《网络与信息系统-安全管理办法(精品文档).docx》由会员分享,可在线阅读,更多相关《网络与信息系统-安全管理办法(精品文档).docx(12页珍藏版)》请在课桌文档上搜索。
1、网络与信息系统安全管理办法第一章总则第一条为加强和规范XXXXXXX有限公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据中华人民共和国国家安全法、中华人民共和国网络安全法等国家有关法律、法规、规定及公司有关制度,制定本办法。第二条本办法所称网络与信息系统是指公司生产所需的计算机网络环境和计算机设备,软件程序、代码和数据。第三条本办法适用于公司网络与信息系统安全管理工作。第四条网络与信息系统安全防护目标是保障开发生产系统环境和网络的安全,保障系统及通信、网络的安全,落实信息系统生命周期全过程安全管理
2、,实现信息安全可控、能控、在控。防范对公司外部对内部信息系统的恶意攻击及侵害,抵御内外部有组织的攻击。第五条公司网络与信息系统安全工作策略坚持“物理隔离,加密存储,准入备案”原则。物理隔离是指信息内外网间不存在任何物理信息链路连接,针对信息内网进行全封闭管理,严控信息内网的网络结构与物理边界,仅可在公司集中办公区域内通过专用网线接入已备案网络终端设备。加密存储是指在非信息内网工作环境下,所有生产业务相关系统运行环境、数据文件和业务文档必须经过加密才能临时保存到个人终端存储设备中,禁止免密访问、传输和存储该终端设备在接入信息内网或离线断网情况下,可解密访问,禁止免密访问、传输和存储。准入备案指对
3、所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。第六条将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司生产质量管理体系中,将网络与信息系统安全融入公司安全生产中。第二章职责分工第七条公司信息安全工作实行统一管理,遵循“专职监管、用者负责”的原则,谁主管谁负责;谁运行谁负责;谁使用谁负责,管业务必须管安全,严格落实网络与信息系统安全责任。第八条各部门主要负责人是网络与信息系统安全第一责任人。公司信息化安全小组负责公司网整体络信息安全管理办法和措施的制定与发布,总体协调领导和监督相在管理措施的执行,定期评估安全风险,优化各项管理办法与措施。公司网络安全管
4、理专员负责公司基础网络与信息系统防护。项目组负责各自生产环境与业务数据的信息安全防护。所有员工负责执行公司网络与信息系统安全工作,落实项目中敏感数据权益所有者的其它安全管理要求。第九条公司信息化安全小组主要职责如下:(一)落实国家有关网络与信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度,并督促执行。(二)负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。(三)负责信息安全技术督查,组织开展公司信息安全技术督查工作。(四)协助开展网络与信息系统事件
5、的调查处理,组织制定、落实网络与信息系统反事故措施。(五)负责信息安全态势跟踪、事件监测与分析、信息安全通报。第十条网络安全管理专员主要职责如下:(一)牵头开展本专业信息系统信息安全防护工作,依据公司总体安全策略组织制定相关系统信息安全防护方案,经公司信息化安全小组审批后执行。(二)负责公司网络与信息系统基础设施的安全管理。(三)负责公司信息通信安全研究,期跟踪公司及外部信息安全重大事件和典型事件,分析事件成因、问题,以及对公司信息安全工作的启示和举措,提供信息安全专业技术支撑;负责公司信息通信系统和设备的安全测试工作。(四)负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价;
6、负责执行信息通信安全技术督查及专项检查。(五)负责新技术、新应用、新业务信息安全情况分析:不定期跟踪新技术、新应用、新业务在公司的开展情况,分析其中信息安全情况,并提出相关建议。(六)负责公司员工安全管理办法宣传,以及相关技能培训。第十一条项目组主要职责如下:(一)落实业务软件生产环境的信息安全保护工作,配合开展安全测评、风险评估和隐患排查治理、信息安全通报等工作。(二)项目建设过程中贯彻公司和客户对信息安全相关要求。(三)按照公司网络与信息系统应急管理要求建立项目生产环境和业务数据应急处理预案,组织突发事件的应急处理。第十二条员工主要职责如下:(一)负责贯彻落实国家有关网络与信息系统安全法规
7、、方针、政策、标准和规范,贯彻落实公司网络与信息系统安全相关标准规范和规章制度。(二)负责个人使用的信息通信系统、设备和终端的安全运维和应急处置工作。(三)协助信息安全专员开展事件监测与分析、信息安全通报。第三章管理要求第十三条按照公司制度标准体系建设工作要求和统一制定、发布与组织实施信息通信安全管理制度,实现全职责、全业务、全流程覆盖。第十四条加强员工信息安全管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息安全保密的内容和职责;切实加强员工信息安全培训工作,提高全员安全意识;及时终止离岗员工的所有访问权限。第十五条加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的
8、出入登记和接待管理,严格控制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪同,相关操作必须有审计及监控。第十六条网络与信息系统安全管理工作机制如下:(一)遵循“统一指挥、密切配合、职责明确、响应及时”的协同原则,做好公司信息安全内、外部协同机制的落实工作。(二)积极主动开展安全事故原因分析,做好事故调查工作,切实进行信息安全风险评估工作,及时落实整改,消除安全隐患。(三)坚持“安全第一、预防为主”的方针,建立和优化安全事件的应急预案,加强应急演练工作,做好应急保障工作。(四)落实健全网络与信息系统安全准入工作,加强对接入公司网络的各类系统、终端、设备的准
9、入及备案管理,强化备案信息与上下线相关运行安全工作的准入联动工作。(五)持续强化信息安全等级保护工作管理,做好系统等级保护定级、备案、建设、测评与整改工作。(六)开展信息技术供应链安全管理工作,开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作,逐步实现核心运行系统的国产化。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则,信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。(七)建立信息安全综合评价体系,加强信息安全监督及考核评价,将网络与信息系统安全落实情况纳入各级单位信息化水平评价。第十七条加强通信网
10、的安全管理,健全针对各类网络在线监测和安全预警能力,做好对光缆、网络交换设备、物理区域与人员的安全访问管理。通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。第十八条加强信息安全备案准入工作。对生产设备、人个终端设备、业务软件与数据建立安全备案,严格各类信息资产安全备案作为入网的必要条件。加强安全备案数据质量的治理工作,确保填报信息完整、准确及更新及时,对于未备案的业务系统、网络专线,一经发现立即关停,按照公司有关要求进行追责及处置。第十九条微博微信等新业务安全管理要求如下:(一)强化对企业官方微博微信、Wi-Fi网络、其他新业务的安全备案准入与管理,加强微博微信开设、使
11、用的安全管理,加强信息外网无线Wi-Fi网络的审批、备案与使用管理。(二)加强官方微博微信的开设与管理,加强对本单位官方微博微信所发布的内容审查与核实。()信息外网使用Wi-Fi要严格落实审核批准与备案工作,要加强Wi-Fi组网的网络准入、安全审计、用户身份认证方面的安全防护技术手段。(四)未经公司审批许可,不得使用私人互联网服务发布和存储公司生产相关业务数据,如出于工作需要,需先对原始数据进行加密打包处理,禁止在非公司受控网络暴露任何生产业务原始信息。第二十条接入安全管理要求如下:(一)加强互联网接入以及互联网出口归集统一管理,公司统一对各类办公网络的互联网出口进行严格管控、合并、统一设置和
12、集中监控。禁止私自改变公司网络结构,禁止私自搭建难通信子网、路由代理、DNS、DHCP等公共服务,禁止接入未经受权的网络服务。(二)加强公司终端设备接入安全管理,并严格按照总体防护要求采取相应防护措施。针对接入公司网内的个人终端,如在外出工干需要接入第三方网络,须将终端上的生产环境和数据存储加密隐蔽,严禁暴露在不可信网络中。第二十一条开发安全管理要求如下:(一)严格遵循信息系统开发管理要求,加强对项目开发环境及测试环境的安全管理,严格执行项目服务器资源的申请和登记管理,确保与其它办公环境的安全隔离。(二)加强信息系统开发过程中代码编写的规范性,应采用公司统一开发平台进行开发,并严格按照公司统一
13、安全编程规范进行代码编写,定期进行代码审核,并组织代码安全自测。(三)加强代码安全管理,确保开发过程中代码安全保密。落实源代码补丁漏洞工作,及时对代码漏洞进行反馈及整改。(四)规范外部软件及插件的使用,应使用主流的、成熟的外部软件及插件,避免采用非商用且无安全保证的外部软件及插件。集成外部软件及插件包括开源组件时,应重视接口交互的安全,充分考虑异常的处理。第二十二条运维安全管理要求如下:(一)建立网络与信息系统资产安全管理制度,加强资产的新增、验收、盘点、维护、报废等各环节管理。编制资产清单,根据资产重要程度对资产进行标识。加强对资产、风险分析及漏洞关联管理。(二)加强机房出入管理,禁止非公司
14、授权进入,出入机房需进行登记。(三)加强信息通信设备安全管理。加强设备基线策略管理以及优化部署,安装指南或操作票中,应制定安全策略配置管理要求和技术标准,规范上线、运行软硬件设备信息安全策略以及安全配置。(四)规范账号权限管理。各类超级用户账号禁止由非运维安全员掌握。临时账号应设定使用时限,员工离职、离岗时,信息系统的访问权限应同步收回。应定期(半年)对信息系统用户权限进行审核、清理,删除废旧账号、无用账号,及时调整可能导致安全问题的权限分配数据。(五)规范账号口令管理,口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。定期更换
15、口令,更换周期不超过6个月,重要系统口令更换周期不超过3个月,最近使用的4个口令不可重复。(六)强化公司统一漏洞及补丁工作。统一补丁下载、安装情况的监管。加强各种典型漏洞、补丁的测试验证及整改工作。(七)加强恶意代码及病毒防范管理,加强对特种木马的监测。确保个人终端防病毒软件统一安装,严格要求内网病毒库的升级频率,加强病毒监测、预警、分析及通报力度。(八)不得通过互联网或信息外网远程运维方式进行设备和系统的维护及技术支持工作。(九)规范运维操作预案工作,建立工作票和操作票制度。加强网络与信息系统检修过程安全管理,预防网络与信息系统损坏和事故发生。(+)明确备份及恢复策略,严格控制数据备份和恢复
16、过程。公司生产环境和数据每年集中备分一次,保留至少两份副本以上,副本须异地由专员保管,需获公司授权才可恢复备份数据。保管专员每年需测试存储设备和备份数据的可读性。(十一)涉及敏感信息的系统运行环境和数据库应部署于信息内网,对含有重要地理信息、客户信息等的安全存储和安全传输需采用公司统一的管理措施。第二十三条运行情况通报管理要求如下:(一)加强国公司网络与信息系统安全运行管理,规范完善公司网络与信息系统安全运行情况通报工作,切实落实上情下达、下情上达、协调和服务保障的任务。(二)所有员工一旦发现信息网络和系统故障和瘫痪,信息系统数据丢失和信息泄密,信息系统受到病毒感染和恶意渗透、攻击,有害信息在
17、网站传播等信息安全事件,须立即向公司安全专员或公司信息化安全小组通报,报送要求如下:(1)公司员工在发现安全事件时,需在二十四小时内完成上报工作。特别紧急情况需第一时间通过电话等方式立即向相关负责人员做口头汇报。(2)公司信息安全专员发现信息安全问题,需立即隔离和保留安全事件环境,分析风险和评估危害,主动开展自查和纠正工作。(3)公司各部门或员工应及时、全面、准确报送信息,不得瞒报、缓报、谎报网络与信息系统安全运行情况。(三)网络和信息系统安全运行情况通报内容主要包括:(1)电子公告服务、群发电子邮件以及广播式即时通信等网络服务中反动有害信息的传播情况;(2)利用网络从事违法犯罪活动的情况;(
18、3)已经确定或可能发生的计算机病毒、网络攻击情况;(4)网络恐怖活动的嫌疑情况和预警信息;(5)网络或信息系统通信和资源使用异常、网络和信息瘫痪;(6)信息系统重要数据丢失和信息泄密;(7)网络安全状况、安全形势分析预测等信息;(8)其他影响网络与信息安全的信息。(四)重大安全事故须交由公司信息化安全小组开展安全事件、安全隐患、安全漏洞、安全舆情的分析、研判等工作,总结存在的信息安全隐患问题以及监测工作本身的不足,并提出相关建议。如涉及国家安全或公司业务需对外通报相关客户联络员,并根据安全事件危害严重情况报送国家相关单位。(五)公司员工应按照国家保密规定,做好网络与信息系统安全运行情况通报的保
19、密工作。第四章技术措施第二十四条物理安全技术工作要求如下:(一)严格执行信息通信机房管理有关规范,确保机房运行环境符合要求。设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(二)员工离开办公区域要及时锁定桌面终端计算机屏幕,防止外来人员接触办公区域电子信息。(三)重要通信设备和服务器应满足N+1硬件冗余要求。针对计算、存储和网络资源和设备需提供因单点故障的冗余设备更换或开发环境迁移能力。(四)机房采用独立电源线路供电,禁止串接办公区内其它动力用电和照明用电线路。(五)机房设备应提供不间断电源,在满负载情况下UPS能持续一小时以上的独立供电
20、时间要求。每年至少进行一次充放电试验,以检验UPS供电能力和机房电机关电操作预案。第二十五条网络安全技术工作要求如下:(一)公司网络划分为生产专线内网、办公外网和访客外网,分别承载不同类型的联网业务操作,生产专线内网在物理层面上实现安全隔离。办公外网与互联网接入需经两级异构硬件防火墙进行网络隔离、TCP端口可控和包过虚。访客外网在公司访问有使用需求时,才提供临时接入服务,与办公外网实现逻辑隔离。(二)严格按照公司要求落实访问控制、流量控制、入侵检测/防护、内容审计与过滤、防隐性边界、恶意代码过滤等安全技术措施,防范跨域跨边界非法访问及攻击,防范恶意代码传播。不得从任何公共网络直接接入公司内部网
21、络,禁止内、外网接入通道混用。(三)公司信息内网只能采有专线接入方式,严禁使用一切有线或无线网络设备或服务,对信息内网进行中继、路由或代理转发等改变网络组网结构与边界。(四)信息外网用无线组网的单位,应强化无线网络安全防护措施,无线网络要启用网络接入控制和身份认证,进行IP/MAC地址绑定,应用高强度加密算法,防止无线网络被外部攻击者非法进入,确保无线网络安全。第二十六条终端安全技术工作要求如下:(一)办公计算机严格执行“涉密不上网、上网不涉密”纪律,严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网计算机存储、处理国家秘密信息,严禁在连接互联网的计算机上处
22、理、存储涉及国家秘密和企业秘密信息;严禁信息内网和信息外网计算机交叉使用;严禁普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用。涉密计算机按照公司办公计算机保密管理规定进行管理。(二)信息内外网办公计算机应分别部署于信息内外网桌面终端安全域,桌面终端安全域应采取IP/MAC绑定、安全准入管理、访问控制、入侵检测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理等措施进行安全防护。(三)信息内外网办公计算机终端须安装桌面终端管理系统、保密检测系统、防病毒等客户端软件,严格按照公司要求设置基线策略,并及时进行病毒库升级以及补丁更新。严禁未通过本单位信息通信管理部门
23、审核以及中国电科院的信息安全测评认定工作,相关部门和个人在信息内外网擅自安装具有拒绝服务、网络扫描、远程控制和信息搜集等功能的软件(恶意软件),防范引发的安全风险;如确需安装,应履行相关程序。(四)公司办公终端执行“严禁内外网机混用”原则,移动作业类终端须严格执行统一安全防护措施,在不具备信息内网专线接入条件,在遵循公司现有终端安全防护要求的基础上,要安装终端安全专控软件进行安全加固,并通过安全加密方式存储敏感数据和文件,确保开发运行环境和敏感数据不暴露在连接信息外网和互联网环境中。第二十七条主机安全技术工作要求如下:(一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非
24、法登录次数,设置连接超时功能。(二)操作系统和数据库系统特权用户应进行访问权限分离,分为管理员、项目或应用管理员访问权限进行进行分组。禁止匿名访问方式。(三)加强补丁的兼容性和安全性测试,确保操作系统、中间件、数据库等基础平台软件补丁升级安全。(四)需接入外网设备需统一安装公司受权的防病毒软件,及时更新病毒库。第二十八条应用安全技术工作要求如下:(一)强化用户登陆身份认证功能,采用用户名及口令进行认证时,应当对口令长度、复杂度、生存周期进行强制要求,禁止口令在系统中以明文形式存储;系统应当提供制定用户登录错误锁定、会话超时退出等安全策略的功能。(二)加强邮件敏感内容检查、邮件病毒查杀、外网邮件
25、行为监测,社会邮箱收发件统计等安全措施,防范邮件系统攻击及邮件泄密。(三)禁止任何方式的内外网穿透技术的应用,建立常态外网安全巡检、加固、检修以及应急演练等工作机制,做好日常网站备份工作。第二十九条数据安全技术工作要求如下:(一)公司生产支撑环境、源代码、数据和文档文件可在公司内网中授控使用、传输和存储。(二)重要和敏感信息,如商密定级文件、公司公文、电子文件等,实行加密传输、授权控制。(三)禁止将生产支撑环境和数据暴露在公司非授权的网络环境中。(四)对重要信息实行自动、定期备份;按需进行恢复测试,确保备份数据的可用性。(五)严格落实公司电子数据恢复、擦除与销毁管理技术要求。第三十条深化信息安
26、全监测手段,扩展监控范围,实现对各类网络及边界、网站及应用系统、终端以及密钥使用情况等的全方位、实时安全监控,做好信息安全监测预警、指标发布及深化治理工作。第三十一条对新信息技术的应用开展专题安全技术研究,强化对新技术的检测、验证、评估及审核,超前分析新技术应用带来的安全风险和隐患,提前采取措施予以防范。不得采用与公司信息安全策略与要求相违背的信息通信技术,不得应用存在信息安全隐患的新技术。第三十二条针对暴露面及新型安全威胁,围绕隐患发现、防护处置、监测对抗、应急恢复等能力,从研发安全、安全检测、防病毒管理、统一密钥管理、漏洞补丁管理、安全监控、应急恢复、新技术研究与架构设计等方面开展专项技防能力建设,提升公司信息安全的对抗能力。第五章附则第三十三条本办法由公司安全小组负责解释并监督执行。第三十四条本办法自2023年5月1日起施行。