网络安全管理办法.doc

5-

网络安全管理办法

总则

为保障公司信息系统的安全性，降低信息系统存在的安全风险，保障公司网络与信息系统安全稳定运行，依据有关法律法规和规章制度要求，结合公司实际，制定本办法。

本办法适用于公司的网络安全管理工作，各级分子公司（以下简称“各单位”）参照执行。

管理要求

公司、各单位应认真贯彻执行国家网络安全法律、法规和政策，建立并完善网络安全管理体系、标准及制度，实施网络安全技术措施，保障网络与信息系统安全稳定运行，及时上报网络安全事件，加强灾害事件和网络安全事件应急管理，加强全员网络安全教育与培训。

公司网络安全管理按照“谁主管谁负责，谁运营谁负责”原则，建立分级管理、逐级负责的网络安全管理体系。公司网络安全和信息化领导小组是网络安全工作的最高决策机构；公司技术部是公司网络安全归口管理部门；各各单位是本单位网络安全管理与保障的责任主体。

各单位应成立网络安全和信息化领导小组，负责本各单位网络安全工作，研究决定网络安全重大事项，建立工作制度。

公司、各单位应设置网络安全管理专职岗位，配备专职网络安全管理人员，做好网络安全关键岗位人员的管理。

网络安全防护应与信息系统同步规划、建设与运行。网络安全产品和服务，原则上应优先选择自主可控产品和国内厂商。

公司、各单位应保证网络安全投入，加强全员网络安全宣传教育培训，开展网络安全教育和相关培训，提高网络安全人员的技能和全员网络安全意识水平。

总体安全策略

关于安全物理环境，机房应建设于合理位置，配置电子门禁、监控报警、防震、防水、消防、温湿度控制、UPS供电等基础设施防护系统和设备。

关于安全通信网络，通信线路、关键网络设备和计算设备应采取硬件冗余方式保证网络可用性，重要网络区域采取安全技术措施与其他网络进行隔离防护。

关于安全区域边界，应在网络边界或区域之间采取严格网络访问控制策略，对非授权设备、用户内联或外联行为进行检查或限制，在关键节点处对网络行为进行检测、分析、审计，防范网络攻击行为，及时更新升级防护机制。

关于安全计算环境，所有信息系统应启用身份标识鉴别，重要信息系统采用多因素认证方式，设置必要的登录失败处理、密码管理等策略，遵循最小权限原则，启用覆盖所有用户的安全审计功能，具备重要业务数据、审计数据、配置数据等备份、恢复功能，采取必要措施保证重要数据传输、存储的完整性与必威体育官网网址性。

关于安全管理中心，应对服务器管理、网络安全审计、网络安全管理等人员身份进行有效鉴别，只允许通过特定方式进行操作，并可对操作记录进行审计。划分专门区域对网络安全设备设施进行管理，对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理，对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

安全防护策略

公司、各单位应严格按照《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》等法律法规有关规定，开展网络安全等级保护工作，落实等级保护制度的各项要求。

各单位应严格按照网络安全等级保护相关制度和行业监管要求，制定网络安全防护技术标准，建立安全基线，建设网络安全技术防护体系，定期开展网络安全自查和整改。

根据信息系统管理的重要程度，应对系统进行安全等级的划分，并采取不同强度的安全防护措施。

技术部负责组织开展公司网络安全等级保护定级备案及安全防护工作，监督、检查和指导企业网络安全等级保护定级备案及安全防护相关工作。

加强安全防护，根据信息系统的变更及时调整安全策略、更新代码、更改配置，加强日常运行监控。

加强信息系统的用户口令管理；对于主机、数据库、应用服务器等系统管理员口令应定期更改。

加强对信息系统的数据备份管理，制定并及时调整备份策略，落实备份制度。

监控和应急处置

公司、各单位应加强网络安全日常监控、网络安全运行监控、重要敏感时期监控。

公司、各单位应建立健全网络安全应急工作机制，提高应对网络安全突发事件的能力，预防和减少网络安全事件造成的损失和危害。

重要系统必须制定网络安全应急预案应对各种突发情况，并根据业务实际需要对重要系统和数据进行备份。

网络安全应急预案由公司技术部负责组织编制、管理和宣贯培训，包括报告机制、应急资源情况、应急措施和操作方法，并定期组织开展应急演练。

涉密载体管理

使用涉密载体，应由各单位有关负责人根据载体密级和制发单位的要求以及实际工作需要，确定涉密载体的知悉范围，任何人不得擅自扩大知悉范围。涉密载体使用完毕后应立即清退、存档或销毁。

保存涉密载体，应由专人选择安全必威体育官网网址的单位内部场所进行保存，并配备必威体育官网网址柜等必要的安全防护措施。各级必威体育官网网址办应定期对涉密载体进行清查、核对，确保涉密载体安全。人员离开办公场所时，应确保涉密载体妥善保管、安全可控。

涉密设备包括但不仅限于移动存储介质、计算机、服务器、网