过后可继续***内网。

数据库数据至少每月备份一份。所有数据备份文件，均自动存放于磁带库或备份服务器中，条件具备时应进行远程异地备份。建立需要定期备份的重要业务信息、系统数据、软件系统的列表或清单。制定数据备份和恢复策略文档，内容覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面。日志文件每3个月备份一次，并刻录成光盘保存或者进行实时的异地备份，日志文件必须确保记录是无缺失的，保存期限一年（其中涉及财务系统的日志保存期不得低于三年）。

公司本级和各子（分）公司应建立系统应急预案（附件6）。包括应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面。包括应急小组人员名单、应急设备清单、第三方技术支持人员名单和财务概算等。根据应急预案框架制定不同事件的专项预案。进行应急预案培训、演练和相关记录。对应急预案至少每年一次进行可用性、适宜性审查并根据实际情况更新。安全事件须向本单位分管领导报告，各子（分）公司安全事件***信息办备案。

应用系统的日常运维安全，要求建立故障处理机制并形成日志和记录，内容应包括故障报告，调度处理，事件分析总结等。

信息系统安全等级保护

根据《关于加快推进我省国有企业信息安全等级保护工作的通知》（浙公通字[2011]37号）要求，重要网络信息系统须委托有资质机构进行系统定级和系统安全等级保护测评，并具有公安机关出具的信息系统定级结果的批复文件。

网络与信息安全等级保护定为三级及以上的信息系统必须至少一年进行四次安全检查，定为二级及以下的信息系统必须至少一年进行二次安全检查，安全管理员对结果进行记录，记录结果须向本单位分管领导汇报，各子（分）公司结***信息办备案。

网站安全管理

信息发布申请单位、个人应当确保发布信息准确、真实，符合国家有关的各项法律、法规制度，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。不得制作、复制、查阅和传播下列信息：

1.煽动抗拒、破坏宪法和法律、行政法规实施；

2.煽动颠覆国家政权，推翻社会主义制度；

3.煽动分裂国家、破坏国家统一；

4.煽动民族仇恨、民族歧视、破坏民族国团结；

5.捏造或者歪曲事实、散布谣言，扰乱社会秩序；

6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；

7.公然侮辱他人或者捏造事实诽谤他人，有意***稳定局面；

8.损害国家机关信誉；

9.其他违反宪法和法律、行政法规。

各单位应落实信息审查制度并形成日志和记录。

加强网站日常安全检测，严格落实网站防攻击、防篡改、防挂马等技术防护措施，应用系统、数据库、服务器配置日志服务，建立健全信息网络安全事件倒查机制，确保各项措施责任落实。

要求各级子（分）公司每月针对外网网站、官方微博、微信公众号、移动APP等互联网上信息发布平台开展专项网络安全检查。重点检查账号密码强度、信息发布审核和快速应急处置等安全制度落实情况。对检查中发现的突出问题和安全隐患要及时封堵、限期整改。

外网发布的网站须向通信管理局及全国公安机关互联网安全管理服务平台（doc.001pp.com.cn）报备并获得备案号。备案号须发布在网页首页明显位置。

生产系统安全管理

生产系统指与工业生产设备通过网络联接的应用系统。生产系统责任单位负责编制和审批生产系统及设备年度大修、更新及日常检修计划，并组织实施。

生产系统责任单位负责组织生产系统及设备故障分析和处理，制定防范措施，提高生产系统及设备保障能力。

生产系统责任单位负责掌握生产系统及设备的运行情况，每年定期组织对生产系统及设备管理工作的检查及考核，保证生产系统及设备正常运行。

生产系统责任单位应落实生产系统管理安全岗位责任制度、岗位巡检制度、维护保养制度、岗位交接班制度及根据实际情况编制其他管理制度。

生产系统责任单位应建立生产系统及设备管理档案，包括工程竣工资料、购置技术协议、供货商随机成套资料、系统台账和档案资料、系统检修维护作业规程、系统及其附件检修校验单、系统技术更新改造资料、设备鉴定证书和合格证及根据需要建立其它相关档案。

生产系统责任单位负责在生产系统及设备拆除或投用前，必须进行风险识别，编制相关规程和事故预案，开展技术培训，确保人员和生产系统及设备的安全。

责任追溯

违反本办法泄露数据信息，将酌情追究当事人及所在单位责任***范围内通报批评。凡子（分）公司本级及所属分支机构发生了：1、互联网可直接访问的系统发生法律、行政法规禁止的信息被发布或被传输的事件；2、信息系统数据丢失或被篡改，造成企业生产经营遭受影响或损失的重大两类网络与信息安全事故，受到通报批评的均要扣减子（分）公司领导班子成员的绩效年薪。

1.被***或交通***通报批评扣减为5%~15%。

2.被省网络与信息安全信息通报中心通报批评扣减15%~30%。

3.被省委网络安全和信息化领导小组办公室通报批评扣减30%~50%。

若同时被多个管理机构通报批评的，按被层级高的机构通报批评扣除绩效年薪，情节特别严重或多次发生网络安全事件的则从重处罚。

凡子（分）公司本级及所属分支机构未明确履行《**_*网络与信息安全管理工作目标责任书》中重要工作目标的，虽未发生网络与信息安全事件的酌情扣减绩效年薪1%~5%。

对有责事故和事故发生后处置不当的，应按照责任大小和性质分别对相关单位和事故责任人给予行政和经济责任追究。具体根据有关法律法***相关规定予以处理，行政处分可分为警告、记过、记大过、降（撤）职和辞退。

泄露个人档案或财务等商业机密，将提交司法机关处理。

附 则

本办***信息办负责解释，自发布之日起施行。

附件1

网络与信息安全情况（ ）月报表



填报单位（章）

 审核人：

填报人：



填报日期：





有害信息传播

网络与信息安全事件苗头

网络违法犯罪活动



方式

影响程度

类型

名称

预测威胁期

形式

受损情况



























































































网络与信息安全事件



类型

名称

发生时间

受损情况

发现渠道

破坏情况







起

止

应用系统

网络设备数

服务器数

PC机数































































































附件2

系统设备操作使用申请单

档案号：

设备名称



设备档案号





计划操作时间

年 月 日 时 —— 年 月 日 时



实施单位





申请人



操作人





申请操作使用对象:□PC服务器（IP地址： ）

□小型机（ IP地址： ）

□网络设备（ IP地址： ）

□其它（请注明）：



申请操作使用权限:□指定设备（请注明）：

□指定文件夹（请注明）：

□指定应用程序（请注明）：

□所有文件夹

□所有应用程序

□其它（请注明）：



申请事由和操作内容:

申请人签字：　　　 申请时间：　　　　年　　月　　日



业务部门项目主管意见:

签字：　　　　 时间：　　　　年　　月　　日

科技信息部项目主管意见:

签字：　　　　 时间：　　　　年　　月　　日



业务部门负责人意见：

　　　　年　　月　　日

科技信息部负责人意见：

　　　　年　　月　　日



操作记录:

签字：　　　　 时间：　　　　年　　月　　日



填表说明：１.涉及影响业务系统事项的，须征得对应业务部门同意，对业务系统产生重大影响的维护需

征得业务部门和信息办负责人同意。

２.本表由申请人、服务器管理员存档。

附件3

系统资源使用申请单

档案号：

拟申请的资源名称



档案号





申请事由及

相关技术要求





申请单位(人)



要求启动时间





业务部门项目主管意见:

签字：　　　　 时间：　　　　年　　月　　日

信息办项目主管意见:

签字：　　　　 时间：　　　　年　　月　　日



业务部门负责人意见：

　　　　年　　月　　日

信息办负责人意见：

　　　　年　　月　　日



操作记录:

签字：　　　　 时间：　　　　年　　月　　日



填表说明：1.涉及影响业务系统事项的，须征得对应业务部门同意，对业务系统产生重大影响的维护需征得业务部门和科技信息部负责人同意。

2.本表由申请人、服务器管理员存档。

3.申请人为单位的需盖章，申请人为个人的需签字

附件4

出入机房人员登记表

年 月

日期

进出时间

来访者

签名

人数

单位

事由

科技信息部

陪同人签名

批准





进

出



































































































































































































































































































































































注：外单位访客须经科技信息部负责人同意，并作登记附件5

日常巡检记录

环境



项目

状态

参考指标



机房配电柜

A柜



无报警





B柜



无报警



UPS

1号机



无报警





2号机



无报警





1号机负载





以上为《公司网络与信息安全管理办法》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。