网络安全管理办法.pdfVIP

网络安全管理办法--第1页

网络安全管理办法

第一章总则

第一条为保障公司信息系统的安全性，降低信息系

统存在的安全风险，保障公司网络与信息系统安全稳定运

行，依据有关法律法规和规章制度要求，结合公司实际，制

定本办法。

第二条本办法适用于公司的网络安全管理工作，各

级分子公司（以下简称“各单位”）参照执行。

第二章管理要求

第三条公司、各单位应认真贯彻执行国家网络安全

法律、法规和政策，建立并完善网络安全管理体系、标准及

制度，实施网络安全技术措施，保障网络与信息系统安全稳

定运行，及时上报网络安全事件，加强灾害事件和网络安全

事件应急管理，加强全员网络安全教育与培训。

第四条公司网络安全管理按照“谁主管谁负责，谁

运营谁负责”原则，建立分级管理、逐级负责的网络安全管

理体系。公司网络安全和信息化领导小组是网络安全工作的

最高决策机构；公司技术部是公司网络安全归口管理部门；

各各单位是本单位网络安全管理与保障的责任主体。

第五条各单位应成立网络安全和信息化领导小组，

负责本各单位网络安全工作，研究决定网络安全重大事项，

建立工作制度。

第六条公司、各单位应设置网络安全管理专职岗位，

配备专职网络安全管理人员，做好网络安全关键岗位人员的

-1-

网络安全管理办法--第1页

网络安全管理办法--第2页

管理。

第七条网络安全防护应与信息系统同步规划、建设

与运行。网络安全产品和服务，原则上应优先选择自主可控

产品和国内厂商。

第八条公司、各单位应保证网络安全投入，加强全

员网络安全宣传教育培训，开展网络安全教育和相关培训，

提高网络安全人员的技能和全员网络安全意识水平。

第三章总体安全策略

第九条关于安全物理环境，机房应建设于合理位置，

配置电子门禁、监控报警、防震、防水、消防、温湿度控制、

UPS供电等基础设施防护系统和设备。

第十条关于安全通信网络，通信线路、关键网络设

备和计算设备应采取硬件冗余方式保证网络可用性，重要网

络区域采取安全技术措施与其他网络进行隔离防护。

第十一条关于安全区域边界，应在网络边界或区域

之间采取严格网络访问控制策略，对非授权设备、用户内联

或外联行为进行检查或限制，在关键节点处对网络行为进行

检测、分析、审计，防范网络攻击行为，及时更新升级防护

机制。

第十二条关于安全计算环境，所有信息系统应启用

身份标识鉴别，重要信息系统采用多因素认证方式，设置必

要的登录失败处理、密码管理等策略，遵循最小权限原则，

启用覆盖所有用户的安全审计功能，具备重要业务数据、审

计数据、配置数据等备份、恢复功能，采取必要措施保证重

-2-

网络安全管理办法--第2页

网络安全管理办法--第3页

要数据传输、存储的完整性与必威体育官网网址性。

第十三条关于安全管理中心，应对