企业网络信息安全管理制度.pdf
《企业网络信息安全管理制度.pdf》由会员分享,可在线阅读,更多相关《企业网络信息安全管理制度.pdf(21页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 有限公司有限公司网络信息安全管理制度网络信息安全管理制度文档信息文档信息文档名称:文档名称:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 有限公司网络信息安全管理制度有限公司网络信息安全管理制度文档密级文档密级内部公开内部公开文档编号:文档编号:当前版本:当前版本:生效周期:生效周期:生效日期:生效日期:0202发布之日起发布之日起文档类型:文档类型:制度制度起草日期:起草日期:20182018 年年 9 9 月月 2020 日日发布日期发布日期发布之日起发布之日起控制信息控制信息编辑者编辑者编辑修改
2、编辑修改Xxx xxx日期日期2020-07-02020-07-01 1审核者审核者文档评审文档评审文档发布文档发布发布者发布者发布日期发布日期审核日期审核日期发布范围发布范围说明说明版本版本网络安全网络安全说明说明XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 有限公司有限公司网络信息安全管理制度网络信息安全管理制度第一章第一章总则总则第一条第一条 为进一步推进信息化建设,加强网络安全管理能力,统一 XXXXXXXXXXXXXXXXX 有限公司(以下简称“本企业”)网络安全管理规范和流程,提升企业网络安全保障意识和能力,依据 中国人民共和国网络安全法、网络安全等级保护基
3、本要求等有关政策法规,依据集团公司网络安全和信息化管理办法的总体要求,结合企业实际安全情况,制定本制度。第二条第二条 本制度是对集团公司网络安全和信息化管理办法的细化和落地,信息安全总体方针、策略遵从网络安全和信息化管理办法的规定执行。第三条第三条 本制度适用于指导开展网络安全管理工作,规范网络安全管理方面的各项管理活动、管理过程。本企业信息系统均应遵循本规定开展安全管理工作。第二章第二章组织机构及其职责组织机构及其职责第四条第四条 在集团公司网信领导小组和集团公司网信办指导下,根据网络安全和信息化管理办法“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则开展网络安全工作,企业负责人对企业网络
4、安全工作负主体责任。第五条第五条 技术部门承担网络安全职能,部门负责人对网络安全工作负主要责任,网络安全职能如下:(一)贯彻落实集团公司网信领导小组有关网络安全和信息化的重大战略决策和工作要求;(二)负责网络安全工作的开展,包括网络安全培训计划与开展、员工网络安全意识宣贯、网络安全制度落地执行、系统安全建设管理、系统安全运维管理等各项工作;(三)根据企业自身网络安全特点,制定网络安全管理流程;(四)负责定期组织召开内部、外部网络安全工作会议;(五)负责信息系统等级保护定级、备案、安全建设整改工作;(六)开展等级保护测评工作,应对监管部门安全检查;(七)负责网络安全事件的应急处置,重要安全事件的
5、上报,负责配合集团公司网信办进行安全事件处置、取证、回溯和事后的加固分析工作;(八)及时向集团公司网信办报告网络安全工作。包括:网络安全工作计划、网络安全重点工作进度、网络安2全重大事项、网络安全重要政策和制度措施和网络安全工作年度总结;(九)其他网络安全工作。第六条第六条 网络安全职能部门应设置安全管理员岗位,信息系统管理部门应设置系统管理员及应用管理员岗位。安全管理员岗位人员名单应上报集团公司网信办备案。第七条第七条 人员岗位职责如下:(一)安全管理员:负责网络信息安全管理制度的落地、执行;负责对系统进行恶意代码检查、安全漏洞检测和安全配置核查;负责对信息系统进行安全检查,排查相关网络安全
6、隐患;负责信息系统安全事件处理和恢复;负责协助集团公司网信办对网络安全事件进行应急处置和取证分析;其他网络安全工作。(二)系统管理员:负责操作系统、数据库的日常管理与维护;负责操作系统、数据库帐号和权限管理;3负责操作系统、数据库的补丁升级、安全配置加固和备份;负责操作系统、数据库故障的处理。(三)应用管理员:负责应用系统日常管理与维护;配合安全管理员,在应用系统设计、测试、部署、运行过程中,对应用系统进行安全把控、测试、配置、加固;负责应用系统帐号和权限管理;负责应用系统故障的处理。第三章第三章人员安全管理人员安全管理第八条第八条 企业人员录用需签署保密协议。对于网络安全相关岗位人员的录用,
7、应严格考察该人员的业务技术水平和相关资质认证。第九条第九条 企业内部人员在变换岗位时,信息系统管理部门负责更换关联访问权限,如有必要,修改保密协议。第十条第十条 人员离职时,应及时移交相关工作,上交计算机等软、硬件资产,办理完成离职人员移交手续后方能批准离职。第十一条第十一条 人事部门和员工所在部门要做好人员离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获4得机密信息。员工离职后如发生泄密情况,应承担由此涉及的法律责任。第十二条第十二条 系统管理员、应用管理员或安全管理员离职时,网络安全职能部门应组织统一修改所有系统、应用等相关密码,重点核查 VPN、对外提供服务系统中离职人员账
8、号是否清除。安全管理员离职或更换时,网络安全职能部门应上报集团公司网信办备案。第十三条第十三条 定期对各部门人员进行网络安全意识培训,对网络安全重要岗位进行网络安全技能培训并定期考核。第十四条第十四条 信息系统管理部门因工作需要引入第三方人员,并从事信息化或网络安全工作的,需报备安全管理员。第十五条第十五条 第三方人员应严格遵循集团公司及企业相关的安全管理规定开展服务工作,对应的信息系统管理部门负责对第三方人员工作进行安全监督,第三方人员如果出现违规安全事件,则由对应信息系统管理部门承担安全风险责任。第十六条第十六条 原则上不允许第三方人员访问集团公司内部网络。如因工作需要访问内部网络,应通过
9、网络安全职能部门的授权许可并登记。第三方人员离场或服务结束后,应及时清除第三方人员的访问账户和权限。5第四章第四章安全建设管理安全建设管理第十七条第十七条 信息系统安全建设在系统定级、备案、安全规划设计、安全实施、测试验收、交付上线等环节,应严格遵循集团公司网络安全和信息化管理办法:(一)信息系统管理部门在系统建设前,应对系统服务的对象、系统业务信息和系统服务的连续性要求进行充分评估,并报网络安全职能部门确定信息系统安全保护等级,安全管理员负责系统定级备案工作;(二)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施,并在系统设计方案中加入对系统的安全保护要求、策略
10、和措施等内容,安全管理员应将安全设计方案报集团公司网信办,集团公司网信办组织专家评审通过后,方可建设实施;(三)设备采购方面,应按照国家相关设备采购要求开展设备采购工作,参照建设方案对主流网络安全设备进行比对和筛选。严禁采购和使用未经国家网络安全测评机构和公安部认可的网络安全设备;(四)设备上线前,安全管理员应对设备开展安全检查和加固工作,包括安全性检查、安全配置加固,安全6补丁更新、安全策略库升级等工作内容,避免设备使用中引入安全漏洞隐患,其他运维人员配合安全管理员工作;(五)信息系统在实施前应制定实施计划,实施计划应包括负责部门、工程负责人、施工单位情况和工程实施方案等内容;(六)定制、合
11、作和独立开发系统时,其参与人员应经过资格审查,并签订保密协议书,承担相应的安全保密责任和义务。外包软件安装之前,应进行恶意代码检测。如果开发方能够提供源代码,还需进行代码审查;(七)应按照工程实施方案的要求对工程实施过程进行进度和质量控制,并按照实施方案形成的阶段性工程报告等文档。第十八条第十八条 信息系统验收前,信息系统管理部门应提前告知安全管理员,并及时开展网络安全相关测试工作,根据发现的安全问题要求服务商整改并复测。网络安全测试不通过的,原则上不予验收。第十九条第十九条 信息系统验收时,需要项目建设部门、信息系统管理部门、网络安全职能部门组成验收组,对项目进行验收。7项目验收内容应至少包
12、括系统备案证明、安全测试报告、系统培训记录及文档、资产交付清单、系统设计文档、安全设计文档、系统建设文档、系统运维手册、用户使用手册。第二十条第二十条 所有通过验收并正式上线的信息系统,主管部门应将相关安全文档资料应进行完整归档,由安全管理员统一归档并报集团公司网信办备案。第五章第五章安全运维管理安全运维管理第二十一条第二十一条办公环境安全管理要求如下:(一)办公区域内部使用的电脑必须安装病毒防护软件。各使用人员在计算机上使用移动介质以及在互联网上接收文件或邮件之前,先进行病毒检查。未经业务部许可,不得安装任何其他软件。(二)员工办公桌面上禁止存放包含敏感信息的纸质文档,在办公环境中处理敏感信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 信息 安全管理 制度
限制150内