集团公司网络安全管理办法.docx

-

-PAGE#-

-

-PAGE#-

集团公司网络安全管理办法

第一章总则

第一条为加强**（集团）有限公司（以下简称集团公司）网络安全管理，落实网络安全工作责任，健全网络安全保障体系，根据《中华人民共和国网络安全法》、国家网络安全政策制度和标准规范，以及集团公司网络安全管理工作有关规定，制定本办法。

第二条本办法为集团公司网络安全管理指导性文件，适用范围包括集团公司本部及所属全资、控股公司（含直接控股、相对控股）和经费单位（以下简称各单位）。各单位应在落实本办法要求的前提下，结合实际，制定用于承接本办法的制度并严格执行。

第三条本办法所称网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

第四条集团公司网络安全工作遵循“积极利用、依法管理、科学发展、确保安全方针，根据同步规划、同步建设、同步使用要求，坚持谁建设谁负责，谁运行谁负责原则，实行分级管理和分工负责。

第五条集团公司网络安全工作以关键信息基础设施保护为核心，以数据资源保护为基础，以健全管理制度体系、加强技术能力建设为重点，围绕网络全生命周期、全要素覆盖，提升网络安全监管和防护水平。

第二章职责和分工

第六条集团公司网络安全工作领导小组是集团公司网络安全工作的领导机构，主要职责见集团公司网络安全相关制度。

第七条集团公司网络安全工作领导小组办公室是集团公司网络安全工作的主管部门（以下简称集团公司主管部门），负责网络安全工作的统筹协调和指导监督。主要职责如下：

（一）依照国家网络安全相关法律法规和集团公司网络安全工作领导小组决策部署，制定集团公司网络安全管理制度，推动落实国家网络安全等级保护（以下简称等保）制度。

（二）指导集团公司关键信息基础设施安全保护工作，组织认定关键信息基础设施，督促关键信息基础设施建设与运营单位开展风险评估和应急演练。

（三）建立健全网络安全态势感知体系，参与协调处理重大网络安全事件，组织实施国家重要活动、会议期间网络安全技术保障工作。

（四）指导重要数据收集单位开展数据安全分类分级和安全保护工作。

（五）组织开展网络安全检查和考核评价，指导、监督相关单位履行网络安全保障工作责任。

（六）组织开展网络安全技术培训工作。

第八条**股份有限公司对本单位及所属单位的网络安全工作进行直接管理，负责网络安全各项工作的组织、指导、监督、协调

及考核，配合集团公司开展相关工作。

第九条各单位是本单位网络安全工作的责任主体，应成立承担本单位网络安全管理职责的领导机构和具体部门，负责本单位网络安全制度体系建设和网络安全保护相关工作。其领导班子主要负责人是网络安全工作的第一责任人，主管网络安全的领导班子成员是直接责任人。

（一）建设单位是指负责网络投资建设的单位，负责建立完善建设安全相关制度，并在建设阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。

（二）运行单位是指负责网络运行管理的单位，负责建立完善运行安全相关制度，组织开展网络安全监测、预警和事件处置，并在运行阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。

第十条**信息技术发展有限公司是主体港区主干通信网络、集团级数据中心、关键信息基础设施的建设与运营主体，负责制定并定期更新配套管理制度，全面推进网络实名制建设，集中管控互联网总出口，健全网络技术防护体系，对网络接入行为进行安全评估与核查，统筹做好技术实施与运行保障工作。

第三章建设安全管理

第十一条建设单位应按照等级保护制度和标准规范要求，开展规划设计、建设开发、部署上线等环节的网络安全工作，建立覆

盖建设各方、各环节的网络安全责任制。

第十二条建设单位应建立网络安全建设管理制度，细化明确咨询设计单位、集成实施单位、开发单位、产品及服务提供商、监理单位等的网络安全建设责任，签署责任承诺书，留档备查。

第十三条在可行性研究报告（或具有同等作用的项目立项报告，下同）报批前，建设单位应组织开展等保定级工作。统一联网运行的网络，由集团公司主管部门组织建设单位确定等保级别。改扩建网络应重新组织开展定级工作，定级结果有调整的，应按要求报公安机关履行备案变更手续。

第十四条等保第二级及以上网络初步定级结果经建设单位审核通过后及时向公安机关备案。建设单位取得备案证明10个工作日内，报集团公司主管部门备案。

第十五条建设单位应组织设计单位严格按照所定级别开展整体安全规划和安全方案设计，安全方案设计应落实国家相关标准规范，合理设计重要网络的出口路由、核心交换机、应用和数据库服务器等重要设备和通信链路冗余备份方案，明确身份鉴别、访问控制、安全审计等要求。等保三级及以上网络初步设计方案（没有初步设计方案的则为可行性研究报告）报批时应同步提交安全设计方案评审意见