公司网络与信息系统安全管理办法全.docx
《公司网络与信息系统安全管理办法全.docx》由会员分享,可在线阅读,更多相关《公司网络与信息系统安全管理办法全.docx(35页珍藏版)》请在课桌文档上搜索。
1、公司网络与信息系统安全管理办法第一章总则第一条为加强和规范公司(以下简称公司)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。第二条本办法所称网络与信息系统是指公司XX通信网及其承载的管理信息系统和XX二次系统。第三条本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。第四条网络与信息系统安全防护目标是保障XX生产监控系统及XXXX数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控。防范
2、对XX二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于XX二次系统、管理信息系统的崩溃或瘫痪造成的XX系统事故。第五条公司网络与信息系统安全工作坚持三纳入一融合原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。在规划和建设网络与信息系统时,信息通信安全防护措施应按照三同步原则,与网络与信息系统建设同步规划、同步建设、同步投入运行。第六条管理信息系统安全防护坚持双网双机、分区分域、安全接入、动态感知、全面防护、准入备案”的总体安全策略,执行信息安全
3、等级保护制度。其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;分区分域指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;安全接入指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;动态感知指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;准入备案指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。第七条XX二
4、次系统安全防护按照安全分区、网络专用、横向隔离、纵向认证的防护原则,并遵照原国家XX监管委员会XX二次系统安全防护规定及XX二次系统安全防护总体方案等相关文件执行。第二章职责分工第八条公司信息安全工作实行统一领导、分级管理,遵循“谁主管谁负责;谁运行谁负责;谁使用谁负责;管业务必须管安全”的原则,严格落实网络与信息系统安全责任。各级单位主要负责人是本单位网络与信息系统安全第一责任人。各级单位信息化领导小组负责本单位网络信息安全(含生产控制大区和管理信息大区)的总体协调领导。第九条网络与信息系统实行专业管理、归口监督。信通部是信息安全防护的归口部门,负责管理信息系统及XX通信网的安全防护。XX中
5、心负责XX数据网络和XX二次系统的安全防护。安质部负责公司信息安全监督、检查和评价工作。办公厅(保密办)负责公司保密管理,负责信息失泄密情况的调查和处理。各业务部门负责本专业系统及终端的安全监控和防护。各级单位负责落实本单位网络与信息系统安全工作。第十条信通部主要职责如下:(一)落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度。(二)负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。(三)指导总部各部门、公司各级单位开展网络与信息
6、系统全生命周期安全管控工作,组织落实等级保护测评整改、风险评估和隐患排查治理等工作。(四)负责信息安全技术督查体系建设,组织开展公司信息安全技术督查工作。(五)协助开展网络与信息系统事件的调查处理,组织制定、落实网络与信息系统反事故措施。(六)负责信息安全态势跟踪、事件监测与分析、信息安全通报。(七)负责网络与信息系统应急管理体系建设与应急处置。第十一条XX中心主要职责如下:(一)负责公司生产控制大区(含各级XX、XX、XX、XX、负荷控制等)工控系统安全防护管理,统筹公司经营范围内并网XX涉网部分的监控系统和XX保护等工控系统安全防护的技术监督管理。(二)负责落实国家XX二次系统安全防护要求
7、,组织制定公司XX二次系统安全管理制度,指导各级单位开展XX二次系统安全防护的实施方案制定和运行管理。(三)配合完成国家有关部门对公司XX二次系统开展的风险评估和隐患排查、信息安全检查,落实等级保护制度等工作。(四)负责XX二次系统安全防护技术督查体系建设以及组织开展XX二次系统的安全技术督查工作。(五)负责XX二次系统应急管理体系建设与应急处置。第十二条安质部主要职责如下:(一)负责公司网络与信息系统安全检查和评价。(二)负责公司信息安全事件的调查、分析、处理和事件通报。第十三条业务部门主要职责如下:(一)牵头开展本专业信息系统信息安全防护工作,依据公司总体安全策略组织制定相关系统信息安全防
8、护方案,经公司信息安全专家审查委员会审批后执行。(二)落实业务系统信息安全等级保护工作,配合开展业务系统安全测评、风险评估和隐患排查治理等工作。(三)运检部负责XX终端具体安全防护及运行维护管理,负责相关安全防护的技改项目管理。(四)营销部负责营销业务涉及控制类系统及终端(如负荷控制系统、负控终端及用XX信息采集控制终端等)的具体安全防护及运行维护管理。(五)农XX部负责代管县供XX企业的农村XX网涉及控制类系统及终端安全防护管理。(六)在本专业人员培训过程中贯彻公司信息安全相关要求。第十四条各级单位主要职责如下:(一)负责贯彻落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,贯彻落
9、实公司网络与信息系统安全相关标准规范和规章制度。(二)落实本单位范围内网络与信息系统安全工作责任体系。(三)落实本单位网络与信息系统全生命周期安全管控、等级保护测评整改、安全准入、风险评估、隐患排查治理和信息安全技术督查等工作。(四)按照公司网络与信息系统应急管理要求建立本单位应急体系,组织本单位突发事件的应急处理。(五)负责明确本单位网络与信息系统安全运行维护部门或机构,落实网络与信息系统安全运行维护日常工作。明确落实本单位信息安全技术督查体系。(六)组织本单位信息安全宣传和培训工作。第十五条各业务支撑和实施机构信息安全职责如下:(一)各级调控机构:分别负责本级XX控制系统和XX数据网络的安
10、全防护和运行维护管理,负责直调XX涉网部分的监控系统和XX保护等工控系统安全防护技术监督。(二)运行分公司、各省检修(分)公司、各地(市)检修工公司和县运检部检修(建设)工区:分别负责运维范围内XX、开关站、换流站的系统、设备和终端的安全运维和应急处置工作。(三)新源控股公司:负责运维范围内XX的系统、设备和终端的安全运维和应急处置工作。(四)中国XX科院:负责公司信息通信安全研究,提供信息安全专业技术支撑;负责公司信息通信系统和设备的安全测试工作;负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责执行信息通信安全技术督查及专项检查。(五)省XX科院:负责信息通信安全研究
11、,为各省(自治区、直辖市)XX公司提供信息安全专业技术支撑;负责省公司信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;负责本单位信息安全技术督查。(六)信通公司:负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的安全运维和应急处置工作。(七)省信通(分)公司:负责调管范围内信息通信系统XX监控和应急处置;负责资产管理范围内信息通信系统、设备和终端的安全运维和应急处置工作。(八)地(市)信通分公司:受职能管理部门委托开展本单位信息安全保障工作。第三章管理要求第十六条按照公司制度标准体系建设工作要求和统一部署,由总部统一制定、发布与组织实施信
12、息通信安全管理制度,实现全职责、全业务、全流程覆盖,确保纵向层级支撑,横向衔接联动。第十七条按照公司三集五大体系设计确定的岗位,公司统一确定信息系统建设、运行、使用等相关岗位的信息安全职责,各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、XXXX管理部门应设置专门的信息安全管理岗位,配备安全管理人员,明确安全工作职责。第十八条加强员工信息安全管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息安全保密的内容和职责;切实加强员工信息安全培训工作,提高全员安全意识;及时终止离岗员工的所有访问权限。对承担公司核心信息系统规划、研发、运维管理等关键岗位人员开展安全培训和考核,对系统运
13、维关键岗位建立持证上岗制度,明确持证上岗要求。对关键岗位人员进行安全技能考核。将信息安全技能考核内容纳入公司安规考试。加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的出入登记和接待管理,严格控制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪同,相关操作必须有审计及监控。第十九条网络与信息系统安全管理工作机制如下:(一)遵循统一指挥、密切配合、职责明确、流程规范、响应及时”的协同原则,做好公司信息安全内、外部协同机制的落实工作。(二)健全信息安全技术督查工作,加强对信息安全技术督查的一体化管控,强化督查责任落实,深化年度、专项、日常督查工
14、作。进一步提升督查队伍装备水平,优化督查工作流程,强化督查队伍评价考核。(三)落实常态信息安全风险评估工作,与公司春秋季检和迎峰度夏工作相结合,切实将风险评估工作常态化,及时落实整改,消除安全隐患。(四)切实加强网络与信息系统应急管理体系建设。按照综合协调、统一领导、分级负责的原则,在公司总部、各分部、省(自治区、直辖市)XX公司、直属单位建立应急组织和指挥体系;坚持安全第一、预防为主的方针,加强应急响应队伍建设,优化完善应急预案,落实常态应急演练工作,做好应急保障工作;加强安全风险监测与预警,建立上下联动、区域协作的快速响应工作,强化应急处置。(五)严格执行信息安全事故通报制度(通报规范见附
15、件1),做好节假日和特殊时期的安全运行情况报送工作。(六)落实健全网络与信息系统安全准入工作,加强对接入公司网络的各类系统、终端、设备的准入及备案管理,强化备案信息与上下线相关运行安全工作的准入联动工作。(七)严格按照公司安全事故调查规程,开展事故原因分析,做好事故调查工作,坚持四不放过原则,有效落实整改。(八)贯彻落实信息安全等级保护制度,持续强化信息安全等级保护工作管理,做好系统等级保护定级、备案、建设、测评与整改工作。(九)深入开展信息安全动态治理工作,推动各级单位信息安全工作的落实与持续改进,提升信息安全流程化、标准化和规范化水平。强化隐患排查治理工作,强化从隐患发现到隐患治理的闭环管
16、理工作,消除信息安全薄弱环节。(十)开展信息技术供应链安全管理工作,开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作,逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理,严格外部单位资质审核。严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备采购应开展产品预先选型和安全检测。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则,信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。(十一)建立信息安全综合评价体系,加强信息安全监督及考核评价,
17、将网络与信息系统安全落实情况纳入各级单位信息化水平评价。(十二)加强密码技术的开发利用以及密码安全保障,落实密钥的统一选型及应用工作,充分发挥密码技术在信息安全工作中的基础作用。第二十条加强XX通信网的安全管理,规范XX通信网络安全防护体系,健全针对各类网络在线监测和安全预警能力,做好对光缆、网络交换设备、物理区域与人员的安全访问管理,禁止通信网管系统未经网络隔离装置与信息内网互联,禁止通信网管系统与外部维护厂商间进行网络连接。XX通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。第二十一条加强信息内外网网站管理。各级单位对外网站应与公司外网企业门户网站进行整合,内网宣传
18、网站要与公司内网企业门户进行整合,实现网站统一管理与备案。网站信息发布须严格按照公司审核发布流程。各级单位网站统一使用公司域名,并规范网站功能设置及网站风格设计。加强内外网邮件统一管理,禁止各级单位建立独立内外网邮件系统,如确实需要建立,需提前报公司批准。第二十二条加强信息安全备案准入工作。各级单位要巩固信息安全备案准入成果,加强对采集类业务终端的安全备案,严格各类信息资产安全备案作为入网的必要条件。加强安全备案数据质量的治理工作,确保填报信息完整、准确及更新及时,对于未备案的业务系统、网络专线,一经发现立即关停,按照公司有关要求进行追责及处置。第二十三条微博微信等新业务安全管理要求如下:(一
19、)强化对企业官方微博微信、Wi-Fi网络、其他新业务的安全备案准入与管理,加强微博微信开设、使用的安全管理,加强信息外网无线Wi-Fi网络的审批、备案与使用管理。(二)各级单位要加强官方微博微信的开设与管理,加强对本单位官方微博微信所发布的内容审查与核实。微博微信的发布终端要按照公司办公计算机防护要求部署安全措施。公司两级技术督查队伍在日常的安全督查中要加强对微博微信发布终端的检查深度和频度。(三)各级单位信息外网使用Wi-Fi要严格落实审核批准与备案工作,要加强Wi-Fi组网的网络准入、安全审计,用户身份认证方面的安全防护技术手段。(四)各级单位要控制内网第三方专线接入公司信息网络的专线数量
20、,对于确需第三方接入的新业务,要选择安全的接入方式并强化落实边界安全防护措施。第二十四条接入安全管理要求如下:(一)加强互联网接入以及互联网出口归集统一管理,充分利用公司XX通信链路,以省级单位和三地灾备中心为主体对下属单位互联网出口进行严格管控、合并、统一设置和集中监控。(二)加强非集中办公区域内网接入安全管理,严格履行审批程序,按照公司集中办公区域相关要求落实信息安全管理与技术措施。非集中办公区域应采用XX通信网络通道接入公司内部网络,如确实需要租用第三方专线,应在公司进行备案,并严格按照总体防护要求采取相应防护措施。第二十五条规划计划安全管理要求如下:(一)网络与信息系统在可研设计阶段应
21、全面分析其可能面临的主要信息安全风险以及对现有网络与系统、流程的影响,并进行安全需求分析。(二)可研阶段信息系统应组织进行信息安全防护设计,做好安全架构规划,形成专项信息安全防护方案并进行评审。专项信息安全防护方案通过评审后方可进行后续开发工作。涉及认证、密钥以及数据保护等方面需考虑与公司统一密钥系统集成接口设计。(三)网络与信息系统应提前组织开展等级保护定级工作,同时重要系统应提前在公司信息安全归口管理部门进行备案。第二十六条建设安全管理要求如下:(一)严格遵循信息系统开发管理要求,加强对项目开发环境及测试环境的安全管理,确保与实际运行环境及办公环境安全隔离,确保开发全过程信息安全管控。(二
22、)加强信息系统开发过程中代码编写的规范性,应采用公司统一开发平台进行开发,并严格按照公司统一安全编程规范进行代码编写,定期进行代码审核,并组织代码安全自测。(三)加强代码安全管理,确保开发过程中代码安全保密。落实源代码补丁漏洞工作,及时对代码漏洞进行反馈及整改。(四)规范外部软件及插件的使用,应使用主流的、成熟的外部软件及插件,避免采用非商用且无安全保证的外部软件及插件。集成外部软件及插件包括开源组件时,应重视接口交互的安全,充分考虑异常的处理。(五)加强XX通信网建设的安全管理,通过识别、评估和分析等手段降低安全风险,保证通信网络建设过程中安全可控,确保人身、设备及现有网络的安全。第二十七条
23、运维安全管理要求如下:(一)网络与信息系统上线前、重要升级前、与生产系统联合调试前对安全防护设计遵从度、应用软件安全功能、代码安全、运行环境安全等进行全面测试以及整改加固,通过测试后方可正式上线试运行。(二)建立网络与信息系统资产安全管理制度,加强资产的新增、验收、盘点、维护、报废等各环节管理。编制资产清单,根据资产重要程度对资产进行标识。加强对资产、风险分析及漏洞关联管理。(三)加强机房出入管理,对机房建筑采取门禁、专人值守等措施,防止非法进入,出入机房需进行登记。(四)加强信息通信设备安全管理,建立健全设备安全管理制度。加强设备基线策略管理以及优化部署,制定安全基线策略配置管理要求和技术标
24、准,规范上线、运行软硬件设备信息安全策略以及安全配置。(五)建立通信设备软件升级预评估制度,对其必要性和紧急性进行评估论证,并采取相应防范措施后,再进行相关升级工作。(六)规范账号权限管理,系统上线稳定运行后,应回收建设开发单位所掌握的账号。各类超级用户账号禁止多人共用,禁止由非主业不可控人员掌握。临时账号应设定使用时限,员工离职、离岗时,信息系统的访问权限应同步收回。应定期(半年)对信息系统用户权限进行审核、清理,删除废旧账号、无用账号,及时调整可能导致安全问题的权限分配数据。(七)规范账号口令管理,口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公司 网络 信息系统安全 管理办法
链接地址:https://www.desk33.com/p-520926.html