X公司网络与信息系统安全实施办法（试行）.docx

X广电网络股份有限公司网络与信息系统安全实施办法（试行）2022年7月第一章总则3第二章职责分工4第三章网络安全规划设计6第三章建设管理6第四章测试与评估7第五章系统运行8第七章网络安全应急处置11第八章数据安全11第九章人员管理12第十章供应链管理13第十章检查考核13第十一章附则15第一章总则第一条为规范X广电X网络股份有限公司（以下简称省公司）网络安全管理工作，防范网络安全事件，保障国家关键信息基设施安全，依据X广电网络股份有限公司网络与信息系统安全管理办法及国家相关法律法规、政策及有关制度，制定本办法。第二条本办法中网络安全保护对象主要包含公司管理信息互联网和安全播出的相关的网络、平台、系统、数据、设备和终端等。第三条公司各级党组织对本单位网络安全工作负主体责任，公司各部门、各分（子）公司实行以本单位主要负责人为网络安全第一责任人的网络安全工作责任制。第四条公司各部门、各分（子）公司应坚持“同步规划、同步建设、同步使用"的理念（以下简称“三同步”），遵循“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的原则，按照管业务必须管安全，严格落实网络安全管理责任,建立网络安全保障体系和监督体系。第五条公司网络安全管理工作应覆盖测试评估、在线监测、应急处置、数据安全、人员队伍、供应链、检查考核等方面。第六条本办法适用于公司各部门、各分（子）公司。第二章职责分工第七条省公司网络与信息安全职责（一）全省安全播出与网络安全、“三电”设施安全专项领导小组主要负责落实国家网络安全和信息化工作的方针政策，研究审议公司网络安全和信息化发展战略、规划、重大项目建设方案，研究解决公司网络安全和信息化工作中的重大事项。全省安全播出与网络安全、“三电”设施安全专项领导小组下设全省安全播出与网络安全、“三电”设施安全指挥部，负责具体指挥调度各分（子）公司及省公司各部门共同做好网络安全保障工作。（二）全省安全播出与网络安全、“三电”设施安全指挥部下设指挥部办公室，办公室设在省公司技术部，指挥部办公室负责公司网络与信息安全统筹管理及归口管理；负责公司信息系统的网络安全防护技术及相关标准和管理制度的研究、制定；负责组织开展公司网络安全防护方案审核;负责组织推进网络安全“三同步”；负责组织开展公司信息系统及互联网的网络安全专项任务制定及执行情况督查、渗透测试、应急预案演练、实战攻防、安全培训、重大时期网络安全保障等工作。（三）省公司各部门根据职能职责划分，在公司安全播出与网络安全、“三电”设施安全指挥部办公室领导下，按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。负责本部门的相关领域（业务系统、业务数据和业务终端）的安全管理工作并承担相应的网络安全责任；负责提供网络安全管理相关数据；配合制定相应安全策略和技术要求；开展安全测评、风险评估和隐患排查治理等工作；负责对本部门自行建设的信息系统进行安全防护；负责本部门业务运营安全和数据使用安全。（详见附件1各部门及分子公司网络安全职责）第八条市级分公司网络与信息安全职责各市级分公司参照省公司网络和信息安全职责分工，建立网络安全和信息化组织机构，落实所辖全域网络安全归口管理责任，落实国家、行业和公司有关网络安全法律法规、方针政策、标准规范；负责本区域网络安全管理工作；负责组织制定本区域网络安全管理细则；负责落实本区域网络安全防护方案、网络安全等级保护、应急管理、督查通报、风险评估、隐患排查治理和重大活动网络安全保障。第九条区县分公司及子分公司网络与信息安全职责各区县分公司及子分公司参照省公司网络和信息安全职责分工，建立网络安全和信息化组织机构，落实本单位网络安全归口管理责任，落实国家、行业和公司有关网络安全法律法规、方针政策、标准规范；负责本单位网络安全管理工作；负责组织制定本单位网络安全管理细则；负责落实本单位网络安全防护方案、网络安全等级保护、应急管理、督查通报、风险评估、隐患排查治理和重大活动网络安全保障。第三章网络安全规划设计第十条公司信息化系统的规划设计，需对业务需求、安全需求进行统筹分析，形成项目技术方案书，项目技术方案书应包含网络安全相关内容。第十一条公司安全播出指挥部应按照国家网络安全等级保护制度要求，确定信息化系统网络安全保护等级和安全防护要求，网络安全防护方案需通过审核后才能进行项目建设实施。第四章建设管理第十二条严格按照公司网络安全防护体系和保障设计要求，开展各类网络、系统和终端的建设。第十三条网络设备、信息系统建设应符合国家相关标准的要求，网络设备、信息系统提供者不得设置恶意程序或代码。第十四条测试演示系统搭建，应先向本级的安全播出与网络安全、“三电”设施安全指挥部办公室报备，获得批准后方可部署，测试周期不得超过30个工作日。第十五条信息系统涉及到的密码和认证技术的设计和建设，应基于国家密码技术规范开展；涉及到有法律效力要求的电子签名技术，应严格按照国家商用密码管理的有关规定执行。第五章测试与评估第十六条公司投建的微信应用、移动终端应用程序、小程序等信息系统安全测试要求如下：（一）信息系统上线前，为加强系统的安全性、稳定性和容错性，需通过公司安全播出与网络安全、“三电”设施安全指挥部办公室组织的安全基线检查。未通过的系统需对问题逐一整改，直到检查通过后才能上线运行。安全基线检查内容包含：网络安全、系统性能、并发性、业务负载等。（二）公安部颁发的计算机信息系统安全专用产品销售许可证可作为网络安全产品、信息系统的上线安全测试依据。第十七条网络安全风险评估、等级测评和密码评估管理要求如下:公司各部门、各分（子）公司应定期组织开展信息系统的风险评估、等级测评工作；公司关键信息基础设施系统必须通过密码评估工作。对存在的问题开展整改，并将结果报送公司安全播出与网络安全、“三电”设施安全指挥部办公室。第十八条信息系统在验收完成前，需通过本级安全播出与网络安全、“三电”设施安全指挥部组织的网络安全评估，确保相关的安全措施部署落地及应用生效。第六章系统运行第十九条信息系统应部署在符合公司网络安全管理要求的平台上，各类网站、移动终端应用程序等信息系统禁止托管在无资质的第三方云平台。第二十条接入安全管理要求如下：（一）应按照等级保护、安全基线规范、远程端口访问规范以及公司网络安全总体防护方案要求，落实用户真实身份信息，加强对接入的各类系统、设备及终端的安全测试和备案管理。（二）银行、政府以及其他企业或第三方机构需要与公司进行专线连接的，由公司各级安全播出与网络安全、“三电”设施安全指挥部办公室统一管理。（三）办公计算机接入公司网络前，应安装防病毒软件，满足公司终端网络安全管理要求；涉及对安全播出的计算机进行数据交换时，应采用专用移动存储介质；严禁办公计算机、外设等终端在公司不同网络间交叉使用。（四）加强对非集中办公区域网络接入的安全管理，核实用户真实身份，严格履行接入审批程序。第二十一条互联网1P地址管理（一）公司互联网1P地址分配及使用部门均应建立本单位的1P地址管理制度，加强对公司互联网1P地址资源的使用和管理。（二）互联网1P地址的使用实行备案管理，互联网1P地址使用须进行审批，审批通过后才能使用；各部门和分公司要建立互联网1P地址使用统计表，定期（每月1号）将更新后互联网1P地址使用统计表报省公司安全播出与网络安全、“三电”设施安全指挥部办公室备案。第二十二条运维安全要求（一）机房管理方面。加强机房出入管理，对机房建筑采取门禁、值守等措施，防止非法进入；外来人员进入机房应由相关管理人员全程陪同，相关操作需纳入机房监控管理;强化终端及网络的安全基线配置，防止非法接入公司信息网络事件的发生。（二）账号与口令管理方面。所有口令长度应大于等于8位，且包含字母、数字和特殊字符；所有信息系统、基础平台、设备（终端）移交后，建设单位应向运维单位移交所掌握的账号与权限。（三）端口与漏洞管理方面。各类信息系统上线前，应完成系统端口开放用途的核查工作，不符合要求的应禁止上线；运行过程中，各信息系统的网络安全责任部门应定期开展端口的排查与治理、漏洞的排查和修复。（四）远程运维管理方面。开展远程运维工作应履行审批程序，并对各项操作进行监控和记录。（五）安全审计方面。应实现日志集中管理、异常自动检测，强化运维审计；实现对安全设备、网络设备、服务器、终端、数据库、中间件、业务应用、云平台等的安全审计,做好事中、事后的问题追溯，记录信息系统运行状态、安全事件；日志留存应不少于6个月。（六）系统下线管理方面。无人认领的设备或系统，应第一时间做下线处理；对存在重大网络安全隐患的设备或系统，应进行下线处理，确实无法下线的需制定专项防护方案;针对老旧系统，运行维护单位应及时会同业务主管部门评估并推动系统下线工作；系统下线应确认残留风险以及是否对其它系统造成影响；报废设备的关键存储部件应进行数据擦除和销毁处理。第七章网络安全应急处置第二十三条公司各部门、各分（子）公司要制定本单位的网络安全应急预案和处置措施，建立应急保障机制，定期组织开展网络安全应急演练，组织实战攻防对抗演习，提升应对网络安全事件的应急处置能力。第二十四条建立建全网络安全信息报送机制，发生网络安全攻击和事件后，事件发生部门第一时间向本级公司安全播出与网络安全、“三电”设施安全指挥部办公室上报，本级安全指挥部办公室根据网络安全应急预案，实施应急处置，并根据网络安全事件等级和上报要求进行逐级上报。第八章数据安全第二十五条应按照国家相关要求管理敏感数据。第二十六条公司各部门、各分（子）公司梳理本单位相关重要数据，强化重要数据识别，明确数据保护对象，建立数据资产目录。第二十七条加强数据在存储和传输过程中的安全管理,要求如下：（一）涉及公司各信息系统、设备产品的开发文档、程序代码，禁止在互联网传输、存储和运行。（二）禁止在互联网传输和存储公司敏感数据。第二十八条公司内部共享数据时，由数据使用方提出申请，经审批通过后方可使用，并将数据使用事项报公司安全播出指挥部备案。第二十九条除国家机关依法调取数据外，原则上公司业务数据不对外提供。若确有需要，应明确数据使用范围、途径等，并签订保密承诺书。第三十条应按照相关法律、法规建立健全用户信息保护制度，确保用户个人信息在收集、使用、存储过程中的安全；收集个人信息应取得用户同意后，遵循最小化原则，不得收集与其提供服务无关的个人信息。第九章人员管理第三十一条公司各单位应加强网络安全人员培养和专业队伍建设管理：（一）严格落实公司网络安全岗位配置要求，对录用的网络安全从业人员的工作背景、专业技术等进行严格审查,严禁有网络安全违法行为或不良记录的人员从事涉及网络安全的相关工作；涉及网络安全的相关人员需和公司签订网络安全承诺书，严格控制各类网络安全敏感材料扩散，禁止敏感信息泄露。（二）每年应组织网络安全岗位人员进行专业培训和评价；每年应组织开展全员网络安全知识培训和宣贯。（三）网络安全人员发生岗位调动、离职等工作变化时,应在调动（离职）前收回相关访问权限并签署保密协议，调动（离职）账号无法注销的，应立即修改口令，由网络安全管理员统一管理。第十章供应链管理第三十二条应按照国家、行业和公司有关法律法规，定期完善供应链规章制度要求，建立网络安全产品和服务采购审查机制。采购网络安全规划建设、安全运维、咨询服务等服务前，应对其资质、背景和网络安全从业情况进行核查。第三十三条网络安全产品招标采购过程中，应包含网络安全评标专家。第三十四条应通过签订合同、协议等方式，明确承建单位、服务厂商的网络安全责任，确保合同期内网络产品和服务的安全可靠。第十一章检查考核第三十五条公司各部门、各分（子）公司应定期对本单位的网络安全防护措施、软硬件设备的相关技术进行检查，对不满足国家标准的产品和技术督促整改；对存在重大安全隐患和安全问题的设备和产品，可作为不良厂商考核的依据。第三十六条安全播出指挥部应加强网络安全监督、检查、通报、考核：（一）完善网络安全检查体系。以国家法律法规、安全播出、网络安全管理制度等为依据，完善网络安全监督检查机制。（二）应制定网络安全检查方案，开展常态化网络安全检查。对存在的问题和漏洞应制定整改台账清单，对逾期不改的应进行通报；对公司发生的网络安全事件和漏洞，及时开展调查、处置和通报。（三）应建立网络安全评价和考核机制，制定网络安全评价标准和评价方法，将网络安全纳入公司各部门、各分（子）公司绩效考核。（四）应建立网络安全违规问责机制，根据违规情形和事件影响范围，明确约谈、罚款、警告、记过、降级、撤职、开除等处罚措施，确保问责见效。第三十七条违反中华人民共和国网络安全法、中华人民共和国密码法、中华人民共和国数据安全法、中华人民共和国个人信息保护、关键信息基础设施安全保护条例、广播电视安全播出管理规定等国家法律法规的单位和个人，应按照国家法律法规有关规定办理。第十二章附则第三十八条本办法由公司安全播出与网络安全、“三电”设施安全指挥部负责解释并监督执行。第三十九条本办法自印发之日起施行。