企业网络信息安全管理制度
企业信息网络安全管理制度
一、总则第一条为加强企业信息网络安全管理,保障企业信息安全,维护企业合法权益,根据《中华人民共和国网络安全法》等相关法律法规,结合企业实际情况,制定本制度。
第二条本制度适用于企业内部所有信息网络系统、设备、数据和应用,包括但不限于办公网络、数据中心、云平台、移动终端等。
第三条企业信息网络安全管理遵循以下原则:1. 预防为主,防治结合;2. 依法依规,分级保护;3. 责任明确,分工协作;4. 技术与管理并重。
二、组织机构及职责第四条企业成立信息网络安全工作领导小组,负责企业信息网络安全工作的组织、协调、指导和监督。
第五条信息网络安全工作领导小组下设信息网络安全管理部门,负责以下工作:1. 制定、修订和实施企业信息网络安全管理制度;2. 组织开展信息网络安全培训、宣传教育活动;3. 监督检查信息网络安全防护措施落实情况;4. 负责信息网络安全事件的应急处置;5. 建立信息网络安全信息通报机制。
第六条各部门负责人对本部门信息网络安全负总责,负责以下工作:1. 组织落实本部门信息网络安全防护措施;2. 定期开展信息网络安全自查自纠;3. 及时报告信息网络安全事件;4. 配合信息网络安全管理部门开展相关工作。
三、信息网络安全防护措施第七条信息网络安全防护措施包括但不限于以下内容:1. 网络安全设备:配置防火墙、入侵检测系统、安全审计系统等网络安全设备,对网络进行安全防护。
2. 系统安全:定期更新操作系统、应用软件,及时修复系统漏洞,加强系统安全配置。
3. 数据安全:对重要数据进行加密存储、传输和备份,防止数据泄露、篡改和丢失。
4. 访问控制:实行分级访问控制,严格控制用户权限,防止未授权访问。
5. 安全事件响应:建立信息网络安全事件应急预案,及时响应和处理信息网络安全事件。
四、信息网络安全培训与宣传教育第八条企业定期组织信息网络安全培训,提高员工网络安全意识和技能。
第九条企业通过内部网站、微信公众号等渠道,开展信息网络安全宣传教育活动,普及网络安全知识。
网络信息安全管理制度(精选15篇)
网络信息安全管理制度(精选15篇)网络信息安全管理制度11.局域网由市公司信息中心统一管理。
2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、ip地址、帐号和使用权限,并记录归档。
3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。
登录时必须使用自己的帐号。
口令长度不得小于6位,必须是字母数字混合。
4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。
业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。
5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。
不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。
6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。
因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。
7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。
未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。
8.入网用户不得从事下列危害公司网络安全的活动:(1)未经允许,对公司网络及其功能进行删除、修改或增加;(2)未经允许,对公司网络中存储、处理或传输的`数据和应用程序进行删除、修改或增加;(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。
9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。
公司网络与信息安全保护制度
公司网络与信息安全保护制度1. 介绍为了保障公司网络和信息安全,维护企业的正常运营和客户利益,订立本制度。
本制度适用于全体员工和外部合作伙伴,包含公司内部网络、外部网络、通信设备以及信息资产的安全保护。
2. 信息安全责任2.1 公司领导层有义务确保信息安全政策和规定的订立、实施、维护和连续改进。
2.2 全部部门经理有责任监督部门内部的信息安全管理工作,落实信息安全政策和规定。
2.3 每位员工应当遵守公司的信息安全政策和规定,自发维护公司的信息安全。
2.4 外部合作伙伴必需遵守公司的信息安全政策和规定,不得泄漏公司的机密信息。
3. 网络安全管理3.1 公司网络采取分级管理原则,不同级别的网络拥有不同的权限和访问掌控策略。
3.2 管理员应当妥当配置和管理网络设备,保障网络的稳定运行和安全性。
3.3 禁止无权限的人员擅自更改网络设备配置,任何更改操作必需经过授权并记录相关信息。
3.4 网络接入必需经过严格的身份验证和访问掌控,未经授权的人员禁止接入公司网络。
4. 信息资产保护4.1 公司对紧要的信息资产进行分类和标记,明确不同资产的保护措施和限制。
4.2 员工必需妥当使用和保管公司的信息资产,禁止私自复制、删除、窜改或传播公司信息。
4.3 信息传输应采用加密和安全通道,防止未经授权的访问和泄露。
4.4 公司备份和恢复规定,以定期备份紧要数据,保证业务的连续性和数据的安全性。
5. 安全意识培训5.1 公司将定期组织网络安全和信息保护培训,提高员工的安全意识和技能水平。
5.2 员工需要参加并顺利完成安全培训,掌握基本的网络安全知识和操作规范。
5.3 公司将开展网络安全演练,提高员工应对网络安全事件的本领和应急响应水平。
6. 政策违规处理6.1 违反信息安全政策和规定的行为将被严厉处理,包含但不限于警告、禁用权限、追究法律责任等。
6.2 对于严重违反公司信息安全政策和规定的行为,公司可能采取停职、辞退等纪律处分措施。
网络信息安全管理制度
网络信息安全管理制度
一、公司办公网络与作业区域网络实行分开制度,办公网络无法访问作业中心区域网络,作业区域网络禁止使用互联网,公司网络使用逻辑隔离将办公区域与区域网络进行分离。
二、作业区域邮件系统仅限于收发相应银行的对口邮箱,不得向除此以外的邮箱发送或转发任何邮件。
三、各涉及机密信息计算机信息系统中的计算机均不得接入互联网,不得做与业务处理无关的工作。
并屏蔽、封死所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
四、在办公范围内禁止启用笔记本电脑自带的无线网卡。
以避免泄密以及对网络系统造成电磁干扰。
五、办公区域接入互联网的计算机具备必要的防黑客攻击、防病毒以及过滤有害信息等安全技术措施。
对计算机、服务器账户均设置密码,各种账户和密码严格保密。
六、根据信息安全规定和权限,确定使用人员的存取、使用权限。
通过网络传送的程序或信息,必须经过加密,安全检测,方可使用。
七、所有计算机操作人员必须具有病毒防范意识,做好计算机病毒的预防、检测、清除工作,及时升级防病毒系统,定期进行病毒的查杀,发现病毒要及时处理,并做好记录。
防止各类针对网络的攻击,保证数据安全。
八、接入计算机系统的计算机必须满足以下要求:1、装有杀毒防毒软件;2、与互联网或外网物理隔离;3、只装指定的软件;5、屏蔽所有业务经办计算机的USB接口,拆除或禁用软驱、光驱。
九、未经网管批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。
十、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
单位的网络信息安全管理制度
一、总则为加强单位网络信息安全管理工作,保障单位信息资源的安全、完整和可用,根据《中华人民共和国网络安全法》等相关法律法规,结合本单位实际情况,制定本制度。
二、组织机构及职责1. 成立单位网络信息安全工作领导小组,负责单位网络信息安全工作的组织、协调、指导和监督。
2. 设立网络信息安全管理部门,负责具体实施网络信息安全管理工作。
3. 各部门负责人为网络信息安全第一责任人,对本部门网络信息安全工作负全面责任。
三、网络信息安全管理制度1. 网络设备安全(1)网络设备应定期进行检查、维护和更新,确保其正常运行。
(2)网络设备应安装必要的防火墙、入侵检测系统等安全防护设备。
(3)网络设备密码应定期更换,并使用复杂密码,防止密码泄露。
2. 网络接入安全(1)严格控制网络接入,禁止非授权设备接入内部网络。
(2)网络接入设备应安装杀毒软件,定期进行病毒扫描和更新。
(3)禁止使用不明来源的网络接入设备,防止病毒、木马等恶意程序传播。
3. 信息安全防护(1)加强数据加密,对敏感数据进行加密存储和传输。
(2)定期对信息系统进行安全检查,发现安全隐患及时整改。
(3)加强员工信息安全意识培训,提高员工信息安全防护能力。
4. 网络安全事件处理(1)发现网络安全事件,立即启动应急预案,采取必要措施,防止事件扩大。
(2)对网络安全事件进行调查、分析,查明原因,采取相应措施。
(3)对网络安全事件进行总结,完善网络安全管理制度。
四、奖惩措施1. 对在网络安全工作中表现突出的个人和部门给予表彰和奖励。
2. 对违反网络安全规定的个人和部门,视情节轻重给予警告、通报批评、罚款等处罚。
五、附则1. 本制度自发布之日起实施,原有相关规定与本制度不一致的,以本制度为准。
2. 本制度的解释权归单位网络信息安全工作领导小组。
3. 本制度如有未尽事宜,由单位网络信息安全工作领导小组负责解释和修订。
单位网络信息安全管理制度
为了加强本单位网络信息安全,保障单位业务正常开展,维护单位利益和形象,根据国家有关法律法规,结合本单位实际情况,特制定本制度。
二、组织与职责1. 成立网络信息安全领导小组,负责网络信息安全的组织、领导和协调工作。
2. 设立网络信息安全管理部门,负责网络信息安全的日常管理工作。
3. 各部门负责人对本部门网络信息安全负直接责任。
三、网络信息安全目标1. 保障单位网络系统稳定运行,确保业务连续性。
2. 防范网络攻击、病毒、恶意软件等威胁,保障单位信息安全。
3. 依法保护单位内部信息,防止信息泄露、篡改和破坏。
四、网络信息安全管理制度1. 网络设备管理:对网络设备进行定期检查、维护和升级,确保设备安全稳定运行。
2. 网络访问控制:严格控制网络访问权限,对内外部访问进行审核和授权。
3. 信息安全防护:采用防火墙、入侵检测系统、防病毒软件等安全设备和技术,防范网络攻击和病毒入侵。
4. 数据备份与恢复:定期对重要数据进行备份,确保数据安全。
5. 信息安全培训:定期对员工进行信息安全意识培训,提高员工安全防范能力。
6. 网络安全事故处理:建立健全网络安全事故应急预案,对网络安全事故进行及时、有效的处理。
五、网络信息安全责任1. 各部门负责人对本部门网络信息安全负直接责任,确保本部门网络信息安全。
2. 网络信息安全管理部门负责监督、检查和指导各部门网络信息安全工作。
3. 员工应遵守网络安全规定,自觉维护网络信息安全。
1. 本制度自发布之日起施行,原有相关规定与本制度不一致的,以本制度为准。
2. 本制度由网络信息安全领导小组负责解释。
3. 本制度如需修改,需经网络信息安全领导小组审议通过。
企业公司网络与信息安全管理制度
企业公司网络与信息安全管理制度1.总则1.1为保障XX公司(以下简称“XX”或“XX")网络与信息安全,切实加强网络与信息安全管控,提高网络与信息安全管理水平和防护能力,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》等政策法规规定,结合XX实际,制定本制度。
2.适用范围本制度适用于XX部门、科室所有职工及使用单位网络的所有人员。
3.职责范围4.1领导小组3.1.1公司设立网络与信息安全领导小组,小组组长为XX,副组长为党支部书记XX,组员为各科室负责人;3.1.2网络与信息安全领导小组主要职责如下:(1)根据国家和卫健委有关网络与信息安全的政策、法律和法规,制定XX网络与信息安全总体规划、管理规范和技术标准等;(2)发挥集中统一领导作用,统筹领导XX网络与信息安全相关工作;(3)贯彻执行上级单位、相关单位下发的网络与信息安全文件要求及精神;(4)协调、督促各科室、部门的网络与信息安全工作,处理网络与信息安全隐患,参与信息系统工程建设中的安全规划,监督安全措施的执行;(5)统筹领导处理网络与信息安全事故,组织进行事件调查,评估安全事件的严重程度,负责网络与信息安全事故的后续处理及防范措施等。
3.2办公室3.2.1网络及信息安全办公室设在办公室;3.2.2办公室职责为按照国家及上级单位统一部署组织开展的网络与信息安全工作,具体工作包括:(1)保障网络与信息系统安全运行;(2)按照网络与信息安全等级保护制度对XX网络进行建设和整改工作;(3)网络与信息安全突发事件处置、应对、整改;(4)开展网络与信息安全宣传教育与培训;(5)开展网络与信息安全检查与自查工作;(6)负责XX网络与信息安全应急预案的编制并组织测试和演练;(7)开展其他网络与信息安全工作。
4.网络与信息安全管理4.1网络与信息安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
2024年网络信息安全管理制度
一、引言随着互联网的发展,网络信息安全问题愈加凸显。
为了保障企业和个人的网络信息安全,制定网络信息安全管理制度是必不可少的。
本文将介绍2024年的网络信息安全管理制度,以保障网络信息安全。
二、目的和适用范围网络信息安全管理制度的目的是确保企业和个人的网络信息安全,防止网络黑客攻击、数据泄露等安全事件的发生。
该制度适用于所有使用互联网的企业和个人。
三、基本原则1.安全第一:网络信息安全应放在第一位,任何业务活动都不能以牺牲安全为代价。
2.按需访问:根据实际需求进行访问控制,确保只有授权人员能够访问和使用相关信息。
3.分级保护:根据信息敏感度和机密程度进行分级保护,确保不同级别的信息有相应的保护措施。
4.风险管理:建立完善的风险管理制度,及时发现和应对潜在的网络安全风险。
5.存在即合法:明确合法获取的网络信息的使用规范,并切实保护个人隐私。
四、网络信息安全管理1.安全设备配置:根据实际需求配置网络防火墙、入侵检测系统、安全网关等安全设备,提高网络的抵御攻击和防御能力。
2.信息备份与恢复:按照规定进行定期的数据备份,并建立完善的数据恢复机制,确保数据的安全可靠性。
3.系统更新与维护:及时升级操作系统和各种应用程序,修复漏洞,增强系统的安全性。
4.安全培训和教育:对所有员工进行网络安全培训和教育,提高他们的网络安全意识和知识。
五、网络安全事件响应1.安全事件监测与预警:建立安全事件监测和预警系统,及时发现网络安全事件的发生和风险的存在。
2.安全事件处理流程:明确安全事件的处理流程,确保及时有效地处理安全事件,减少损失。
3.安全事件调查和分析:对安全事件进行调查和分析,并改进相关的安全措施,防止类似事件的再次发生。
六、监督和评估1.内部监督:建立网络信息安全专门人员,定期检查和监督网络信息安全管理制度的实施情况。
2.外部评估:定期请专业安全机构进行外部评估,评估网络信息安全管理制度的有效性和合规性。
七、违规处理对于违反网络信息安全管理制度的行为,将视情节轻重,采取相应的处罚措施,包括警告、停职、解聘等,严惩不贷。
网络信息安全管理制度(通用20篇)
网络信息安全管理制度(通用20篇)网络信息平安管理制度(篇1)一、人员方面1.建立网络与信息平安应急领导小组;落实详细的平安管理人员。
以上人员要供应24小时有效、畅通的联系方式。
2.对平安管理人员进行基本培训,提高应急处理能力。
3.进行全员网络平安学问宣传教育,提高平安意识。
二、设备方面1.对电脑采取有效的平安防护措施(准时更新系统补丁,安装有效的防病毒软件等)。
2.强化无线网络设备的平安管理(设置有效的管理口令和连接口令,防止校园周边人员入侵网络;假如采用自动安排IP地址,可考虑进行Mac地址绑定)。
3.不用的信息系统准时关闭(如有些系统只是在开学、期末、某一阶段使用几天,寒暑假不使用的系统应当关闭);4.留意有关密码的工作并牢记密码,定期更改相关密码,留意密码的简单度,至少8位以上,建议使用字母加数字加特别符号的组合方式;5.修改默认密码,不能使用默认的统一密码;6.在信息系统正常部署完成后,应当修改系统后台调试期间的密码,不应当连续使用工程师调试系统时所使用的密码;7.正常工作日应当保证至少登录、扫瞄一次系统相关页面,准时发觉有无被篡改等异样现象,特别时间应增加检查频率;8.服务器上安装杀毒软件(保持升级到最新版),至少每周对操作系统进行一次病毒扫描检查、修补系统漏洞,检查用户数据是否有异样(例如增加了一些非管理员添加的用户),检查安装的软件是否有异样(例如消失了一些不是管理员安装的未知用途的程序);9.对上网信息(会发布在前台的文字、图片、音视频等),应当由两位以上工作人员认真核对无误后,再发布到网站、系统中;10.对全部的上传信息,应当有敏感字、关键字过滤、特征码识别等检测;11.系统、网站的重要数据和数据,每学期定期做好有关数据的备份工作,包括本地备份和异地备份;12.有完善的运行日志和用户操作日志,并能记录源端口号;13.保证页面正常运行,不消失404错误等;14.加强电脑的使用管理(专人专管,谁用谁负责;电脑设置固定IP地址,并登记备案)。
公司网络信息安全管理办法
公司网络信息安全管理办法第一章总则第一条为加强公司网络信息安全管理,保障公司网络系统的正常运行,保护公司及客户的信息资产安全,根据国家相关法律法规和行业规范,结合公司实际情况,制定本办法。
第二条本办法适用于公司及所属各单位的网络信息安全管理工作。
第三条网络信息安全管理工作应遵循“预防为主、综合治理、责任明确、保障安全”的原则。
第二章管理职责第四条公司成立网络信息安全领导小组,负责统筹规划、协调指导公司网络信息安全工作。
领导小组组长由公司主要负责人担任,成员包括各部门负责人。
第五条信息技术部门是公司网络信息安全管理的主管部门,负责制定和实施网络信息安全策略、技术标准和管理制度,组织开展网络信息安全防护、监测、应急处置等工作。
第六条各部门应明确本部门网络信息安全责任人,负责落实本部门网络信息安全管理工作,配合信息技术部门开展相关工作。
第三章人员安全管理第七条公司所有员工应遵守国家法律法规和公司网络信息安全管理制度,不得利用公司网络从事违法违规活动。
第八条新员工入职时应接受网络信息安全培训,了解公司网络信息安全政策和相关规定。
第九条员工离职时,应及时清理其在公司网络系统中的账号和权限,并办理相关交接手续。
第四章设备与环境安全管理第十条公司应建立健全网络设备和信息系统的采购、使用、维护和报废管理制度,确保设备和系统的安全可靠。
第十一条网络设备和服务器应放置在符合安全要求的机房环境中,机房应具备防火、防盗、防潮、防尘、防雷等设施,并定期进行检查和维护。
第十二条对重要的网络设备和信息系统应采取冗余备份和容错措施,确保业务的连续性。
第五章网络访问控制第十三条公司应建立网络访问控制策略,根据员工的工作职责和业务需求,合理分配网络访问权限。
第十四条严禁未经授权访问公司内部网络和信息系统,严禁私自接入外部网络。
第十五条员工应妥善保管个人的网络账号和密码,定期修改密码,不得将账号和密码泄露给他人。
第六章数据安全管理第十六条公司应建立数据分类分级管理制度,对重要数据进行重点保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度第一章总则第一条为进一步推进信息化建设,加强网络安全管理能力,统一XXXXXXXXXXXXXXXXX有限公司(以下简称“本企业”)网络安全管理规范和流程,提升企业网络安全保障意识和能力,依据《中国人民共和国网络安全法》、《网络安全等级保护基本要求》等有关政策法规,依据集团公司《网络安全和信息化管理办法》的总体要求,结合企业实际安全情况,制定本制度。
第二条本制度是对集团公司《网络安全和信息化管理办法》的细化和落地,信息安全总体方针、策略遵从《网络安全和信息化管理办法》的规定执行。
第三条本制度适用于指导开展网络安全管理工作,规范网络安全管理方面的各项管理活动、管理过程。
本企业信息系统均应遵循本规定开展安全管理工作。
第二章组织机构及其职责第四条在集团公司网信领导小组和集团公司网信办指导下,根据《网络安全和信息化管理办法》“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则开展网络安全工作,企业负责人对企业网络安全工作负主体责任。
第五条技术部门承担网络安全职能,部门负责人对网络安全工作负主要责任,网络安全职能如下:(一)贯彻落实集团公司网信领导小组有关网络安全和信息化的重大战略决策和工作要求;(二)负责网络安全工作的开展,包括网络安全培训计划与开展、员工网络安全意识宣贯、网络安全制度落地执行、系统安全建设管理、系统安全运维管理等各项工作;(三)根据企业自身网络安全特点,制定网络安全管理流程;(四)负责定期组织召开内部、外部网络安全工作会议;(五)负责信息系统等级保护定级、备案、安全建设整改工作;(六)开展等级保护测评工作,应对监管部门安全检查;(七)负责网络安全事件的应急处置,重要安全事件的上报,负责配合集团公司网信办进行安全事件处置、取证、回溯和事后的加固分析工作;(八)及时向集团公司网信办报告网络安全工作。
包括:网络安全工作计划、网络安全重点工作进度、网络安全重大事项、网络安全重要政策和制度措施和网络安全工作年度总结;(九)其他网络安全工作。
第六条网络安全职能部门应设置安全管理员岗位,信息系统管理部门应设置系统管理员及应用管理员岗位。
安全管理员岗位人员名单应上报集团公司网信办备案。
第七条人员岗位职责如下:(一)安全管理员:负责网络信息安全管理制度的落地、执行;负责对系统进行恶意代码检查、安全漏洞检测和安全配置核查;负责对信息系统进行安全检查,排查相关网络安全隐患;负责信息系统安全事件处理和恢复;负责协助集团公司网信办对网络安全事件进行应急处置和取证分析;其他网络安全工作。
(二)系统管理员:负责操作系统、数据库的日常管理与维护;负责操作系统、数据库帐号和权限管理;负责操作系统、数据库的补丁升级、安全配置加固和备份;负责操作系统、数据库故障的处理。
(三)应用管理员:负责应用系统日常管理与维护;配合安全管理员,在应用系统设计、测试、部署、运行过程中,对应用系统进行安全把控、测试、配置、加固;负责应用系统帐号和权限管理;负责应用系统故障的处理。
第三章人员安全管理第八条企业人员录用需签署保密协议。
对于网络安全相关岗位人员的录用,应严格考察该人员的业务技术水平和相关资质认证。
第九条企业内部人员在变换岗位时,信息系统管理部门负责更换关联访问权限,如有必要,修改保密协议。
第十条人员离职时,应及时移交相关工作,上交计算机等软、硬件资产,办理完成离职人员移交手续后方能批准离职。
第十一条人事部门和员工所在部门要做好人员离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获得机密信息。
员工离职后如发生泄密情况,应承担由此涉及的法律责任。
第十二条系统管理员、应用管理员或安全管理员离职时,网络安全职能部门应组织统一修改所有系统、应用等相关密码,重点核查VPN、对外提供服务系统中离职人员账号是否清除。
安全管理员离职或更换时,网络安全职能部门应上报集团公司网信办备案。
第十三条定期对各部门人员进行网络安全意识培训,对网络安全重要岗位进行网络安全技能培训并定期考核。
第十四条信息系统管理部门因工作需要引入第三方人员,并从事信息化或网络安全工作的,需报备安全管理员。
第十五条第三方人员应严格遵循集团公司及企业相关的安全管理规定开展服务工作,对应的信息系统管理部门负责对第三方人员工作进行安全监督,第三方人员如果出现违规安全事件,则由对应信息系统管理部门承担安全风险责任。
第十六条原则上不允许第三方人员访问集团公司内部网络。
如因工作需要访问内部网络,应通过网络安全职能部门的授权许可并登记。
第三方人员离场或服务结束后,应及时清除第三方人员的访问账户和权限。
第四章安全建设管理第十七条信息系统安全建设在系统定级、备案、安全规划设计、安全实施、测试验收、交付上线等环节,应严格遵循集团公司《网络安全和信息化管理办法》:(一)信息系统管理部门在系统建设前,应对系统服务的对象、系统业务信息和系统服务的连续性要求进行充分评估,并报网络安全职能部门确定信息系统安全保护等级,安全管理员负责系统定级备案工作;(二)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施,并在系统设计方案中加入对系统的安全保护要求、策略和措施等内容,安全管理员应将安全设计方案报集团公司网信办,集团公司网信办组织专家评审通过后,方可建设实施;(三)设备采购方面,应按照国家相关设备采购要求开展设备采购工作,参照建设方案对主流网络安全设备进行比对和筛选。
严禁采购和使用未经国家网络安全测评机构和公安部认可的网络安全设备;(四)设备上线前,安全管理员应对设备开展安全检查和加固工作,包括安全性检查、安全配置加固,安全补丁更新、安全策略库升级等工作内容,避免设备使用中引入安全漏洞隐患,其他运维人员配合安全管理员工作;(五)信息系统在实施前应制定实施计划,实施计划应包括负责部门、工程负责人、施工单位情况和工程实施方案等内容;(六)定制、合作和独立开发系统时,其参与人员应经过资格审查,并签订保密协议书,承担相应的安全保密责任和义务。
外包软件安装之前,应进行恶意代码检测。
如果开发方能够提供源代码,还需进行代码审查;(七)应按照工程实施方案的要求对工程实施过程进行进度和质量控制,并按照实施方案形成的阶段性工程报告等文档。
第十八条信息系统验收前,信息系统管理部门应提前告知安全管理员,并及时开展网络安全相关测试工作,根据发现的安全问题要求服务商整改并复测。
网络安全测试不通过的,原则上不予验收。
第十九条信息系统验收时,需要项目建设部门、信息系统管理部门、网络安全职能部门组成验收组,对项目进行验收。
项目验收内容应至少包括系统备案证明、安全测试报告、系统培训记录及文档、资产交付清单、系统设计文档、安全设计文档、系统建设文档、系统运维手册、用户使用手册。
第二十条所有通过验收并正式上线的信息系统,主管部门应将相关安全文档资料应进行完整归档,由安全管理员统一归档并报集团公司网信办备案。
第五章安全运维管理第二十一条办公环境安全管理要求如下:(一)办公区域内部使用的电脑必须安装病毒防护软件。
各使用人员在计算机上使用移动介质以及在互联网上接收文件或邮件之前,先进行病毒检查。
未经业务部许可,不得安装任何其他软件。
(二)员工办公桌面上禁止存放包含敏感信息的纸质文档,在办公环境中处理敏感信息时应防止信息泄密,处理完成后注意清理和检查工作。
(三)员工离开座位前应确保终端计算机处于安全状态,防止非授权人员操作。
禁止私人移动存储设备接入工作计算机,禁止任何形式复制、拷贝工作数据用于其他用途。
第二十二条信息系统是指支持企业业务运行的计算机软件系统,信息系统在本制度中指完成某一业务运行的应用软件、中间件、数据库和操作系统集合。
信息系统管理部门承担信息系统的安全管理责任。
第二十三条信息系统安全管理要求如下:(一)编制并保存信息系统的《信息资产清单》,清单中应包括资产分类、资产责任部门、资产等级和所处位置等内容,如信息资产变动应及时更新表单。
资产清单报备集团公司网信办。
(二)对信息资产进行统一管理,对于信息数据资产的访问,根据数据资产等级以及数据资产提供服务的不同,设置不同的访问权限,避免非授权访问,企业内部应全部使用正版软件;(三)在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;硬件资产如需报废时,应向主管部门提出报废申请,经批准后报废;(四)定期对本单位信息资产进行盘点;(五)应根据安全加固基线对信息系统进行安全加固;(六)应记录和保存信息系统基本配置信息,包括各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;(七)定期对信息系统的配置、日志信息进行备份保存,日志应转发到审计系统保存,保存至少6个月的相关安全日志;(八)应根据账号管理原则对用户分配账号和权限,密码设置应遵循密码策略,账号密码的发放必须严格保密,应修改原始密码;(九)信息系统普通用户账号原则上每年更换一次,管理类账号每半年更换一次;(十)员工岗位调整、离岗、离职时,所属部门领导应及时通知系统管理员和应用管理员删除离职人员的账号及权限,详细要求参照人员安全管理规定;(十一)应定期检查用户的账号及其权限,及时根据用户的安全责任和工作要求对用户身份和相应的权限进行变更;(十二)定期对信息系统进行安全巡检,安全巡检记录进行存档,对发现的安全隐患上报安全管理员,并负责协调、组织、跟进、监督安全隐患处置工作。
第二十四条恶意代码防范管理要求如下:(一)所有终端及服务器操作系统必须安装正版防病毒软件并实时运行,及时更新防病毒软件和病毒特征库;(二)禁止外部计算机和存储设备接入本单位网络,接入内部网络之前应进行病毒检查;(三)定期对网络和主机进行恶意代码检测,对主机防病毒产品截获的危险病毒或恶意代码进行及时分析处理,必要时上报集团公司网信办。
第二十五条备份恢复安全管理要求如下:(一)信息系统的备份应包括配置备份、日志备份和数据库备份,备份周期为每周至少一次全备份。
(二)系统管理员和应用管理员应定期检查备份数据,确认备份有效性,定期进行恢复性测试并进行记录归档。
第二十六条变更管理要求如下:(一)变更管理是指各类硬件设备的改动、添加、更换,或者各类软件系统的重要升级。
(二)系统变更可能影响网络安全的,需要报备安全管理员,重要信息基础设施变更时,安全管理员必须向集团公司网信办提出书面变更申请,经批准后方可进行;(三)信息系统进行升级、变更等重大操作前,对系统数据和业务数据要进行完整备份。
要制定详细的计划、流程和回退方案。