公司网络安全管理办法.docx

公司网络安全管理办法第一章总则第一条为加强公司网络安全管理，保障公司网络安全，根据集团公司网络安全管理相关制度，结合公司实际，制定本办法。第二条本办法适用于公司及所属单位网络安全管理。第三条本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。第四条本办法所称网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力，主要包括信息系统安全、数据安全和工业控制系统安全。第五条公司网络安全实行统一管理、分级负责，遵循“谁主管谁负责，谁运行谁负责，谁使用谁负责'的原则，各信息系统的业务主管部门、运行维护和使用单位各自履行相关的网络安全职o第二章管理组织与职责第六条公司网络安全与信息化工作领导小组（以下简称领导小组）在网络安全管理工作中，主要履行以下职责：（一）落实国家网络安全政策、法律法规和集团公司网络安全管理制度、标准及工作部署，制定公司网络安全工作政策；（二）审议批准公司网络安全整体解决方案和年度工作计划;（三）决策、指挥、协调重大网络安全事件处置。第七条信息（网络）管理中心是公司网络安全管理的归口管理部门，应设置网络安全管理相应岗位，主要履行以下职责：（一）组织编制公司网络安全整体解决方案和年度工作计划;（二）组织开展公司网络安全等级保护备案和风险评估工作,制定专项应急预案并组织演练，实施网络安全事件的应急处置；（）组织开展公司网络安全检查、通报、考核和培训等工作；（四）在重要时间节点，按照集团公司统一要求编制公司网络安全保障方案并组织实施，组织开展公司网络安全突发事件应急处置；（五）负责公司信息系统、数据和工业控制系统的网络安全管理，对接入公司网络的所有设备负有管理责任。第八条各部门落实公司网络安全管理要求，承担相关业务信息系统、数据和工业控制系统的网络安全管理责任。第九条各单位落实公司网络安全管理要求，承担本单位网络安全管理责任，主要负责人是网络安全第一责任人，分管网络安全的领导是直接责任人，主要履行以下职责：（一）明确网络安全管理归口管理机构和相应岗位，完善网络安全管理制度；（二）制定专项应急预案并组织演练，实施网络安全事件的应急处置，组织网络安全自查和培训等工作；（三）负责本单位信息系统和数据的网络安全管理，对接入本单位网络的所有设备负有管理责任；（四）制定本单位工业控制系统安全管理制度、技术规范，部署防护措施，确保工业控制系统运行安全，接受国家和集团公司工业控制系统安全检查，并落实整改要求。第十条信息技术服务中心落实执行公司统一的网络安全策略，主要履行以下职责：（一）参与编制公司网络安全整体解决方案，实施网络安全等级保护测评等技术支持工作；（二）制定网络安全操作规程，执行规章制度，监测系统风险，及时修复系统漏洞；（三）落实网络安全预警、通报、跟踪、复核等工作；（四）在重要时间节点，落实执行公司网络安全保障方案，在公司统一组织下开展网络安全突发事件应急处置；（五）制定负责运维的信息系统应急预案，定期组织演练；（六）负责桌面安全管理系统、网络安全检查平台等相关网络安全系统的运行维护工作。第三章基本要求第十一条公司网络由内网、外网和工业控制网络构成。内网通过自建或租用数据链路组网，提供对内服务，与外网逻辑隔离，通过外网访问互联网。外网是承载互联网接入和服务的交互网络，由集团公司统一提供。工业控制网络是公司和各单位为实现工业生产自动化控制组建的专网，由具有数字通信能力并能大量分散在生产现场的测量控制仪表作为网络节点构成。工业控制网络与内网连接采用物理隔离、单向隔离或者强逻辑隔离中的一种，隔离方案按照集团公司要求进行审核。网络服务采取用户实名制管理，用户办理网络接入、终端接入和账号开通时，应提供真实身份信息。第十二条在内网接入和使用中，禁止以下危害内网安全的行为：（一）宾馆、学校、家属区等非主营业务网络与内网直接互联；（二）未经许可，非公司员工自带设备接入内网；（三）在内网中传输、存储、处理涉及国家秘密的信息；（四）在内网中自建互联网出口、虚拟专用网络（VPN）和卫星通信系统；（五）内网中的计算机为其他终端提供网络接入或互联网访问服务；（六）通过网络地址转换（NAT）或者类似的地址转换技术接入内网；（七）在内网中提供游戏等危害内网运行安全的非业务应用；（八）其他危害网络安全的行为。第十三条公司按照国家网络安全等级保护工作要求，遵从公安机关属地化管理开展信息系统定级备案、等级测评、安全建设整改和安全检查等工作。第十四条对于计算机机房、网络设备和服务器等关键基础设施，运行维护单位应明确安全管理负责人，设置相应的安全管理岗位，制定和落实安全管理制度。第十五条按照集团公司安全基线标准配置网络设备和服务器，升级或安装必要的系统补丁，记录设备网络运行状态和事件,留存相关的网络日志不少于六个月。第十六条办公计算机和信息终端设备接入内网，应配置计算机安全基线并安装集团公司统一的桌面安全、防病毒和端点准入等客户端软件，防病毒软件应打开定期扫描和实时监控功能。第十七条工业控制系统在规划、建设、应用等阶段应落实安全防护措施，上线前应通过风险评估，定期开展工业控制系统安全检查，及时进行问题整改。第十八条员工使用公司网络应遵守以下基本要求：（一）禁止利用网络危害国家安全，违反国家法律，泄露国家秘密以及从事违法犯罪活动，侵犯国家、社会和公民合法权益;（二）禁止以任何理由、形式使用任何设备或软件攻击网络系统，以及破解、窥探、窃取、删除、更改其他用户使用的数据及信息，禁止未经授权的网络扫描等行为；（三）禁止在办公计算机安装微信、QQ等网络通讯工具、网盘客户端；禁止在办公计算机安装和处理其他与工作无关的软件、数据和信息，不应下载盗版及来历不明共享软件；（四）用户在使用信息系统前应确保使用环境、浏览器及客户端软件安全，不应打开来历不明的邮件附件、网络链接；（五）须保管好个人的各类信息系统账号、密码及注册信息,不得将账号转让他人使用，严禁账号密码明文存储、传输；（六）须主动向本单位信息部门上报网络安全事件和隐患；（七）遵守各信息系统使用要求，未经授权不得篡改、删除、拷贝、传输系统数据；（A）禁止在互联网上传播、存储涉密资料、内部资料或敏感数据；（九）应使用集团公司统建的电子邮件和即时通信系统进行工作信息交流、文件传输等，禁止使用企业电子邮箱注册互联网应用。第四章信息系统安全管理第十九条信息系统在方案设计、开发建设和推广应用各阶段，建设与运维单位应保证信息系统与网络安全技术措施同步规划、同步建设、同步使用，采取相应管理措施及技术防范措施履行网络安全义务。第二十条信息系统应遵照最小化原则配置系统服务，关闭不必要端口。第二十一条信息系统的生产环境须与开发测试环境严格分离，开发测试人员不得使用真实生产系统数据。第二十二条禁止信息系统运行维护单位通过互联网对信息系统进行远程运维，在内网进行远程运维应严格限定运维终端并加以保护，对各项操作进行监控和记录。第二十三条信息系统用户包括系统管理员和普通用户，系统管理员包括网络管理员、操作系统管理员、数据库管理员、应用系统管理员等特权用户。第二十四条网络、操作系统、数据库、应用系统等信息系统管理员应职责分离。重要信息系统可根据需要设立安全管理员和审计管理员。第二十五条信息系统管理员未经允许不得创建、删除用户账号，不得更改权限和系统功能，不得删除系统日志和报警信息，严禁查看和复制信息系统中的业务数据。第二十六条信息系统管理部门应定期核实信息系统的用户变动情况，变更用户权限，保证系统的合规使用。因工作变动或其他原因不再使用信息系统的用户，应停用账号。第二十七条在应用系统上线前，须通过网络安全等级保护测评，对临时、测试、开发、共用用户账号以及为承包商提供的用户账号进行清理和删除，对于不能删除或注销的用户账号，应更改用户账号密码。第二十八条信息系统用户必须设置登录密码，密码设置需符合以下安全要求：（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据；（二）密码的长度不少于12位，密码应包含大小写字母、数字、非字母字符；（三）密码应90天更换一次；（四）用户账号的初始密码应立即进行更改。第五章数据安全管理第二十九条公司及各单位应采取措施加强数据安全管理，规范数据分类、存储、备份、传输、销毁及涉密数据保密等工作。第三十条业务管理部门应梳理本业务领域重要数据，强化重要数据识别，明确数据保护对象，建立数据资产目录，对重要数据进行保护。第三十一条在我国境内产生数据应在境内存储，确需向境外提供，应按照国家和集团公司要求进行安全评估、审批与报备；出国人员未经审批不得携带公司重要数据出境；由境外产生并跨境传输至境内的数据，应按照国家有关要求进行防护。第三十二条应通过签订合同、保密协议、保密承诺书等方式,确保内外部合作单位和承包商的数据安全管控；严禁外部合作单位、技术支持单位和承包商在对互联网提供服务的网络和信息系统中存储或运行公司商业秘密数据和重要数据。第三十三条报废和更换设备应对关键存储部件进行数据擦除，对于存储重要数据的存储部件应进行销毁处理。第三十四条数据库管理员应严格限制数据库的访问权限，对重要信息系统的数据库服务器实行双机热备份，重要的业务数据必须进行多重、异机、异地备份，定期分析数据库的安全审计日志，保证数据库安全。第三十五条应用系统管理员负责对重要业务数据按照备份策略做定期备份。第三十六条个人计算机用户负责对存放在用户本地计算机上和业务相关的重要数据做定期备份。第三十七条数据备份人员对备份数据妥善保管，特别重要的应异地存放，并定期进行检查，确保数据的完整性、可用性。第六章工业控制系统安全管理第三十八条工业控制网络与其他网络边界之间须部署边界安全防护设备，实现安全访问控制，阻断非法网络访问，严格禁止没有防护的工业控制网络与互联网直接连接，禁止没有采取有效防护措施的工业控制网络与内网连接。第三十九条工业控制系统主机上应采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。第四十条应对工业控制系统中网络、主机和控制设备进行安全配置，建立工业控制系统配置清单，定期进行配置审计。第四十一条应对工业控制系统重大配置变更制定变更计划，明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项，进行影响分析并形成分析报告，配置变更实施前进行严格安全测试。第四十二条应对工业控制系统中重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。第四十三条拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。第四十四条在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。合理分类设置账号权限，以最小特权原则分配账号权限。第四十五条严格禁止工业控制系统面向互联网开通HTTP、FTP、T等高风险通用网络服务。确需远程访问的，应建立远程访问审批流程，采用数据单向传输、数据加密、原地址限制等访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。第四十六条应保留工业控制系统设备、应用等访问日志，并定期进行备份，通过审计人员账号、访问时间、操作内容等日志信息，追踪定位非授权访问行为。第四十七条应在工业控制网络部署网络安全监测、检测设备，及时发现、阻断、报告并处理网络攻击或异常行为。第四十八条应制定工控安全事件应急预案，预案包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。定期对工业控制系统的应急预案进行演练，必要时对应急预案进行修订。第四十九条应建设工业控制系统资产清单，包括信息资产、软件资产、硬件资产等。明确资产责任人，建立资产使用及处置规则，定期对资产进行安全巡检，审计资产使用记录，并检查资产运行状态，及时发现风险。第五十条应对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。第七章检查与考核第五十一条公司定期开展网络安全检查工作，检查内容包括组织机构建设、规章制度建设、安全防护措施以及公司管理办法、标准规范、培训等要求落实情况。第五十二条公司执行集团公司网络安全通报制度，对检查中中发现的问题，及时通报责任单位，整改完成后，由信息（网络）管理中心进行复核。第五十三条公司每年对各单位进行网络安全管理工作考核，网络安全管理工作考核是公司信息化工作年度考核工作的主要内容，遵照公司信息化工作考核标准进行量化打分。第五十四条出现下列情形之一的单位网络安全工作考核分值为零分：（一）被国家监管部门通报并追责的；（二）对公司生产和经营产生重大影响，后果严重的；（三）发生违规自建互联网出口、违规搭建内网VPN以及违规通过反向代理穿透DMZ区的行为；（四）公司认定的其他重大网络安全事件。第五十五条对违反本办法规定造成影响的，以及瞒报网络安全事件的单位及个人，给予通报批评；对于通报批评拒不改正的,由信息（网络）管理中心约谈单位责任人；年度被通报批评三次及以上的单位，取消评优资格。第五十六条出现下列情形之一的，对相关人员进行责任追究，涉嫌犯罪的移交监察机关处理：（一）重要门户网站被攻击篡改，导致反动言论、谣言等违法有害信息大面积扩散，且没有及时报告处置的，或者受到攻击后没有及时组织处置，瘫痪6小时以上的；（二）发生国家秘密泄露的；（三）关键信息基础设施遭受网络攻击，没有及时处置造成严重社会不良影响，或者造成重大经济损失的；（四）其他严重危害网络安全行为的。第八章附则第五十七条本办法由公司信息（网络）管理中心负责解释。