公司网络安全提升工作方案.docVIP

PAGE

PAGE1

公司网络安全提升工作方案

为切实贯彻落实《国家网络安全法》，进一步提升集团网络安全防护水平，特制订本方案。

本方案根据《国家网络安全法》、国家信息安全等级保护制度、《电力监控系统安全防护规定》（发改委14号令）等，结合公司信息安全管控体系深化设计成果，分析集团网络安全工作差距，并提出提升建议。

一、公司承担的法律义务

根据《国家网络安全法》相关规定，公司既是网络使用者，受到法律保护，同时也是网络运营者和关键信息基础设施的运行管理者。应承担的具体义务如下：

1.遵循网络安全等级保护制度

应全面落实国家网络安全等级保护制度，特别要做好四方面工作，一是建立健全内部安全管理制度，落实责任制；二是采取技术措施防病毒、防攻击、防入侵；三是完善监测、运行与安全事件记录措施，记录日志不少于6个月；四是实施数据安全保护。

2.做好网络安全事件应急与风险处置工作

应做好网络安全事件应急工作，制定应急预案、开展应急演练，及时启动应急响应，并执行报告制度；及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

3.做好网络服务系统的安全保护与个人信息保护

针对面向社会、公众提供服务的信息系统（如电力营销类、招标采购类、热力服务类），应做好安全防护与持续的安全维护，保障系统安全并确保收集的个人信息安全。

4.开展关键信息基础设施安全保障

按照关键信息基础设施梳理的要求，公司各级单位初步梳理出关键信息基础设施13套，一是应按照“三同步”原则，保证关键信息基础设施与安全技术措施同步规划、同步建设、同步使用；二是设置专门的安全管理机构和管理负责人，实行关键岗位人员安全背景审查；三是定期对从业人员进行网络安全教育、技术培训和技能考核；四是对重要系统和数据库进行容灾备份；五是制定网络安全事件应急预案，并定期进行演练；六是电力企业还应遵循发改委14号令和能源局36号文，对电力监控系统实施安全保护；七是相关网络产品和服务应通过国家安全审查；八是应与网络产品和服务供应商签署必威体育官网网址协议；九是中国境内收集的重要数据，应在境内存储，确需向境外传输的，应经国家有关部门评估；十是应至少每年进行一次安全风险检测与评估。

5.加强对网络用户发布信息的安全管理

能够发现、阻止并消除网络用户利用单位网络发布或者传输法律、行政法规禁止的信息。

6.建立健全监测预警与安全信息通报机制

二、公司网络安全工作现状和主要问题

根据目前掌握情况，对标《网络安全法》等相关规定，集团网络安全工作现状和主要问题如下：

1.落实信息安全等级保护制度方面

公司多年来重视等级保护制度的贯彻落实，将信息安全等级保护工作纳入《公司信息安全管理规定》，要求各级单位常态化执行。按照等级保护工作要求，每年组织集团各级单位开展等级保护定级备案，以及等级保护第三级信息系统的测评、整改工作。

但部分单位对定级、备案、测评、整改的工作程序执行不严格，存在定级备案不及时、测评整改不落实的情况。由于部分地方公安机关工作标准不同，客观上也造成部分单位备案、测评工作遇到困难。

2.网络安全管理组织与制度建设方面

各级单位已成立负责网络安全的领导机构，明确单位主要负责人是网络安全第一责任人，网络安全管理普遍归口信息化管理部门。

但普遍没有设置网络安全管理专业岗位、配置专职人员；没有建立网络安全人员专业培训、技能考核、持证上岗与资格审查机制，各级单位网络安全人员专业水平不高。部分单位在公司管理制度基础上、结合自身实际编制了实施办法，但部分单位网络安全制度规范不完善、缺乏可操作性或束之高阁。

3.网络安全保障机制与标准建设方面

集团总部信息化项目已初步建立信息系统与安全措施同步设计、同步建设、同步运行的安全“三同步”机制，所有系统上线前要求开展安全性检测；建立了数据中心信息系统漏洞检测与系统消缺机制，定期开展系统漏洞扫描，修补安全漏洞；开展应急管理工作，发布《信息安全应急管理办法》、《网络与信息安全信息通报管理办法》，成功应对5月全球范围爆发的勒索病毒；建立了网络安全检查、评价机制，每年结合国家重要活动时期的安全保障任务，组织开展主要二三级单位网络安全工作检查，保障闭环管理。

但尚未在全集团范围建立起信息安全“三同步”和网络安全风险评估机制，特别是电力监控系统等生产领域关键信息基础设施网络安全防护工作推进缓慢，相关工作和技术标准有待完善，内部信息安全专业服务力量有待加强。此外，针对《网络安全法》提出的服务系统与个人信息保护、网络产品和服务采购前期安全审查、向境外传输重要数据安全管理等方面，存在解决方案缺失、标准缺失、管理缺位的情况。

4.网络安全技术防护方面

公司已建成统一身份认证与管理平台、统一终端安全管理系统，广域网边界防火墙，并基本建成双网隔离、统一防病毒系统、统一监测预警平台（一期工程）