企业网络信息安全管理制度

XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度文档信息文档名称：XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度文档密级内部公开文档编号：02文档类型：制度当前版本：V1.0起草日期：2018年9月20日生效周期：发布日期发布之日起生效日期：发布之日起控制信息编辑修改编辑者日期版本说明Xxxxxx2020-07-011.0网络安全文档评审审核者审核日期说明文档发布发布者发布日期发布范围XXXXXXXXXXXXXXXXX有限公司网络信息安全管理制度第一章总则第一条为进一步推进信息化建设，加强网络安全管理能力，统一XXXXXXXXXXXXXXXXX有限公司（以下简称“本企业”）网络安全管理规范和流程，提升企业网络安全保障意识和能力，依据《中国人民共和国网络安全法》、《网络安全等级保护基本要求》等有关政策法规，依据集团公司《网络安全和信息化管理办法》的总体要求，结合企业实际安全情况，制定本制度。第二条本制度是对集团公司《网络安全和信息化管理办法》的细化和落地，信息安全总体方针、策略遵从《网络安全和信息化管理办法》的规定执行。第三条本制度适用于指导开展网络安全管理工作，规范网络安全管理方面的各项管理活动、管理过程。本企业信息系统均应遵循本规定开展安全管理工作。第二章组织机构及其职责第四条在集团公司网信领导小组和集团公司网信办指导下，根据《网络安全和信息化管理办法》“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则开展网络安全工作，企业2负责人对企业网络安全工作负主体责任。第五条技术部门承担网络安全职能，部门负责人对网络安全工作负主要责任，网络安全职能如下：(一)贯彻落实集团公司网信领导小组有关网络安全和信息化的重大战略决策和工作要求；(二)负责网络安全工作的开展，包括网络安全培训计划与开展、员工网络安全意识宣贯、网络安全制度落地执行、系统安全建设管理、系统安全运维管理等各项工作；(三)根据企业自身网络安全特点，制定网络安全管理流程；(四)负责定期组织召开内部、外部网络安全工作会议；(五)负责信息系统等级保护定级、备案、安全建设整改工作；(六)开展等级保护测评工作，应对监管部门安全检查；(七)负责网络安全事件的应急处置，重要安全事件的上报，负责配合集团公司网信办进行安全事件处置、取证、回溯和事后的加固分析工作；(八)及时向集团公司网信办报告网络安全工作。包括：网络安全工作计划、网络安全重点工作进度、网络安3全重大事项、网络安全重要政策和制度措施和网络安全工作年度总结；(九)其他网络安全工作。第六条网络安全职能部门应设置安全管理员岗位，信息系统管理部门应设置系统管理员及应用管理员岗位。安全管理员岗位人员名单应上报集团公司网信办备案。第七条人员岗位职责如下：(一)安全管理员：负责网络信息安全管理制度的落地、执行；负责对系统进行恶意代码检查、安全漏洞检测和安全配置核查；负责对信息系统进行安全检查，排查相关网络安全隐患；负责信息系统安全事件处理和恢复；负责协助集团公司网信办对网络安全事件进行应急处置和取证分析；其他网络安全工作。(二)系统管理员：负责操作系统、数据库的日常管理与维护；负责操作系统、数据库帐号和权限管理；4负责操作系统、数据库的补丁升级、安全配置加固和备份；负责操作系统、数据库故障的处理。(三)应用管理员：负责应用系统日常管理与维护；配合安全管理员，在应用系统设计、测试、部署、运行过程中，对应用系统进行安全把控、测试、配置、加固；负责应用系统帐号和权限管理；负责应用系统故障的处理。第三章人员安全管理第八条企业人员录用需签署保密协议。对于网络安全相关岗位人员的录用，应严格考察该人员的业务技术水平和相关资质认证。第九条企业内部人员在变换岗位时，信息系统管理部门负责更换关联访问权限，如有必要，修改保密协议。第十条人员离职时，应及时移交相关工作，上交计算机等软、硬件资产，办理完成离职人员移交手续后方能批准离职。第十一条人事部门和员工所在部门要做好人员离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获5得机密信息。员工离职后如发生泄密情况，应承担由此涉及的法律责任。第十二条系统管理员、应用管理员或安全管理员离职时，网络安全职能部门应组织统一修改所有系统、应用等相关密码，重点核查VPN、对外提供服务系统中离职人员账号是否清除。安全管理员离职或更换时，网络安全职能部门应上报集团公司网信办备案。第十三条定期对各部门人员进行网络安全意识培训，对网络安全重要岗位进行网络安全技能培训并定期考核。第十四条信息系统管理部门因工作需要引入第三方人员，并从事信息化或网络安全工作的，需报备安全管理员。第十五条第三方人员应严格遵循集团公司及企业相关的安全管理规定开展服务工作，对应的信息系统管理部门负责对第三方人员工作进行安全监督，第三方人员如果出现违规安全事件，则由对应信息系统管理部门承担安全风险责任。第十六条原则上不允许第三方人员访问集团公司内部网络。如因工作需要访问内部网络，应通过网络安全职能部门的授权许可并登记。第三方人员离场或服务结束后，应及时清除第三方人员的访问账户和权限。6第四章安全建设管理第十七条信息系统安全建设在系统定级、备案、安全规划设计、安全实施、测试验收、交付上线等环节，应严格遵循集团公司《网络安全和信息化管理办法》：(一)信息系统管理部门在系统建设前，应对系统服务的对象、系统业务信息和系统服务的连续性要求进行充分评估，并报网络安全职能部门确定信息系统安全保护等级，安全管理员负责系统定级备案工作；(二)应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，并在系统设计方案中加入对系统的安全保护要求、策略和措施等内容，安全管理员应将安全设计方案报集团公司网信办，集团公司网信办组织专家评审通过后，方可建设实施；(三)设备采购方面，应按照国家相关设备采购要求开展设备采购工作，参照建设方案对主流网络安全设备进行比对和筛选。严禁采购和使用未经国家网络安全测评机构和公安部认可的网络安全设备；(四)设备上线前，安全管理员应对设备开展安全检查和加固工作，包括安全性检查、安全配置加固，安全7补丁更新、安全策略库升级等工作内容，避免设备使用中引入安全漏洞隐患，其他运维人员配合安全管理员工作；(五)信息系统在实施前应制定实施计划，实施计划应包括负责部门、工程负责人、施工单位情况和工程实施方案等内容；(六)定制、合作和独立开发系统时，其参与人员应经过资格审查，并签订保密协议书，承担相应的安全保密责任和义务。外包软件安装之前，应进行恶意代码检测。如果开发方能够提供源代码，还需进行代码审查；(七)应按照工程实施方案的要求对工程实施过程进行进度和质量控制，并按照实施方案形成的阶段性工程报告等文档。第十八条信息系统验收前，信息系统管理部门应提前告知安全管理员，并及时开展网络安全相关测试工作，根据发现的安全问题要求服务商整改并复测。网络安全测试不通过的，原则上不予验收。第十九条信息系统验收时，需要项目建设部门、信息系统管理部门、网络安全职能部门组成验收组，对项目进行验收。8项目验收内容应至少包括系统备案证明、安全测试报告、系统培训记录及文档、资产交付清单、系统设计文档、安全设计文档、系统建设文档、系统运维手册、用户使用手册。第二十条所有通过验收并正式上线的信息系统，主管部门应将相关安全文档资料应进行完整归档，由安全管理员统一归档并报集团公司网信办备案。第五章安全运维管理第二十一条办公环境安全管理要求如下：(一)办公区域内部使用的电脑必须安装病毒防护软件。各使用人员在计算机上使用移动介质以及在互联网上接收文件或邮件之前，先进行病毒检查。未经业务部许可，不得安装任何其他软件。(二)员工办公桌面上禁止存放包含敏感信息的纸质文档，在办公环境中处理敏感信息时应防止信息泄密，处理完成后注意清理和检查工作。(三)员工离开座位前应确保终端计算机处于安全状态，防止非授权人员操作。禁止私人移动存储设备接入工作计算机，禁止任何形式复制、拷贝工作数据用于其他用途。9第二十二条信息系统是指支持企业业务运行的计算机软件系统，信息系统在本制度中指完成某一业务运行的应用软件、中间件、数据库和操作系统集合。信息系统管理部门承担信息系统的安全管理责任。第二十三条信息系统安全管理要求如下：(一)编制并保存信息系统的《信息资产清单》，清单中应包括资产分类、资产责任部门、资产等级和所处位置等内容，如信息资产变动应及时更新表单。资产清单报备集团公司网信办。(二)对信息资产进行统一管理，对于信息数据资产的访问，根据数据资产等级以及数据资产提供服务的不同，设置不同的访问权限，避免非授权访问，企业内部应全部使用正版软件；(三)在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用；硬件资产如需报废时，应向主管部门提出报废申请，经批准后报废；(四)定期对本单位信息资产进行盘点；(五)应根据安全加固基线对信息系统进行安全加固;10(六)应记录和保存信息系统基本配置信息，包括各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;(七)定期对信息系统的配置、日志信息进行备份保存，日志应转发到审计系统保存，保存至少6个月的相关安全日志；(八)应根据账号管理原则对用户分配账号和权限，密码设置应遵循密码策略，账号密码的发放必须严格保密，应修改原始密码；(九)信息系统普通用户账号原则上每年更换一次，管理类账号每半年更换一次；(十)员工岗位调整、离岗、离职时，所属部门领导应及时通知系统管理员和应用管理员删除离职人员的账号及权限，详细要求参照人员安全管理规定；(十一)应定期检查用户的账号及其权限，及时根据用户的安全责任和工作要求对用户身份和相应的权限进行变更；(十二)定期对信息系统进行安全巡检，安全巡检记录进行存档，对发现的安全隐患上报安全管理员，并负责协调、组织、跟进、监督安全隐患处置工作。11第二十四条恶意代码防范管理要求如下：(一)所有终端及服务器操作系统必须安装正版防病毒软件并实时运行，及时更新防病毒软件和病毒特征库;(二)禁止外部计算机和存储设备接入本单位网络，接入内部网络之前应进行病毒检查;(三)定期对网络和主机进行恶意代码检测，对主机防病毒产品截获的危险病毒或恶意代码进行及时分析处理，必要时上报集团公司网信办。第二十五条备份恢复安全管理要求如下：(一)信息系统的备份应包括配置备份、日志备份和数据库备份，备份周期为每周至少一次全备份。(二)系统管理员和应用管理员应定期检查备份数据，确认备份有效性，定期进行恢复性测试并进行记录归档。第二十六条变更管理要求如下：(一)变更管理是指各类硬件设备的改动、添加、更换，或者各类软件系统的重要升级。(二)系统变更可能影响网络安全的，需要报备安全管理员，重要信息基础设施变更时，安全管理员必须向12集团公司网信办提出书面变更申请，经批准后方可进行；(三)信息系统进行升级、变更等重大操作前，对系统数据和业务数据要进行完整备份。要制定详细的计划、流程和回退方案。发生问题后，要立即用备份数据恢复系统运行，尽量保持业务的连续性、完整性；(四)运维部门执行变更操作前应通知相关人员做好准备，变更操作过程中必须按规定进行详细登记和记录，对各类软件、现场资料、档案等进行整理存档；(五)涉及设备更换时，应对被更换设备进行检查处理。如需保存历史数据，按数据备份管理要求执行；如需清除或销毁，由技术部门实施不可恢复性消除或物理销毁。第二十七条安全管理员每半年对网络安全运维工作进行安全检查，检查内容包括但不限于信息系统安全运维工作、安全配置情况、安全加固工作、日常巡检工作、安全备份及恢复、其他安全管理工作的落实情况；安全检查中发现的问题，应立即要求相关问题责任人进行整改，并对整改结果进行验证；安全检查完成后，安全检查相关文档上报集团公司网信办。13第六章安全事件管理第二十八条安全管理员制定安全事件应急预案，预案应包含常规网络安