集团公司网络安全管理办法.docx
集团公司网络安全管理办法第一章总则第一条为加强*(集团)有限公司(以下简称集团公司)网络安全管理,落实网络安全工作责任,健全网络安全保障体系,根据中华人民共和国网络安全法、国家网络安全政策制度和标准规范,以及集团公司网络安全管理工作有关规定,制定本办法。第二条本办法为集团公司网络安全管理指导性文件,适用范围包括集团公司本部及所属全资、控股公司(含直接控股、相对控股)和经费单位(以下简称各单位)。各单位应在落实本办法要求的前提下,结合实际,制定用于承接本办法的制度并严格执行。第三条本办法所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。第四条集团公司网络安全工作遵循“积极利用、依法管理、科学发展、确保安全"方针,根据"同步规划、同步建设、同步使用"要求,坚持"谁建设谁负责,谁运行谁负责"原则,实行分级管理和分工负责。第五条集团公司网络安全工作以关键信息基础设施保护为核心,以数据资源保护为基础,以健全管理制度体系、加强技术能力建设为重点,围绕网络全生命周期、全要素覆盖,提升网络安全监管和防护水平。第二章职责和分工第六条集团公司网络安全工作领导小组是集团公司网络安全工作的领导机构,主要职责见集团公司网络安全相关制度。第七条集团公司网络安全工作领导小组办公室是集团公司网络安全工作的主管部门(以下简称集团公司主管部门),负责网络安全工作的统筹协调和指导监督。主要职责如下:(一)依照国家网络安全相关法律法规和集团公司网络安全工作领导小组决策部署,制定集团公司网络安全管理制度,推动落实国家网络安全等级保护(以下简称等保)制度。(二)指导集团公司关键信息基础设施安全保护工作,组织认定关键信息基础设施,督促关键信息基础设施建设与运营单位开展风险评估和应急演练。(三)建立健全网络安全态势感知体系,参与协调处理重大网络安全事件,组织实施国家重要活动、会议期间网络安全技术保障工作。(四)指导重要数据收集单位开展数据安全分类分级和安全保护工作。(五)组织开展网络安全检查和考核评价,指导、监督相关单位履行网络安全保障工作责任。(六)组织开展网络安全技术培训工作。第八条*股份有限公司对本单位及所属单位的网络安全工作进行直接管理,负责网络安全各项工作的组织、指导、监督、协调及考核,配合集团公司开展相关工作。第九条各单位是本单位网络安全工作的责任主体,应成立承担本单位网络安全管理职责的领导机构和具体部门,负责本单位网络安全制度体系建设和网络安全保护相关工作。其领导班子主要负责人是网络安全工作的第一责任人,主管网络安全的领导班子成员是直接责任人。(一)建设单位是指负责网络投资建设的单位,负责建立完善建设安全相关制度,并在建设阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。(二)运行单位是指负责网络运行管理的单位,负责建立完善运行安全相关制度,组织开展网络安全监测、预警和事件处置,并在运行阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。第十条*信息技术发展有限公司是主体港区主干通信网络、集团级数据中心、关键信息基础设施的建设与运营主体,负责制定并定期更新配套管理制度,全面推进网络实名制建设,集中管控互联网总出口,健全网络技术防护体系,对网络接入行为进行安全评估与核查,统筹做好技术实施与运行保障工作。第三章建设安全管理第十一条建设单位应按照等级保护制度和标准规范要求,开展规划设计、建设开发、部署上线等环节的网络安全工作,建立覆盖建设各方、各环节的网络安全责任制。第十二条建设单位应建立网络安全建设管理制度,细化明确咨询设计单位、集成实施单位、开发单位、产品及服务提供商、监理单位等的网络安全建设责任,签署责任承诺书,留档备查。第十三条在可行性研究报告(或具有同等作用的项目立项报告,下同)报批前,建设单位应组织开展等保定级工作。统一联网运行的网络,由集团公司主管部门组织建设单位确定等保级别。改扩建网络应重新组织开展定级工作,定级结果有调整的,应按要求报公安机关履行备案变更手续。第十四条等保第二级及以上网络初步定级结果经建设单位审核通过后及时向公安机关备案。建设单位取得备案证明10个工作日内,报集团公司主管部门备案。第十五条建设单位应组织设计单位严格按照所定级别开展整体安全规划和安全方案设计,安全方案设计应落实国家相关标准规范,合理设计重要网络的出口路由、核心交换机、应用和数据库服务器等重要设备和通信链路冗余备份方案,明确身份鉴别、访问控制、安全审计等要求。等保三级及以上网络初步设计方案(没有初步设计方案的则为可行性研究报告)报批时应同步提交安全设计方案评审意见。拟采用云计算服务的,建设单位应在可行性研究阶段,开展云计算服务需求分析,提出云服务安全技术要求,确保网络安全需求得到满足。第十六条包含重要数据和大量个人敏感信息、直接影响企业运转和员工生活工作的关键业务系统,应部署在集团级数据中心内。集团公司可根据实际需要使用或处置系统运行过程中收集、产生、存储的数据资源。第十七条网络建设应采购安全可信的产品和服务,网络关键设备、网络安全专用产品应符合法律、行政法规的规定和相关国家标准的强制性要求。在同等条件下,各单位应优先选用国产化技术和产品。提供服务的云平台要通过云计算安全服务审查。接入互联网的网络应支持IPV6访问。第十八条建设单位应加强软件开发和硬件部署安全管理,软件应按照安全需求、软件工程规范进行设计开发,并具备用户口令强度验证、二次校验和定期强制更新功能,应采取措施审查软件中可能存在的隐蔽通道和恶意代码。硬件部署如需要第三方人员参与,应由建设单位专人全程监督,并在交付后及时修改全部用户默认口令,建立定期更新机制。软硬件用户口令长度应大于8位,并由大小写英文、数字和特殊符号组成。使用代码托管的,建设单位应对开发单位自建代码托管平台安全措施进行备案,对互联网代码托管平台的代码托管行为进行授权同意。建设单位应严控第三方组件安全风险,规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理,明确开发单位的第三方组件安全责任,建立第三方组件清单(附件6),清单包括但不限于网络名称、网络开发单位名称、第三方组件名称、版本号、主要功能、用途、风险分析、风险规避措施、入网安全测试结果、第三方组件账号权限、端口等情况。第十九条网络试运行应在确保安全的前提下进行。等保第二级及以上网络试运行时,建设单位应向本单位网络安全主管部门提交软件安全测试和代码安全审计报告。软件安全测试结果为不合格的、代码安全审计中含中高危漏洞的,应在整改完成后申请试运行。第二十条网络试运行前,应通过建设单位网络安全主管部门审批,并由建设单位明确运行单位。运行单位负责核验安全测试和代码安全审计报告等相关材料,采取措施评估申请试运行网络的安全状况,确认符合运行安全要求后,组织开展网络试运行工作。对未达到运行安全要求的,由运行单位通过书面形式向建设单位提出安全整改要求。需要接入互联网的网络,建设单位履行移动互联网信息系统备案流程(附件7)后,方可上线试运行。与网络同时建设开发的相关移动互联网应用程序(APP、小程序、快应用或具备服务功能的公众号、微博账号等)应同步履行移动互联网应用程序备案流程(附件8)。第二十一条网络试运行应采取分区分域、严格访问控制等措施,加强安全防护。试运行期间,建设单位应配合运行单位开展运行维护相关工作,网络配置不当、应用软件质量问题等导致的网络安全责任,由建设单位承担。试运行期间,对等保第二级及以上的系统,建设单位应组织开展等级测评,等级测评应强化对代码安全审计报告的核查。依托关键信息基础设施建设的各类信息系统、基础数据库等项目还应开展风险评估。第二十二条建设单位应组织运行单位参与竣工验收。未通过等保测评及备案的,风险评估(如要求)不合格的,应在整改通过后开展竣工验收。竣工验收15个工作日内,建设单位应与运行单位进行运行责任以及全部技术文档和源代码移交,并将有关材料报本单位网络安全主管部门备案。运行责任及相关材料移交前,相关网络安全责任由建设单位负责。第二十三条建设单位应明确网络建设开发安全质量责任界定,对因业务逻辑缺陷等需经应用程序源代码修改完善的漏洞隐患整改,应与有关产品服务提供单位约定全生命周期安全保障要求。第二十四条针对专项工作临时委托开发部署的短期运行的网络,建设单位应组织开发单位采取必要的安全防护措施,做好安全检测评估,并在上线前向本单位网络安全主管部门报备。专项工作结束后,应尽快停用或下线网络。第二十五条等保第三级及以上网络应制定密码应用方案,正确、有效采用国产密码技术进行保护,并使用符合相关要求的密码产品和服务。按照密码应用安全性评估管理办法和相关标准,开展密码应用安全性评估。如发生密码应用重大调整等情况,建设单位应及时组织开展密码应用安全性评估Q第四章运行安全管理第二十六条集团级数据中心内的互联网总出口是各单位接入互联网的唯一出口,各单位不得自行向其他网络运营商申请以专线、宽带、无线等任何方式接入互联网。各单位应合理规划网络拓扑,采取有效措施实现局域网与互联网的隔离,严格控制非授权网络访问。第二十七条各单位应采取相关技术手段,实现网络实名制管理,并将本单位全部网络流量接入集团公司网络安全态势感知平台。不满足要求的单位,不得接入互联网。第二十八条运行单位应建立健全覆盖运行各环节的安全管理制度体系和操作规程,规范制度版本管理,定期评估并完善。应建立完善运行组织机构,科学设置运维管理岗位,有效落实运维安全责任。应配备一定数量的系统管理员、安全管理员、审计管理员,等保第三级及以上网络应配备专职安全管理员。涉及基础环境、公共平台、业务应用系统多方运维的,应在责任移交时确定运行责任。各单位网络安全主管部门应建立并定期更新本单位网络运行责任清单,清单包括但不限于网络名称、部署位置、主管部门、建设单位、运行单位、定级备案等信息(附件9)。第二十九条运行单位应建立健全机房管理制度,配备机房安全管理人员,严格机房出入安全管理,定期对机房开展检查,确保机房条件符合安全运行要求。第三十条运行单位应加强网络边界防护,并按照最小权限原则对网络进行分区分域管理,在不同安全域间实施访问控制,严格控制非授权网络访问。第三十一条运行单位应制定完备的软硬件设备管理制度,建立设备清单,明确设备管理责任、设备关联关系以及设备技术服务状况,规范设备管理和使用行为,并根据设备重要程度采取相应的安全保护措施和访问控制策略。第三十二条运行单位应规范运行期间应用软件版本管理,形成版本控制日志清单(附件10)。应确保应用程序的修改、更新和发布,以及软硬件设备安全更新经过建设单位和本单位网络安全主管部门的授权和同意。第三十三条运行单位应采取技术措施防范网络攻击、网络侵入等危害网络安全行为。遵循最小权限、最小安装原则,加强应用、服务、端口等安全管理。工控系统及其运行环境、使用环境应严格实现"专网专用",与其他网络物理隔离,严禁接入互联网。建立定期巡检制度,完善网络运行状态监控、响应支持、故障处理、性能优化等服务规范。第三十四条等保三级及以上的网络,建设单位应严格按照等保要求,每年定期组织开展等保测评,并将结果报集团公司网络安全主管部门备案。运行单位应对等保测评提供必要的保障条件,并协助建设单位限时完成测评发现的安全风险项整改。发生服务范围、服务对象和处理的数据重大变更并可能影响等保级别的,应由建设单位组织运行单位重新定级备案和安全整改建设,按要求开展等保测评。第三十五条运行单位应采取技术措施监测、记录运行网络状态和网络安全事件,留存网络设备、安全设备、应用系统、数据库、服务器、中间件等全部软硬件日志(原则上应包含原始日志和归一化处理日志),各类日志留存时间不少于六个月。第三十六条运行单位应加强对接入运行环境的行为管理,应对网络接入方案、安全测评报告等进行审核和安全评估,确认达到安全要求并与申请接入单位签订安全协议后方可授权接入。移动终端接入设备、物联网感知节点设备应采取授权接入、身份鉴别、加密和设备管控等安全措施,定期开展设备巡查,及时发现并处置风险隐患。第三十七条各单位应采取集中管控、用户识别、访问控制、安全审计等措施,加强计算机等办公终端的管理,按照"谁使用谁负责"的原则,落实使用人员安全管理责任,并定期组织开展病毒查杀、漏洞修复和版本升级等工作。第三十八条各单位应严格管理无线网络,严禁非授权终端的网络接入行为,采取身份认证、访问控制、行为管理、安全审计、安全隔离等技术措施确保安全运行。第三十九条各单位应加强移动存储介质管理,采取技术措施加强移动存储介质接入网络行为的监控,防止因移动存储介质使用导致的病毒木马传播。第四十条各单位应加强互联网资产梳理和监测,定期更新互联网资产管理台账,有效控制互联网资产暴露面。门户网站应集约化建设,原则上统一使用集团公司官网二级域名,并悬挂电信ICP备-9-案号、公安机关备案号。应加强互联网资产安全防护,部署必要的防护设备,建立以网页防篡改、域名防劫持以及防攻击、防瘫痪、防挂马为主的防护体系,严格划分安全区域,严格设置访问控制策略,建立安全访问路径,有效防止后台管理系统暴露在互联网中。严格后台发布终端管理。严格信息发布、转载和链接管理。第四十一条各单位应加强互联网电子邮件系统安全管理,采取与保护级别一致的安全保护措施。严格用户注册审批和注销管理。严禁将邮件自动转发至私人或境外邮箱。应加强用户安全意识教育,防止钓鱼邮件等网络攻击。采用第三方邮件服务的,应采取签订服务安全合同、保密协议等方式,明确第三方安全责任。第四十二条运行单位应加强对外包服务和远程技术服务安全管理。需要外包服务或者远程技术服务的,应与服务提供者(含法人单位及具体服务人员)签订安全保密协议。采取技术措施有效记录技术服务操作行为。应严格控制远程运维接口或通道,按需开启,事后关闭,并及时更新相关软硬件用户口令。进行远程维护时,应当采取认证、加密、审计等管控措施,保留审计日志。第四十三条网络下线或废止前,建设单位应以书面形式向运行单位提出数据、应用软件及相关设备资产等处理要求,运行单位对网络下线或废止的安全风险进行评估,并针对性的提出应对措施,经建设单位同意后实施。使用云计算服务的,还应确保云计算服务提供商做好数据、文档等资源的移交和清除工作。网络下线或废止处理结果报本单位网络安全主管部门备案,同时向公安机关更新等保备案信息。第四十四条国家、地方重要活动和会议期间实行网络安全重点保障。各单位应围绕重点保障目标,收敛互联网资产暴露面,做好事前检查和风险漏洞检测整改,建立网络运行白名单,加强重点防护并与第三方服务单位签署网络安全责任承诺书。实行专项信息通报,严格执行每日"零报告”制度。实行公司领导带班和一线7*24小时值守。第五章关键信息基础设施安全第四十五条关键信息基础设施在等保制度基础上,实行重点保护,具体识别、认定和管理依照国家和行业有关规定执行。认定为关键信息基础设施的,网络安全保护等级应不低于第三级,备案结果及测评报告应及时报集团公司网络安全主管部门备案。第四十六条关键信息基础设施运营单位应确立主管网络安全的领导班子成员作为首席网络安全官,设置专门的安全管理机构和专职的网络安全人员。应对网络安全机构负责人,与关键业务应用系统直接相关的系统管理、网络管理、安全管理等关键岗位人员(含第三方人员)进行安全背景审查,定期并定期开展技术培训和技能考核。第四十七条关键信息基础设施运营单位应完善规划设计、建设、运行、维护等服务采购的安全管理,确保供应链安全。采购核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务,关键信息基础设施运营单位预判影响或可能影响国家安全的,应按要求申报并通过网络安全审查,并与提供者签订安全保密协议。第四十八条关键信息基础设施运营单位应加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展网络安全保护,建立系统应用与系统数据容灾备份机制,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系。第四十九条关键信息基础设施运营单位应组织对设施实行7*24小时监测,每年至少组织开展一次检测评估并及时予以改进,并将检测评估情况和改进措施报集团公司主管部门备案。应制定并完善安全应急预案和快速恢复方案,定期开展服务中断、数据泄漏等网络安全事件应急演练,确保应急预案和快速恢复方案的有效性,并留存相关文件。涉及密码应用的,每年至少开展一次密码应用安全性评估。第五十条各单位应加强关键信息基础设施清单及工作信息保密管理,严控知悉范围。严禁非法获取、出售或未授权向他人提供关键信息基础设施的基本情况、安全防护策略、设备配置、技术参数等可能被用以威胁关键信息基础设施运行安全的信息。第六章数据安全第五十一条各单位应遵循“谁收集数据、谁负责保护"原则,建立并落实覆盖数据全生命周期的安全保护制度,实行数据分类分级管理,强化重要数据和个人信息保护,不断完善数据安全保障措施。重要数据识别依据国家、行业有关规定开展。采集、处理重要数据的建设和运行单位应明确数据安全负责人,指导数据安全保护工作。第五十二条各单位收集和使用个人信息应遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。数据收集单位应对个人信息采集范围、目的、规模等进行审查,规范采集、存储、使用、销毁等行为,指导有关单位采取措施确保个人信息安全。第五十三条建设单位应在规划设计阶段组织开展数据分类分级工作,明确数据安全防护要求,采取重要数据备份和加密认证等措施,并制定数据备份和恢复策略。采集、处理重要数据和个人信息(含个人敏感信息)的,建设单位应编制清单,清单包括但不限于重要数据和个人信息的种类、数量、收集、存储、加工、使用等情况。第五十四条运行单位应在本单位网络安全主管部门指导下,履行数据安全保护义务,落实数据安全管理责任,对数据处理活动定期开展风险评估,对数据采集、使用、传输和存储等进行规范化管理,采取身份鉴别、访问控制、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。第五十五条各单位收集和产生的个人信息及重要数据应在境内存储。因业务需要,需向境外提供的,应按国家、地方、行业有关规定开展出境安全评估,并按照国家、地方有关规定上报政府监管部门。第五十六条运行单位应加强数据安全风险监测,防止泄漏、毁损、丢失。发生或者可能发生泄漏、毁损、丢失的情况时,应立即采取补救措施,及时告知用户,并按照有关规定及时向主管部门报告。第五十七条各单位通过系统对接方式对外提供数据的,应委托系统运行单位编写论证方案,明确可行性、业务需求、技术方案、风险分析等内容,并填写系统数据提供事项审批表(附件11),由相关主管部门和数据提供事项的集团公司分管领导审批通过后,方可实施。第七章监测预警与应急处置第五十八条各单位应加强本单位网络安全监测预警能力建设,实时掌握网络安全态势。由专业网络安全机构开展漏洞扫描渗透性监测服务的,应在获得主管部门授权后方可执行。第五十九条建设单位应组织运行单位根据风险评估、渗透测试、等保测评、密码应用安全性评估结果,及时采取措施,防范处置安全风险。第六十条风险漏洞处理实行限期整改,对通用型产品和服务的风险漏洞,运行单位应在厂商和安全机构公布修复方案后立即核查整改。对国家、地方和行业网络安全管理部门等发布的针对特定应用系统的事件型漏洞,运行单位应及时完成整改。第六十一条建设单位应组织运行单位加强风险漏洞管控,定期开展漏洞扫描和恶意代码检测,建立并更新风险漏洞台账,主动及时掌握网络产品和服务相关的安全信息,及时更新恶意代码库和补丁,有效处置安全风险隐患,及时完成整改。因技术条件限制,不能按期整改但需继续运行的,应采取必要措施,避免发生安全事件,并书面报告本单位网络安全主管部门。风险漏洞整改影响网络功能的,建设单位应组织运行单位、维护单位完善整改措施。第六十二条各单位应加强网络安全事件应急管理,明确应急工作机构,结合实际制定完善安全事件应急预案,每年至少开展一次应急演练,并根据演练结果完善应急预案。第六十三条运行单位应加强网络安全事件预防准备,制定详细的应急处置流程,加强风险信息收集和管控,落实应急相关技术文档及软硬件准备,建立与电力、通信等保障单位的协调机制。第六十四条网络安全事件发生后,建设单位与运行单位应立即启动应急预案,做好初步处置,最大程度减少损失和危害,并及时报告相关主管部门。对涉及反动言论、煽动性言论等信息内容安全事件,建立显示屏"一键黑”、系统"一键关”等应急机制,确保实现"一分钟"处置。如可能涉及攻击、破坏等违法犯罪,应保护相关数据、记录、资料和现场,24小时内向公安机关报案,并配合调查取证。第六十五条网络安全事件处置完成后,建设单位与运行单位应及时完成事件调查和评估工作,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。第八章监督检查与责任追究第六十六条集团公司建立定期检查与考核机制。集团公司主管部门定期对各单位网络安全工作开展现场检查,并每月按照集团公司绩效考核相关管理办法对各单位网络安全工作情况进行考核。第六十七条各单位应建立健全网络安全责任制考核评价制度,对网络安全管理体系建设、等级保护、责任制落实、安全攻防演练、渗透测试、在线监测和应急响应等情况开展考核评价,并将结果作为对领导班子和有关领导干部考核的重要内容。第六十八条集团公司主管部门根据国家和上级部门有关要求,定期组织开展网络安全督查工作,评估各单位网络安全防护能力。各单位应按要求组织做好自查与整改工作,并配合做好检查各项工作。开展网络安全检查时,可采取下列措施:(一)进行远程和现场技术检测;(二)进入被检查单位进行检查,询问相关工作人员,要求其对有关检查事项做出说明;查阅、复制与检查事项有关的文件、资料;(三)对检查发现的问题,责令当场改正或者限期改正。第六十九条对违反本办法规定的,视情追究相关单位责任,由主管部门责令限期整改、暂停业务。逾期未改正的,给予通报批评,视情对主要负责同志进行约谈。情节严重并造成不良影响的,依照有关法律法规和网络安全工作责任制有关规定,启动问责程序,逐级倒查,追究当事人、网络安全负责人直至主要负责人责任。第七十条违反本办法规定,涉及使公民、法人或者其他组织的合法利益受到侵害的,依法承担民事责任。构成犯罪的,由公安机关依法追究刑事责任。第九章保障措施第七十一条各单位主要领导应加强本单位网络安全工作的统筹管理,定期听取工作汇报、协调解决重大问题,组织落实机构、人员和经费等必要条件。第七十二条各单位应加强网络安全自身能力建设,积极推动监测预警、安全防护、应急处置等技术支撑条件完善,加强网络安全专业人才队伍建设,支持网络安全技术研发和管理创新。第七十三条各单位应经常性组织网络安全宣传教育,加强全员网络安全意识和知识技能培训,并指导督促所管理的单位做好网络安全宣传教育工作。网络安全教育培训应归档保存。关键信息基础设施运营单位重点岗位人员网络安全专业技能培训每年度不少8学时。第七十四条各单位应将网络安全建设管理、运行管理、教育培训、安全检查、测试评估、监测预警、应急处置等费用纳入年度预算,合理保障网络安全专项经费投入。第十章附则第七十五条本办法未尽事宜,按国家政策、法律、法规执行。第七十六条存储、处理涉及国家秘密信息的网络的运行安全保护,按照国家涉密相关规定执行。第七十七条本办法由集团公司主管部门负责解释。第七十八条本办法自发布之日起施行。附件:1全生命周期网络安全管理流程图2 .网络建设与运行相关责任说明3 .运行责任界定划分指南4 .网络定级要点5 .安全保密协议(参照模板)6 应用软件第三方组件清单7 .移动互联网信息系统备案流程及备案表8 .移动互联网应用程序备案流程及备案表9 .网络运行责任清单IQ应用软件版本控制日志清单11.系统数据提供事项备案表-19-附件1全生命周期网络安全管理流程图 4建设单位组织网络等保初步定级J<网络安全成果输出:等保7E级专示评申N,11.网络定级报告不符合规定,Z-2.专家评审意见建设单4赢络安全:建誉里位理织3网络定级保护备案证明主管部i核卜开懿株预4.数据表预分类分级报告公安机关备案(备案审查)J(建设单位组织编制网络)一安全设计方案,1网络安全成果输出:Ir建设单位组织开展数据JS5t255!5m字S3预分类分级2.密码应用方案及申查意见3云服务论证结果(采用云一、4计算服务条件下)SiS4.数据表分类分级报告论证报告、数据分类分、级专项审查,软件安全测试代码安全审计J网络安全成果输出:1软件安全测试报告(试运行前运行单位组织)2代码安全审计报告、安全测试,'互联网系统与移动应用)程序备案,1 等保测评等保三级网络向2 .风险评估f公安机关提交测网络安全成果输出:3 .代码审计评报告1.等保测评报告2.风险评估报告等保三级网络密码应用)3第三方代码审计报告L安全性评估J借保三级网络每年等俅!、测评、定期密评,X网络安全成果输出;日常监测、预警、漏扫1.等保测评报告2.日常运行监测报告'定期监测并调整数据分)*级,数据、应用软件及相关、设备资产等处理Z-、向公安机关提交苗备案变更申谓,五计算服务数据资产移、交和清除J-#-附件2网络建设、运行相关责任说明对象主要责任和职责说明网络建设单位1 .主要责任:组织开展本单位网络安全建设工作,承担网络建设期间的安全防护以及运行期间由建设质量导致的网络安全问题主体责任。2 .主要职责:(1)按照国家有关法律法规以及集团公司网络安全管理有关规定,制定网络安全建设管理制度和操作规程。(2)建立网络安全建设责任制,细化各环节网络安全责任,确认网络安全责任人,签署责任承诺书,留档备查。(3)组织完成所建设网络的等保定级备案工作。(4)按照网络安全保护等级,组织编制安全设计方案、密码应用方案、云计算服务安全方案。(5)组织开展网络数据分类分级工作,编制数据分类分级清单。(6)确保采购的产品和服务符合法律法规和国家政策要求。(7)加强对第三方服务单位的管理,确保项目安全实施。(8)定期纽织开展软件安全测评、代码安全审计、等保测评、密码应用安全性评估、风险评估等工作。网络运行单位1主要责任:组织开展本单位网络安全运行工作,承担网络运行期间的安全管理和安全防护主体责任。2主要职责:-21-(1)按照国家有关法律法规以及集团公司网络安全管理有关规定,制定网络安全运行管理制度和操作规程。(2)建立网络安全建设责任制,细化各环节网络安全责任,确认网络安全责任人,签署责任承诺书,留档备查。(3)关键信息基础设施运行单位应设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员开展背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核。(4)采取有效措施,防范计算机病毒和网络攻击、网络入侵等危害网络安全行为,监测记录网络运行状态和网络安全事件,留存全部网络日志,防止个人信息和重要数据泄露、毁损、丢失。(5)根据建设单位提供的数据分类分级清单,组织开展监测及安全防护工作。(6)制定网络安全事件应急预案和应急处置工作流程,及时处置漏洞、计算机病毒、网络攻击、网络入侵等安全风险,定期开展应急演练。(7)发生网络安全事件时,立即启动应急预案,并按照相关规定向集团公司主管部门报告。(8)加强对全部第三方服务单位的管理,实现对人员、行为、资产等全部运维环节的有效管控。(9)评估网络废止安全风险,在建设单位指导下,实施网络废止相关工作,协助变更等保备案信息。-#-附件3网络运行责任认定指南一、建设单位指导运行单位开展网络运行维护工作,应为网络安全稳定运行提供必要的支持。运行责任移交时,建设单位、运行单位应明确划分运行责任。二、建设单位确定的运行单位为第一运行单位,统筹网络运行维护相关工作,管理网络运维涉及的软件维护单位、第三方测试评估单位等。三、涉及多方运维的,建设单位可将运行维护可划分为基础环境、软硬件设施、安全、数据等几个层面明确责任主体(示例见表1),并对需要协调配合的内容予以说明。四、应用软件相关运行维护原则上应由建设单位协调落实(应用软件维护单位为第二运行单位,一般为应用软件开发单位),主要维护内容为网络部署的软件平台层、应用软件层安全和数据安全,实施对这些资源操作、更新、配置的安全可靠管理。五、涉及第三方测试评估单位的,运行单位应按有关要求做好第三方服务单位管理,签订保密协议。六、采用云计算服务的,应根据云计算服务相关标准确定相应的责任主体(示例见表2),并将其列入服务合同。需要责任共担的,应在合同中明示。-23-表1物理部署运行维护服务责任主体界定参考序号维护内容说明责任主体示例1基础环境运维服务对保证网络正常运行所需的电力、空调、消防、安防等基础环境运行维护。通常为第一运行单位。2硬件运维服务对硬件设备(网络、主机、存储、安全、桌面设备以及其他相关设备等)及其附带软件的例行检查、状态监控、响应支持、故障处理、性能优化等服务。通常为第一运行单位。涉及虚拟化应用的,应根据实际情况明确第二运行单位运维安全责任。2.1网络运维面向计算机网络设备的运维服务。2.2主机运维面向计算机设备中的巨/大/中/小型机、PC服务器等的运维服务。2.3存储运维面向计算机设备中的磁盘阵列、光纤交换机、光盘库、磁带机、磁带库、网络存储设备等的运维服务。2.4安全运维面向计算机网络安全设备的运维服务。2.5桌面运维服务面向台式机、便携式计算机、掌上电脑等计算机设备及输入输出设备等的运维服务。2.6其他设备运维服务面向图像及音视频设备、视频监控设备、会议系统设备、终端设备、硬件设备虚拟化及其他硬件设备的运维服务。3软件运维服务对软件(包括基础软件、支撑软件、应用软件等)的功能修改完善、性能调优、以及常规的例行检查和状态监控、响应支持等服务。根据实际情况确定3.1基础软件运维服务面向操作系统、数据库系统、中间件、语音处理系统和办公软件等基础软件的运维服务。可为第一运行单位或第二运行单位3.2支撑软件运维服务面向需求分析软件、建模软件、集成开发环境、测试软件、开发管理软件、逆向工程软件和软件再工程等支撑软件的运维服务。可为第一运行单位或第二运行单位3.3应用软件运维服务面向各种应用软件的运维服务。通常为第二运行单位3.4其他软件运维服务属于软件服务但不包含在小类中的其他软件运维服务。可为第一运行单位或第二运行单位4安全运维服务对网络提供的安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估、应急保障等服务。通常为第一运行单位5运维管理服务整体承担基础环境、硬件、软件、安全等综合性运维而提供的管理服务。通常为第一运行单位6其他运行维护服务数据迁移服务、应用迁移服务、机房或设备搬迁服务等,以及其他属于运行维护但未包含在分类中的运维服务。根据实际情况,可为第一运行单位或第二运行单位。7数据处理和存储服务向需方提供的信息和数据分析、整理、计算、存储等服务。根据实际情况,可为第一运行单位或第二运行单位。7.1数据加工处理向需方提供数据分析、整理、计算、编辑等加工和处理服务。包括各种数据库活动、业务流程外包、网站内容更新、文件扫描存储等。通常为第二运行单位。7.2存储服务供方根据需方需求提供的合理、安全有效的数据保存服务。包括以在线、离线等方式提供的数据备份、容灾等服务、以及数据中心、存储中心或灾备中心提供的数据存储、数据备份、容灾等服务。根据实际情况,可为第一运行单位或第二运行单位。7.3其他数据存储和处理服务根据实际情况,可为第一运行单位或第二运行单位。8其他如呼叫中心等的运维服务。根据实际情况,可为第一运行单位或第二运行单位。表2云计算服务下网络安全责任边界划分参照表层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施。对电力、空调、消防、安防等基础环境进行运行维护。通常为云服务提供方。网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台。通常为云服务提供方。云客户虚拟网络安全域。根据实际情况。可为云服务提供方、云服务需求方。设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等。通常为云服务提供方。云客户虚拟网络设备、虚拟安全设备、虚拟机等。根据实际情况,可为云服务提供方、云服务需求方。应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台(含运维和运营)、镜像、快照等。通常为云服务提供方。云客户应用系统及相关软件组件、云客户应用系统配置、云客户业务相关数据等。通常为云服务需求方。-27-附件4网络等保定级要点一、定级责任主体建设单位是等保工作的责任主体,负责组织设计单位、实施单位、运行单位等网络建设参与方开展网络定级、备案、测评等各项工作。二、通用定级流程建设单位依据等保定级指南,按照初步定级、专家评审、主管部门审批、公安机关备案审查的流程,最终确定网络等保级别。具体要求如下:(一)初步定级新改扩建网络工程可行性研究阶段,建设单位组织设计单位依据网络安全保护定级指南等文件,初步确定网络的安全保护级别,编制网络安全等级保护定级报告。(二)专家评审。建设单位组织网络安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。(三)主管部门审核建设单位将初步定级结果和专家评审意见报本单位网络安全主管部门审核。专家意见与初步定级结果不一致的,以网络安全主管部门意见为准。-#-(四)公安机关备案审查。建设单位将本单位网络安全主管部门审核后的定级结果交公安机关进行备案审查。审查不通过的,组织重新定级;审查通过后最终确定网络安全保护等级。三、统一联网的网络定级集团公司统一联网运行的网络,由建设单位初步确定网络的安全保护级别后,在集团公司网络安全主管部门指导下组织专家评审。建设单位网络安全主管部门完成审