2023新能源发电公司网络安全责任制实施细则.docx

XXX新能源发电公司网络安全责任制实施细则（2023年版）第一章 总则第一条 为加强XXXX分公司（以下简称“分公司”）网络安全管理，提升分公司网络安全保障能力，建立自上而下的网络信息安全工作管理体系，健全相应的组织管理体系，推动网络信息安全工作的开展，依据中华人民共和国网络安全法、电力行业网络与信息安全管理办法（国能安全2014317号）等有关法律法规和集团公司XXXX集团有限公司网络安全责任制管理办法（XXXX集团制201875号）等制度，结合分公司实际，制定本实施细则。第二条 本实施细则适用于分公司本部及所属各单位。第三条 网络安全工作事关国家安全、政权安全和经济社会发展，事关分公司生产经营稳定、高质量、可持续发展。坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进信息化建设、管理、使用与网络安全同步发展，建立健全网络安全技术与管理体系，鼓励网络安全技术创新和应用，支持培养网络安全人才，提高网络安全防护水平。第四条 应坚持“明确责任、依法合规、重点保护、分级负责”总体方针，按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则进行责任分工。第二章 基本要求第五条 分公司本部及所属各单位应成立网络安全领导小组，组长由企业主要负责人担任。网络安全领导小组下设网络安全办公室，网络安全办公室设置在网络安全主管部门，负责本单位网络安全日常监督与管理工作，同时对网络安全执行机构（包括专责班组和专责人员，下同）进行监督与管理。网络安全执行机构负责本单位网络安全的具体日常执行工作。第六条 网络安全领导小组应加强和规范本单位网络安全信息汇聚、分析和研判工作，减少网络暴露面；明晰网络安全信息报送流程和工作链条，及时报送网络安全信息；组织指导网络安全信息通报，统筹协调开展网络安全检查等工作。第七条 健全网络安全组织体系，分公司本部及关键信息基础设施单位应设立专门网络安全管理机构，设置专职岗位，配备专职人员；关键信息基础设施单位应设置首席网络安全官。第八条 分公司本部及所属党委对本单位网络安全工作负主体责任，企业主要负责人是第一责任人，分管网络安全的领导班子成员是直接责任人。分管网络安全的领导班子成员对工控系统（含电力监控系统，下同）、管理信息系统的基础设施（含机房、网络、硬件及相关设施）网络安全负直接领导责任，分管其它业务的领导班子成员对本业务范围内的信息系统网络安全负直接领导责任。第九条 在计划、布置、检查、总结、考核各项生产经营发展工作的同时，应把网络安全工作贯穿生产经营发展的全过程，把网络安全工作纳入重要议事日程，定期听取网络安全工作汇报、协调解决重大问题。第十条 应建立健全网络安全责任制，明确各部门、各岗位网络安全责任，明确网络安全的责任范围、责任内容和考核标准等事项，做到分级管理、各司其职、各负其责。第三章 责任制第十一条 集团公司系统网络安全责任主体分为集团公司、分子公司（直属企业）、基层企业三级。各级责任主体按照责任界面划分，承担管辖范围内的网络安全责任（责任界面详见附录一）。分公司本部及所属各单位按照责任界面，分别承担管辖范围内的网络安全责任。第十二条 应分开建立健全网络安全监督管理机构与执行机构，且其职责独立分开（职责清单详见附录二）。（一）网络安全监督管理机构负责本单位网络安全的统一监督与管理。生产运营部承担分公司本部网络安全监督管理机构的职责，各基层单位的网信主管部门承担本单位网络安全监督管理机构的职责。（二）网络安全执行机构负责执行本单位工控系统、管理信息系统基础设施的网络安全技术保障措施和管理保障措施，接受网络安全监督管理机构的监督与管理。集控中心承担分公司本部网络安全执行机构的职责，各基层单位的网络安全专责班组或专责人员承担本单位网络安全执行机构的职责。（三）本实施细则中的业务部门是指分公司本部及所属各单位非网络安全监督管理机构的其他部门，承担所辖业务范围内的网络安全主体责任。业务部门须设置网络安全员，负责本业务范围内信息系统、终端设备网络安全的用户管理与用户执行工作，并接受网络安全监督管理机构的监督。第十三条 对网络安全和信息化项目的承建单位、运维单位及其它相关方实施网络安全、施工安全一体化管理。外来实施人员须满足以下条件，方可进入现场作业：（一）持有所在的协议承建单位、协议运维单位颁发的网络安全教育培训资质证明。（二）按照现场要求履行安全教育、技术交底、风险告知等准入手续。（三）签订网络安全协议。第四章 责任落实与责任追究第十四条 应建立网络安全责任奖惩工作机制，加强对网络安全责任制落实情况的监督考核，做到安全责任到位、安全投入到位、安全培训到位、安全管理到位、应急处置到位。第十五条 应建立网络安全责任制检查考核制度，完善健全考核机制，明确考核内容、方法、程序，考核结果报送干部主管部门，作为对领导班子和有关领导干部综合考核评价的重要内容。第十六条 审计部门在对有关部门和单位的审计中，应当将网络安全建设和绩效纳入审计范围。第十七条 分公司对系统所属单位实行网络安全工作约谈制度和责任追究制度。第十八条 实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，网络安全第一责任人和分管网络安全工作的领导班子成员承担主要领导责任，参与相关工作决策的领导班子其他成员承担重要领导责任。第十九条 分公司依据XXXX分公司网络安全工作奖惩实施细则、XXXX分公司安全生产“无后果责任追究”实施办法等相关制度开展网络安全奖惩工作。第二十条 发生网络安全事件时，根据责任划分，分别追究有关人员的领导责任、技术责任、监督责任和现场管理责任。工控系统发生影响安全生产的事件时，应同时执行分公司安全生产有关规定。违反法律或构成犯罪的，依据国家有关法律规定处理。第二十一条 网络安全与信息化项目承建单位、运维单位及其它相关方发生网络安全事件时，依据双方签订的合同和网络安全协议，按照事件调查结论和责任划分对相关方进行责任追究。第五章 附则第二十二条 本实施细则下列用语的含义：（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。第二十三条 本实施细则由分公司生产运营部负责解释。第二十四条 本实施细则自发布之日起执行。原XXXX分公司网络安全责任制管理办法（2019年版）（XXXXXXXX制201969号）同时废止。- 15 -附录一 集团公司系统网络安全三级责任界面责任主体三级责任界面业务口工作界面集团公司网络安全领导小组、信息中心职责参照中共XXXX集团有限公司党组网络安全责任制执行。各部门职责分工参照中共XXXX集团有限公司党组网络安全责任制执行。分公司1.贯彻落实党中央、国家、集团公司网络安全战略部署、方针政策、决策等有关重大事项；2.建立网络安全责任制，组织制定网络安全管理制度差异条款，设立网络安全管理机构，设置专职岗位，配备专职人员；3.开展网络安全风险管控工作，防范和遏制重大网络安全事件；4.把网络安全工作纳入重要议事日程，定期听取网络安全工作汇报、协调解决重大问题，落实财力物力等条件，开展网络安全宣传教育培训；5.每年向上级党委（党组）报告年度网络安全工作情况；6.按照“同步规划、同步建设、同步使用”的原则，在规划设计、建设开发、移交上线等环节落实安全技术措施和保护责任；7.针对运行管理各环节建立常态化、规范化安全管控措施，建立网络安全风险库，同时建立重大保电等特殊时段网络信息安全防护措施，并按照“平时向战时看齐”的标准将措施趋于常态化；8.按要求开展等保测评和网络安全评估工作；9.建立网络安全信息通报机制，定期开展监测预警、信息通报和报送；10.结合实际编制和完善本单位网络安全事件应急预案或实施细则，每年至少组织一次网络安全区域攻防演练；11.按要求对所属企业进行安全检查，制定重大保电等特殊时期网络信息安全防护行动方案，并按照方案开展专项检查。各业务部门：1.贯彻落实党中央、国家、集团公司网络安全战略部署、方针政策、决策等有关重大事项；2.组织落实分公司有关网络安全的规章制度；3.承担业务范围内的网络安全责任，负责本部门职责范围内的业务系统的应用安全（含用户管理、人员管理、功能流程管理等）、数据安全（含数据完整性、保密性等）、安全审计等方面，确保系统不被非法使用以及因此导致的意外网络安全事件发生；4.设置本部门网络安全员；5.配合网络安全监督管理机构和执行机构开展网络安全规划、运维、安全等基础管理工作；6.接受网络安全监督管理机构关于网络安全的监督与管理，接受网络安全执行机构关于网络安全的技术管控；7.负责提供本部门的网络安全需求。办公室：1.建立健全保密制度标准和相关措施，将防止网络泄密作为保密工作的重要内容；2.组织做好与涉密网络相关的人员行为管理工作；3.开展其它与网络安全相关的涉密工作。人力资源部：1.掌握分公司管理的企业领导班子成员的网络安全工作开展情况，作为对其领导班子和有关领导干部综合考核评价的重要内容，将网络安全工作纳入干部使用晋升、职工晋级管理体系；2.监督各相关企业足额配备网络安全人员，监督新建、扩建工程配备、培训网络安全准备人员；3.贯彻落实国家、行业和分公司关于网络安全教育培训的相关要求，会同生产运营部做好网络安全培训计划的制定实施，做到网络安全人员持证上岗，落实好网络安全人员培训经费的使用。财务管理部：负责将网络安全工作费用纳入分公司全面预算管理体系，确保网络安全工作资金到位。销售事业部：负责明确分公司商业秘密定义和范围，组织检查商业秘密保护情况，防止商业秘密非法上网。工程建设部（采购管理部）：1.负责分公司基建工程网络安全工作，确保基建期间的网络安全建设工作符合分公司信息化建设相关管理制度、标准规范。基建期间网络安全项目要做到“同步设计、同步施工、同步验收”；2.参与信息化项目建设的立项、招标采购等相关流程工作。党群工作部：1.负责将网络安全纳入分公司党委年度重点工作；2.宣传国家网络安全法律法规方针政策，行业规程标准，上级、分公司有关网络安全的决策部署；3.制定分公司外部宣传内容发布规范，明确内容发布的要求，审核发布的内容，确保不出现违法违规信息，确保不发生负面新闻宣传舆情；4.按要求向上级和地方主管部门报送分公司网络安全信息。风险管控部：负责将网络安全建设和绩效纳入审计范围，并将履行网络安全职责作为领导干部经济责任审计的重要评价内容。集控中心：1.接受分公司生产运营部的管理，负责执行分公司本部涉及网络安全的技术服务工作，协助和指导各单位开展网络安全工作；2.配合制定网络安全管理制度差异条款；3.设置网络安专职岗位，分管网络安全的主要负责人担任首席网络安全官；4.负责制定并落实集控中心网络安全工作管理制度体系，内容包括物理安全、电力工控安全、信息系统安全、机房管理、网络安全态势感知、网络安全外委作业管理、防社会工程学攻击、应急处突等；5.负责制定并落实分公司网络安全工作技术标准体系，内容包括分公司网络安全专业规范化工作手册、集控中心信息系统和网络的运维作业指导书、操作手册、运行规程、系统图册、资产台账、风险隐患数据库、网络安全评估标准、系统安全加固清单等；6.负责分公司本部办公终端（包括计算机、打印机、扫描仪等）、内部网络、互联网，以及信息化系统安全、集控电力工控系统等软硬件设施的技术运维、等保测评、数据备份等工作；7.负责配合办理分公司本部网络安全建设项目的需求分析、可研报告、立项采购、项目实施、质量管理、网络安全评估以及分公司本部网络信息系统软硬件设施的运行、停用、报废处理等工作；8.定期参加分公司网络安全领导小组会议，汇报集控中心网络安全工作开展情况，并落实网络安全领导小组部署的集控中心网络安全工作；9.负责制定分公司重点网络安全建设项目、常态化网络信息安全常态化防护方案、重大保电等特殊时期网络信息安全工作专项技术实施方案，明确现状分析、实施工作量、安全措施、技术措施、应急措施、差异化防护措施等内容；10.落实分公司网络安全领导小组交办的其他事项。基层单位1.贯彻落实党中央、国家、集团公司网络安全战略部署、方针政策，决策有关重大事项；2.建立网络安全责任制，组织制定网络安全管理制度差异条款，设立网络安全管理机构，设置专职岗位，配备专职人员；3.关键信息基础设施企业设置首席网络安全官；4.开展网络安全风险管控工作，防范和遏制重大网络安全事件，保证电力可靠供应；5.把网络安全工作纳入重要议事日程，开展网络安全宣传教育培训；6.每年向上级党委（党组）报告年度网络安全工作情况；7.按照“同步规划、同步建设、同步使用”的原则，在规划设计、建设开发、移交上线等环节落实安全技术措施和保护责任；8.针对运行管理各环节建立常态化、规范化安全管控措施，建立网络安全风险库，同时建立重大保电等特殊时期网络信息安全防护措施，并按照“平时向战时看齐”的标准将措施趋于常态化；9.落实好电力调度机构对并网电厂涉网部分电力监控系统安全防护技术监督工作；10按要求开展等保测评和网络安全评估工作；11.建立网络安全监控中心，将网络安全日常运行监视纳入24小时运行值班监视范围，制定常态化、规范化网络信息安全防护措施和重大保电等特殊时段差异化措施，并列入网络安全工作专项技术实施方案落实执行。关键信息基础设施企业要建立重大保电等特殊时段7×24小时网络安全值班的保障工作机制。12.结合实际编制和完善本单位网络安全事件应急预案或实施细则，关键信息基础设施、第三级及以上系统运营者应制定专项应急预案，每年至少开展一次演练，关键信息基础设施每年至少开展一次实战演练；13.建立网络安全信息通报机制，定期开展监测预警、信息通报和报送；14.定期开展网络安全自查，在重要保障时期开展专项自评估。参照分公司业务口工作界面执行。附录二 分公司网络安全监督管理机构与执行机构的工作清单（包括但不限于以下工作内容）序号工作项目工作内容工作主体1专业监督工作1.1组织机构和制度依据报备的网络安全管理和运维的组织机构详情，监督网络安全组织机构管理和技术人员编制情况。监督管理机构监督各部门对上级公司的有关网络安全规章制度的贯彻落实情况，监督各级网络安全责任制的落实。监督管理机构监督并参与网络安全各项规章制度、标准规范的制定并监督落实。监督管理机构组织或参与网络安全教育和培训，如实记录网络安全教育和培训情况。监督管理机构监督网络安全教育培训计划的落实；组织或配合开展网络安全培训与考试。监督管理机构监督外委运维人员的资质审查、准入、现场监督管理责任的落实。监督管理机构1.2经费监督监督审查网络安全和信息化建设项目、物资采购项目、运维项目等费用的提取和使用。监督管理机构落实将网络安全专项奖励基金列入安全生产奖励基金，对网络安全做出突出贡献的提出给予表扬、奖励的建议意见；对负有网络安全事件责任的提出批评、处罚的建议或意见。监督管理机构监督涉及网络安全的资本类项目年度投资预算不低于信息化工程项目年度投资预算的8%，且预算年度完成率不低于95%。监督管理机构1.3设计监督监督和制定网络安全规划设计、对应的技术保障措施、自主可控适配、IPv6等设计工作。监督管理机构监督网络安全建设及技术改造的设计方案符合国家、国资委、集团等相关的设计规范。监督管理机构监督网络安全规划设计、对应的技术保障措施、自主可控等设计工作。监督管理机构监督网络安全建设及技术改造设计方案的完整性和有效性，包括且不限于对应安全保障和应急措施。监督管理机构1.4建设监督监督网络安全标准规范、技术资料、图纸和网络安全事件应急预案的制定并监督落实。监督管理机构按照产品选型、供应链、数据安全、计算可信、运维可信等角度，全面监督网络安全项目建设、物资采购、技术运维等方面的自主可控。监督管理机构参与网络安全项目的设计审查、项目招标、施工队伍资质审查和竣工验收以及有关科研成果鉴定等工作。监督管理机构监督新建、改建、扩建工程网络安全“三同时”的组织落实。监督管理机构监督网络安全建设及技术改造的建设实施方案的完整性和有效性，包括：实施方案、安全保障和应急方案、施工图纸、竣工图纸、变更手续（包括变更前的设计图纸、变更后的设计图纸、变更说明及变更审批）。监督管理机构1.5运行监督监督等保测评、隐患排查、安全评估和网络安全整改的执行情况。监督管理机构监督各部门对网络安全工作目标的分解和落实情况。监督管理机构监督网络安全设备、工具、配件、备品备件及应用软件发放和使用。监督管理机构监督应急预案的制定和落实工作，监督预案的编制、修订、评审、备案、发布、培训、演练等工作。监督管理机构监督网络安全管理系统有效运转，推动网络安全工作规范化、制度化、标准化、信息化。监督管理机构完成网络安全事件统计、分析、上报工作并提出考核意见。监督管理机构1.6执行机构工作监督监督、指导、管理执行机构开展的网络安全所有工作。监督管理机构2技术资料和图纸编制工控系统和管理信息系统网络安全设备的清册、台帐及出厂说明书。执行机构工控系统和管理信息系统网络安全技术方案和防护措施。执行机构工控系统和管理信息系统网络安全设备系统图、原理图、逻辑图、实际安装接线图、网络拓扑图。执行机构工控系统和管理信息系统网络安全装置电源系统图。执行机构工控系统和管理信息系统网络安全各种技术改造图纸和资料。执行机构工控系统和管理信息系统网络安全设备缺陷及处理记录。执行机构工控系统和管理信息系统的网络安全系统软件和应用软件备份。执行机构工控系统和管理信息系统的网络安全系统软件台帐（包括固化软件，软件名称、版本号、创建日期、升级启用时间、应用环境、对应的硬件设备的名称和型号规格及版本号等）。执行机构3等级保护及风险评估工作3.1等保测评和整改工作按计划开展等保测评，取得相关报告。执行机构根据等保测评结果制定整改计划，形成相关工作记录，并完成整改。执行机构3.2风险评估和整改工作周期内开展风险评估工作，具有相关报告。执行机构根据风险评估结果制定整改计划，形成相关工作记录，并完成整改。执行机构4安全防护技术要求检查4.1安全分区4.1.1业务系统安全分区有完整发电企业信息系统安全防护网络拓扑图、安全网络设备部署列表与描述文档。执行机构有完整的发电企业信息系统安全分区表。与规范要求相符合。执行机构4.2网络专用4.2.1网络专用电力调度数据网在物理层面上实现与本单位其它数据网及外部公用数据网的安全隔离。执行机构电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。执行机构4.3边界安全防护4.3.1生产控制大区与管理信息大区边界安全防护生产控制大区和管理信息大区之间部署经国家指定部门检测认证的正向安全隔离装置；单向安全隔离装置满足可靠性、传输流量等方面的要求。执行机构禁止E-mail、WEB、Telnet、Rlogin、FTP等网络服务；禁止以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置等。执行机构生产控制大区和管理信息大区之间业务系统未出现反向部署情况。执行机构4.3.2安全区I与安全区边界安全防护安全区I与安全区间部署工业防火墙等硬件设备并实现逻辑隔离、报文过滤、访问控制等功能；工业防火墙的功能、性能、电磁兼容性经过国家相关部门的认证和测试。执行机构所选工业防火墙具备对流经安全区I与安全区II信息通信协议进行解析的功能、参数设置合理并满足发电企业对业务数据的通信要求。执行机构4.3.3生产控制大区系统间安全防护同属安全区I内或安全区II内的各系统之间有防火墙、VLAN等逻辑访问控制。执行机构4.3.4纵向边界防护部署经国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关及相应设施。执行机构4.3.5第三方边界安全防护生产控制大区内个别业务系统或其功能模块（或子系统）需要使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时，应设立安全接入区。执行机构4.4综合防护4.4.1物理安全机房、集控室、工程师间等核心重点生产防护区域和场所具备防风、防雨、防震、防潮、防火、防静电、防雷击、防盗窃、防破坏等能力。执行机构核心重点生产防护区域各出入口应配置电子门禁系统（如无门禁系统须有钥匙管理工作机制并执行），具有视频监控记录系统的应具备24小时连续记录功能并保存记录30天以上。执行机构进入机房的来访人员应履行审批流程手续，并对其活动范围具有限制和监控能力。执行机构4.4.2网络设备安全防护对登录网络设备、安全设备采用了HTTPS、SSH等加密方式或配置堡垒机。执行机构对登录用户进行身份鉴别及权限控制，登录用户口令满足复杂度要求，且制定有更换策略并由专人负责保管。执行机构是否及时清理网络及安全设备上的临时用户、多余用户。执行机构4.4.3主机防护4.4.3.1主机加固对计算机监控系统（含集控及厂站）关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器、数据库服务器等采取了安全加固措施。执行机构实施加固前，在测试环境中进行了操作系统及各项生产业务功能方面的测试并有完整测试记录或原厂家的安全承诺。执行机构主机安全加固应经审核，明确主机加固技术标准和加固管理的策略。执行机构4.4.3.2恶意代码防范生产控制大区内主机采取免受恶意代码攻击的技术措施或部署恶意代码防护软件或主机白名单软件等；具有恶意代码库定期更新的工作记录。执行机构4.4.3.3补丁升级对生产控制大区内的服务器和操作员站等上位机操作系统，严格按厂家要求和操作说明，及时升级系统补丁和应用软件补丁；在离线环境下经过完整测试并提供记录。执行机构4.4.3.4外设管控生产控制大区内各主机上不必要的软盘、光盘驱动、USB接口、无线、蓝牙等外设采取关闭、拆除、访问控制等严格管控措施。执行机构禁止在生产控制大区和管理信息大区之间交叉使用USB以及便携计算机。确需外设接入的，在接入前进行了病毒查杀等安全预防措施，通过安全管理与技术措施实施严格监控，并履行发电企业安全接入审批手续。执行机构对发电企业必要的USB外设采取了主机白名单等技术措施，对移动介质的插入、拷贝、写入等操作具有安全审计功能。执行机构4.4.4入侵检测在生产控制大区部署网络入侵检测系统；设置了包含有信息系统专有攻击特征库的检测规则。执行机构4.4.5远程访问禁止其他设备生产厂商或其它外部企业(单位)远程连接发电企业生产控制大区中的业务系统及设备。执行机构对于发电企业内部远程访问业务系统的情况，进行身份认证及权限控制，并采用会话认证、加密与抗抵赖、日志审计等安全机制。执行机构4.4.6安全审计网络审计：生产控制大区各关键生产系统内部署网络流量审计设备；具备针对信息协议的深度包协议解析、及时发现隐藏在正常流量中的异常数据包、实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、违规外联、非法设备接入等内网异常行为的功能。执行机构日志审计：在安全I区计算机监控系统需具备日志审计功能；保证至少6个月的日志数据。执行机构4.4.7网络安全监测装置在安全区II内部署厂级生产安全监测平台，具备实时监测信息系统的主机、网络设备、安全设备运行状态和日志采集，进行集中化的性能状态监控、日志分析及安全事件的集中展示的功能。执行机构4.4.8网络安全监测装置（涉网）部署了网络安全监测装置并实现了采集涉网区域内设备安全数据及网络安全事件的功能；对发电企业网络安全事件进行本地监视和管理并转发至调控机构网络安全监管平台的数据网关机。执行机构网络安全监测装置可以将数据同步传输至厂级生产安全监测平台，并对传输网络通道实施合规的安全防护。执行机构4.4.9备份与容灾对信息系统的数据备份依据重要性实现了分级管理，并确保重要业务数据双备份以及在故障发生时至少可异机恢复至一天前数据。执行机构对关键主机设备、网络设备或关键部件进行了冗余配置；有备份数据文件清单,备份数据建立异地存放工作机制。执行机构定期对关键业务的数据进行备份，对生产运行等重要数据实现双备份并至少保存12个月。执行机构4.4.10数据安全制定数据保障措施（断点续传等），确保送出数据的质量和安全。执行机构5安全防护建设管理要求检查5.1组织机构明确工控系统和管理信息系统的网络信息安全防护职责归口管理部门、网络安全领导小组，确定企业网络安全责任制，并指定专人或专业机构负责本单位所辖信息系统的网络信息安全设施和安全管理责任。建立网络安全技术监督网。监督管理机构对各个部门和岗位的职责审核授权审批事项、审批部门和批准人。对于系统变更、重要操作、物理访问和系统接入等事项建立审批程序并按照审批程序执行审批过程，监督对重要活动建立逐级审批制度。监督管理机构5.2人员管理监督各业务部门设置网络安全员，并建立上下联动的网络安全通报预警联络通讯组。监督管理机构人员变动、岗位调整后建立有撤销权限流程。执行机构每年开展信息系统网络信息安全和专业培训和考试。监督管理机构与第三方外包运维人员签署保密协议，系统使用权限遵循权限最小化原则；当岗位调整时能及时向相关负责人提出变更申请，离职时能及时收回人员的相关证件，并在系统做注销等相应处理。执行机构5.3管理制度制订网络安全管理制度。监督管理机构制订重要网络信息系统的运维管理制度。监督管理机构制订恶意代码防护、审计、数据及系统的备份、用户口令、安全培训等工作标准。执行机构5.4系统建设监督系统建设所涉及到的软硬件系统、设备及专用信息安全产品符合国家及行业资质、质量标准、自主可控等相关规定与要求，自行开发或外包开发的软件产品投运前组织开展网络安全评估工作。监督管理机构监督选定的施工建设单位和安全服务商具备国家和行业主管部门要求的资质；督办与选定的安全服务商签订安全保护承诺等相关协议，明确约定相关责任并签署保密协议。监督管理机构5.5系统运维分别对各类设备、介质、资产、网络、业务系统制订了安全管理工作机制并在存放环境、使用以及销毁、报废等方面做出了详细规定，并建立了安全审计管理工作机制。执行机构对网络和主机进行恶意代码检测并保存检测记录。执行机构对移动存储设备、重要文档的安全管理具有完整、清晰的工作记录；对终端计算机、工作站、便携机、系统和网络等设备的操作符合规范化管理要求。执行机构建立运维密码使用管理工作机制，如定期更换密码、避免弱口令、不允许密码贴于办公区等。执行机构建立健全协议外包运维人员准入的工作机制。执行机构5.6应急管理建立信息系统安全应急处置预案，并建立安全防护事件通报制度。监督管理机构至少每年开展一次应急预案演练，并有相关过程资料。执行机构5.7检查评估建立信息系统网络信息安全自查和整改工作机制。监督管理机构按要求对系统每年开展一次安全评估；依据发现问题组织制定整改措施和计划。监督管理机构