規(guī)章制度編號:(信息/2)401-2020

公司網(wǎng)絡(luò)與信息系統(tǒng)

安全管理辦法

第一章 總則

第一條 為加強(qiáng)和規(guī)范公司(以下簡稱“公司”)網(wǎng)絡(luò)與信息系統(tǒng)安全工作,切實(shí)提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力,實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控、能控、在控,依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度,制定本辦法。

第二條 本辦法所稱網(wǎng)絡(luò)與信息系統(tǒng)是指公司xx通信網(wǎng)及其承載的管理信息系統(tǒng)和xx二次系統(tǒng)。

第三條 本辦法適用于公司總(分)部及所屬各級單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作。

第四條 網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)目標(biāo)是保障xx生產(chǎn)監(jiān)控系統(tǒng)及xxxx數(shù)據(jù)網(wǎng)絡(luò)的安全,保障管理信息系統(tǒng)及通信、網(wǎng)絡(luò)的安全,落實(shí)信息系統(tǒng)生命周期全過程安全管理,實(shí)現(xiàn)信息安全可控、能控、在控。防范對xx二次系統(tǒng)、管理信息系統(tǒng)的惡意攻擊及侵害,抵御內(nèi)外部有組織的攻擊,防止由于xx二次系統(tǒng)、管理信息系統(tǒng)的崩潰或癱瘓造成的xx系統(tǒng)事故。

第五條 公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅持“三納入一融合”原則,將等級保護(hù)納入網(wǎng)絡(luò)與信息系統(tǒng)安全工作中,將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中,將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系中,將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中。在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時,信息通信安全防護(hù)措施應(yīng)按照“三同步”原則,與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。

第六條 管理信息系統(tǒng)安全防護(hù)堅持“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動態(tài)感知、全面防護(hù)、準(zhǔn)入備案”的總體安全策略,執(zhí)行信息安全等級保護(hù)制度。其中“雙網(wǎng)雙機(jī)”指信息內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行隔離,并分別采用獨(dú)立的服務(wù)器及桌面主機(jī);“分區(qū)分域”指依據(jù)等級保護(hù)定級情況及業(yè)務(wù)系統(tǒng)類型,進(jìn)行安全域劃分,以實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù);“安全接入”指通過采用終端加固、安全通道、認(rèn)證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全;“動態(tài)感知”指對公司網(wǎng)絡(luò)、信息系統(tǒng)、終端及設(shè)備等安全狀態(tài)進(jìn)行全面動態(tài)監(jiān)測,實(shí)現(xiàn)事前預(yù)警、事中監(jiān)測和事后審計;“全面防護(hù)”指對物理、網(wǎng)絡(luò)邊界、主機(jī)、應(yīng)用和數(shù)據(jù)等進(jìn)行深度防護(hù),加強(qiáng)安全基礎(chǔ)設(shè)施建設(shè),覆蓋防護(hù)各層次、各環(huán)節(jié)、各對象;“準(zhǔn)入備案”指對所有接入公司網(wǎng)絡(luò)的各類網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、終端、設(shè)備進(jìn)行準(zhǔn)入及備案管理。

第七條 xx二次系統(tǒng)安全防護(hù)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則,并遵照原國家xx監(jiān)管委員會《xx二次系統(tǒng)安全防護(hù)規(guī)定》及《xx二次系統(tǒng)安全防護(hù)總體方案》等相關(guān)文件執(zhí)行。

第二章 職責(zé)分工

第八條 公司信息安全工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理,遵循“誰主管誰負(fù)責(zé);誰運(yùn)行誰負(fù)責(zé);誰使用誰負(fù)責(zé);管業(yè)務(wù)必須管安全”的原則,嚴(yán)格落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任。各級單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信息系統(tǒng)安全第一責(zé)任人。各級單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全(含生產(chǎn)控制大區(qū)和管理信息大區(qū))的總體協(xié)調(diào)領(lǐng)導(dǎo)。

第九條 網(wǎng)絡(luò)與信息系統(tǒng)實(shí)行專業(yè)管理、歸口監(jiān)督。信通部是信息安全防護(hù)的歸口部門,負(fù)責(zé)管理信息系統(tǒng)及xx通信網(wǎng)的安全防護(hù)。xx中心負(fù)責(zé)xx數(shù)據(jù)網(wǎng)絡(luò)和xx二次系統(tǒng)的安全防護(hù)。安質(zhì)部負(fù)責(zé)公司信息安全監(jiān)督、檢查和評價工作。辦公廳(保密辦)負(fù)責(zé)公司保密管理,負(fù)責(zé)信息失泄密情況的調(diào)查和處理。各業(yè)務(wù)部門負(fù)責(zé)本專業(yè)系統(tǒng)及終端的安全監(jiān)控和防護(hù)。各級單位負(fù)責(zé)落實(shí)本單位網(wǎng)絡(luò)與信息系統(tǒng)安全工作。

第十條 信通部主要職責(zé)如下:

(一)落實(shí)國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范,聯(lián)系國家有關(guān)部門落實(shí)相關(guān)安全工作。組織制定公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。

(二)負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全體系規(guī)劃設(shè)計、架構(gòu)管控、總體安全防護(hù)方案制訂、核心安全防護(hù)措施部署和策略優(yōu)化配置并組織實(shí)施。

(三)指導(dǎo)總部各部門、公司各級單位開展網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控工作,組織落實(shí)等級保護(hù)測評整改、風(fēng)險評估和隱患排查治理等工作。

(四)負(fù)責(zé)信息安全技術(shù)督查體系建設(shè),組織開展公司信息安全技術(shù)督查工作。

(五)協(xié)助開展網(wǎng)絡(luò)與信息系統(tǒng)事件的調(diào)查處理,組織制定、落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)反事故措施。

(六)負(fù)責(zé)信息安全態(tài)勢跟蹤、事件監(jiān)測與分析、信息安全通報。

(七)負(fù)責(zé)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。

第十一條 xx中心主要職責(zé)如下:

(一)負(fù)責(zé)公司生產(chǎn)控制大區(qū)(含各級xx、xx、xx、xx、負(fù)荷控制等)工控系統(tǒng)安全防護(hù)管理,統(tǒng)籌公司經(jīng)營范圍內(nèi)并網(wǎng)xx涉網(wǎng)部分的監(jiān)控系統(tǒng)和xx保護(hù)等工控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督管理。

(二)負(fù)責(zé)落實(shí)國家xx二次系統(tǒng)安全防護(hù)要求,組織制定公司xx二次系統(tǒng)安全管理制度,指導(dǎo)各級單位開展xx二次系統(tǒng)安全防護(hù)的實(shí)施方案制定和運(yùn)行管理。

(三)配合完成國家有關(guān)部門對公司xx二次系統(tǒng)開展的風(fēng)險評估和隱患排查、信息安全檢查,落實(shí)等級保護(hù)制度等工作。

(四)負(fù)責(zé)xx二次系統(tǒng)安全防護(hù)技術(shù)督查體系建設(shè)以及組織開展xx二次系統(tǒng)的安全技術(shù)督查工作。

(五)負(fù)責(zé)xx二次系統(tǒng)應(yīng)急管理體系建設(shè)與應(yīng)急處置。

第十二條 安質(zhì)部主要職責(zé)如下:

(一)負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全檢查和評價。

(二)負(fù)責(zé)公司信息安全事件的調(diào)查、分析、處理和事件通報。

第十三條 業(yè)務(wù)部門主要職責(zé)如下:

(一)牽頭開展本專業(yè)信息系統(tǒng)信息安全防護(hù)工作,依據(jù)公司總體安全策略組織制定相關(guān)系統(tǒng)信息安全防護(hù)方案,經(jīng)公司信息安全專家審查委員會審批后執(zhí)行。

(二)落實(shí)業(yè)務(wù)系統(tǒng)信息安全等級保護(hù)工作,配合開展業(yè)務(wù)系統(tǒng)安全測評、風(fēng)險評估和隱患排查治理等工作。

(三)運(yùn)檢部負(fù)責(zé)xx終端具體安全防護(hù)及運(yùn)行維護(hù)管理,負(fù)責(zé)相關(guān)安全防護(hù)的技改項(xiàng)目管理。

(四)營銷部負(fù)責(zé)營銷業(yè)務(wù)涉及控制類系統(tǒng)及終端(如負(fù)荷控制系統(tǒng)、負(fù)控終端及用xx信息采集控制終端等)的具體安全防護(hù)及運(yùn)行維護(hù)管理。

(五)農(nóng)xx部負(fù)責(zé)代管縣供xx企業(yè)的農(nóng)村xx網(wǎng)涉及控制類系統(tǒng)及終端安全防護(hù)管理。

(六)在本專業(yè)人員培訓(xùn)過程中貫徹公司信息安全相關(guān)要求。

第十四條 各級單位主要職責(zé)如下:

(一)負(fù)責(zé)貫徹落實(shí)國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范,貫徹落實(shí)公司網(wǎng)絡(luò)與信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。

(二)落實(shí)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全工作責(zé)任體系。

(三)落實(shí)本單位網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控、等級保護(hù)測評整改、安全準(zhǔn)入、風(fēng)險評估、隱患排查治理和信息安全技術(shù)督查等工作。

(四)按照公司網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理要求建立本單位應(yīng)急體系,組織本單位突發(fā)事件的應(yīng)急處理。

(五)負(fù)責(zé)明確本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)部門或機(jī)構(gòu),落實(shí)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行維護(hù)日常工作。明確落實(shí)本單位信息安全技術(shù)督查體系。

(六)組織本單位信息安全宣傳和培訓(xùn)工作。

第十五條 各業(yè)務(wù)支撐和實(shí)施機(jī)構(gòu)信息安全職責(zé)如下:

(一)各級調(diào)控機(jī)構(gòu):分別負(fù)責(zé)本級xx控制系統(tǒng)和xx數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)和運(yùn)行維護(hù)管理,負(fù)責(zé)直調(diào)xx涉網(wǎng)部分的監(jiān)控系統(tǒng)和xx保護(hù)等工控系統(tǒng)安全防護(hù)技術(shù)監(jiān)督。

(二)運(yùn)行分公司、各省檢修(分)公司、各地(市)檢修工公司和縣運(yùn)檢部[檢修(建設(shè))工區(qū)]:分別負(fù)責(zé)運(yùn)維范圍內(nèi)xx、開關(guān)站、換流站的系統(tǒng)、設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作。

(三)新源控股公司:負(fù)責(zé)運(yùn)維范圍內(nèi)xx的系統(tǒng)、設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作。

(四)中國xx科院:負(fù)責(zé)公司信息通信安全研究,提供信息安全專業(yè)技術(shù)支撐;負(fù)責(zé)公司信息通信系統(tǒng)和設(shè)備的安全測試工作;負(fù)責(zé)信息通信系統(tǒng)和設(shè)備的缺陷分析、安全設(shè)計的符合性審查以及狀態(tài)評價;負(fù)責(zé)執(zhí)行信息通信安全技術(shù)督查及專項(xiàng)檢查。

(五)省xx科院:負(fù)責(zé)信息通信安全研究,為各?。ㄗ灾螀^(qū)、直轄市)xx公司提供信息安全專業(yè)技術(shù)支撐;負(fù)責(zé)省公司信息通信系統(tǒng)和設(shè)備的缺陷分析、安全設(shè)計的符合性審查以及狀態(tài)評價;負(fù)責(zé)本單位信息安全技術(shù)督查。

(六)信通公司:負(fù)責(zé)公司總部信息通信系統(tǒng)、一級部署信息系統(tǒng)、直屬單位集中部署信息系統(tǒng)和一級骨干信息通信網(wǎng)的安全運(yùn)維和應(yīng)急處置工作。

(七)省信通(分)公司:負(fù)責(zé)調(diào)管范圍內(nèi)信息通信系統(tǒng)xx監(jiān)控和應(yīng)急處置;負(fù)責(zé)資產(chǎn)管理范圍內(nèi)信息通信系統(tǒng)、設(shè)備和終端的安全運(yùn)維和應(yīng)急處置工作。

(八)地(市)信通分公司:受職能管理部門委托開展本單位信息安全保障工作。

第三章 管理要求

第十六條 按照公司制度標(biāo)準(zhǔn)體系建設(shè)工作要求和統(tǒng)一部署,由總部統(tǒng)一制定、發(fā)布與組織實(shí)施信息通信安全管理制度,實(shí)現(xiàn)全職責(zé)、全業(yè)務(wù)、全流程覆蓋,確??v向?qū)蛹壷危瑱M向銜接聯(lián)動。

第十七條 按照公司“三集五大”體系設(shè)計確定的崗位,公司統(tǒng)一確定信息系統(tǒng)建設(shè)、運(yùn)行、使用等相關(guān)崗位的信息安全職責(zé),各級單位遵照執(zhí)行并加強(qiáng)管理。各級單位信息通信職能管理部門、xxxx管理部門應(yīng)設(shè)置專門的信息安全管理崗位,配備安全管理人員,明確安全工作職責(zé)。

第十八條 加強(qiáng)員工信息安全管理,嚴(yán)格人員錄用過程,與關(guān)鍵崗位員工簽訂保密協(xié)議,明確信息安全保密的內(nèi)容和職責(zé);切實(shí)加強(qiáng)員工信息安全培訓(xùn)工作,提高全員安全意識;及時終止離崗員工的所有訪問權(quán)限。

對承擔(dān)公司核心信息系統(tǒng)規(guī)劃、研發(fā)、運(yùn)維管理等關(guān)鍵崗位人員開展安全培訓(xùn)和考核,對系統(tǒng)運(yùn)維關(guān)鍵崗位建立持證上崗制度,明確持證上崗要求。對關(guān)鍵崗位人員進(jìn)行安全技能考核。將信息安全技能考核內(nèi)容納入公司安規(guī)考試。

加強(qiáng)對臨時來訪人員和常駐外包服務(wù)人員的信息安全管理。加強(qiáng)外來人員的出入登記和接待管理,嚴(yán)格控制外來人員活動區(qū)域。外來人員進(jìn)入機(jī)房等重要區(qū)域,應(yīng)辦理審批登記手續(xù)并由相關(guān)管理人員全程陪同,相關(guān)操作必須有審計及監(jiān)控。

第十九條 網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作機(jī)制如下:

(一)遵循“統(tǒng)一指揮、密切配合、職責(zé)明確、流程規(guī)范、響應(yīng)及時”的協(xié)同原則,做好公司信息安全內(nèi)、外部協(xié)同機(jī)制的落實(shí)工作。

(二)健全信息安全技術(shù)督查工作,加強(qiáng)對信息安全技術(shù)督查的一體化管控,強(qiáng)化督查責(zé)任落實(shí),深化年度、專項(xiàng)、日常督查工作。進(jìn)一步提升督查隊(duì)伍裝備水平,優(yōu)化督查工作流程,強(qiáng)化督查隊(duì)伍評價考核。

(三)落實(shí)常態(tài)信息安全風(fēng)險評估工作,與公司春秋季檢和迎峰度夏工作相結(jié)合,切實(shí)將風(fēng)險評估工作常態(tài)化,及時落實(shí)整改,消除安全隱患。

(四)切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理體系建設(shè)。按照綜合協(xié)調(diào)、統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)的原則,在公司總部、各分部、?。ㄗ灾螀^(qū)、直轄市)xx公司、直屬單位建立應(yīng)急組織和指揮體系;堅持“安全第一、預(yù)防為主”的方針,加強(qiáng)應(yīng)急響應(yīng)隊(duì)伍建設(shè),優(yōu)化完善應(yīng)急預(yù)案,落實(shí)常態(tài)應(yīng)急演練工作,做好應(yīng)急保障工作;加強(qiáng)安全風(fēng)險監(jiān)測與預(yù)警,建立“上下聯(lián)動、區(qū)域協(xié)作”的快速響應(yīng)工作,強(qiáng)化應(yīng)急處置。

(五)嚴(yán)格執(zhí)行信息安全事故通報制度(通報規(guī)范見附件1),做好節(jié)假日和特殊時期的安全運(yùn)行情況報送工作。

(六)落實(shí)健全網(wǎng)絡(luò)與信息系統(tǒng)安全準(zhǔn)入工作,加強(qiáng)對接入公司網(wǎng)絡(luò)的各類系統(tǒng)、終端、設(shè)備的準(zhǔn)入及備案管理,強(qiáng)化備案信息與上下線相關(guān)運(yùn)行安全工作的準(zhǔn)入聯(lián)動工作。

(七)嚴(yán)格按照公司安全事故調(diào)查規(guī)程,開展事故原因分析,做好事故調(diào)查工作,堅持“四不放過”原則,有效落實(shí)整改。

(八)貫徹落實(shí)信息安全等級保護(hù)制度,持續(xù)強(qiáng)化信息安全等級保護(hù)工作管理,做好系統(tǒng)等級保護(hù)定級、備案、建設(shè)、測評與整改工作。

(九)深入開展信息安全動態(tài)治理工作,推動各級單位信息安全工作的落實(shí)與持續(xù)改進(jìn),提升信息安全流程化、標(biāo)準(zhǔn)化和規(guī)范化水平。強(qiáng)化隱患排查治理工作,強(qiáng)化從隱患發(fā)現(xiàn)到隱患治理的閉環(huán)管理工作,消除信息安全薄弱環(huán)節(jié)。

(十)開展信息技術(shù)供應(yīng)鏈安全管理工作,開展信息技術(shù)軟硬件設(shè)備和服務(wù)供應(yīng)商安全管理、軟硬件設(shè)備選型和安全測試工作,逐步實(shí)現(xiàn)核心運(yùn)行系統(tǒng)的國產(chǎn)化。加強(qiáng)外部合作單位和供應(yīng)商管理,嚴(yán)格外部單位資質(zhì)審核。嚴(yán)禁合作單位和供應(yīng)商在對互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲和運(yùn)行公司相關(guān)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和敏感信息。關(guān)鍵軟硬件設(shè)備采購應(yīng)開展產(chǎn)品預(yù)先選型和安全檢測。對涉及的信息安全軟硬件產(chǎn)品和密碼產(chǎn)品要堅持國產(chǎn)化原則,信息安全核心防護(hù)產(chǎn)品以自主研發(fā)為主。管理信息系統(tǒng)軟硬件產(chǎn)品逐步采用全國產(chǎn)化產(chǎn)品。及時開展各種軟硬件漏洞檢測及修復(fù)。

(十一)建立信息安全綜合評價體系,加強(qiáng)信息安全監(jiān)督及考核評價,將網(wǎng)絡(luò)與信息系統(tǒng)安全落實(shí)情況納入各級單位信息化水平評價。

(十二)加強(qiáng)密碼技術(shù)的開發(fā)利用以及密碼安全保障,落實(shí)密鑰的統(tǒng)一選型及應(yīng)用工作,充分發(fā)揮密碼技術(shù)在信息安全工作中的基礎(chǔ)作用。

第二十條 加強(qiáng)xx通信網(wǎng)的安全管理,規(guī)范xx通信網(wǎng)絡(luò)安全防護(hù)體系,健全針對各類網(wǎng)絡(luò)在線監(jiān)測和安全預(yù)警能力,做好對光纜、網(wǎng)絡(luò)交換設(shè)備、物理區(qū)域與人員的安全訪問管理,禁止通信網(wǎng)管系統(tǒng)未經(jīng)網(wǎng)絡(luò)隔離裝置與信息內(nèi)網(wǎng)互聯(lián),禁止通信網(wǎng)管系統(tǒng)與外部維護(hù)廠商間進(jìn)行網(wǎng)絡(luò)連接。xx通信設(shè)備、線路等應(yīng)采用冗余保障、網(wǎng)絡(luò)優(yōu)化、設(shè)備網(wǎng)管防護(hù)等措施提高可用性。

第二十一條 加強(qiáng)信息內(nèi)外網(wǎng)網(wǎng)站管理。各級單位對外網(wǎng)站應(yīng)與公司外網(wǎng)企業(yè)門戶網(wǎng)站進(jìn)行整合,內(nèi)網(wǎng)宣傳網(wǎng)站要與公司內(nèi)網(wǎng)企業(yè)門戶進(jìn)行整合,實(shí)現(xiàn)網(wǎng)站統(tǒng)一管理與備案。網(wǎng)站信息發(fā)布須嚴(yán)格按照公司審核發(fā)布流程。各級單位網(wǎng)站統(tǒng)一使用公司域名,并規(guī)范網(wǎng)站功能設(shè)置及網(wǎng)站風(fēng)格設(shè)計。加強(qiáng)內(nèi)外網(wǎng)郵件統(tǒng)一管理,禁止各級單位建立獨(dú)立內(nèi)外網(wǎng)郵件系統(tǒng),如確實(shí)需要建立,需提前報公司批準(zhǔn)。

第二十二條 加強(qiáng)信息安全備案準(zhǔn)入工作。各級單位要鞏固信息安全備案準(zhǔn)入成果,加強(qiáng)對采集類業(yè)務(wù)終端的安全備案,嚴(yán)格各類信息資產(chǎn)安全備案作為入網(wǎng)的必要條件。加強(qiáng)安全備案數(shù)據(jù)質(zhì)量的治理工作,確保填報信息完整、準(zhǔn)確及更新及時,對于未備案的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)專線,一經(jīng)發(fā)現(xiàn)立即關(guān)停,按照公司有關(guān)要求進(jìn)行追責(zé)及處置。

第二十三條 微博微信等新業(yè)務(wù)安全管理要求如下:

(一)強(qiáng)化對企業(yè)官方微博微信、Wi-Fi網(wǎng)絡(luò)、其他新業(yè)務(wù)的安全備案準(zhǔn)入與管理,加強(qiáng)微博微信開設(shè)、使用的安全管理,加強(qiáng)信息外網(wǎng)無線Wi-Fi網(wǎng)絡(luò)的審批、備案與使用管理。

(二)各級單位要加強(qiáng)官方微博微信的開設(shè)與管理,加強(qiáng)對本單位官方微博微信所發(fā)布的內(nèi)容審查與核實(shí)。微博微信的發(fā)布終端要按照公司辦公計算機(jī)防護(hù)要求部署安全措施。公司兩級技術(shù)督查隊(duì)伍在日常的安全督查中要加強(qiáng)對微博微信發(fā)布終端的檢查深度和頻度。

(三)各級單位信息外網(wǎng)使用Wi-Fi要嚴(yán)格落實(shí)審核批準(zhǔn)與備案工作,要加強(qiáng)Wi-Fi組網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入、安全審計、用戶身份認(rèn)證方面的安全防護(hù)技術(shù)手段。

(四)各級單位要控制內(nèi)網(wǎng)第三方專線接入公司信息網(wǎng)絡(luò)的專線數(shù)量,對于確需第三方接入的新業(yè)務(wù),要選擇安全的接入方式并強(qiáng)化落實(shí)邊界安全防護(hù)措施。

第二十四條 接入安全管理要求如下:

(一)加強(qiáng)互聯(lián)網(wǎng)接入以及互聯(lián)網(wǎng)出口歸集統(tǒng)一管理,充分利用公司xx通信鏈路,以省級單位和三地災(zāi)備中心為主體對下屬單位互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格管控、合并、統(tǒng)一設(shè)置和集中監(jiān)控。

(二)加強(qiáng)非集中辦公區(qū)域內(nèi)網(wǎng)接入安全管理,嚴(yán)格履行審批程序,按照公司集中辦公區(qū)域相關(guān)要求落實(shí)信息安全管理與技術(shù)措施。非集中辦公區(qū)域應(yīng)采用xx通信網(wǎng)絡(luò)通道接入公司內(nèi)部網(wǎng)絡(luò),如確實(shí)需要租用第三方專線,應(yīng)在公司進(jìn)行備案,并嚴(yán)格按照總體防護(hù)要求采取相應(yīng)防護(hù)措施。

第二十五條 規(guī)劃計劃安全管理要求如下:

(一)網(wǎng)絡(luò)與信息系統(tǒng)在可研設(shè)計階段應(yīng)全面分析其可能面臨的主要信息安全風(fēng)險以及對現(xiàn)有網(wǎng)絡(luò)與系統(tǒng)、流程的影響,并進(jìn)行安全需求分析。

(二)可研階段信息系統(tǒng)應(yīng)組織進(jìn)行信息安全防護(hù)設(shè)計,做好安全架構(gòu)規(guī)劃,形成專項(xiàng)信息安全防護(hù)方案并進(jìn)行評審。專項(xiàng)信息安全防護(hù)方案通過評審后方可進(jìn)行后續(xù)開發(fā)工作。涉及認(rèn)證、密鑰以及數(shù)據(jù)保護(hù)等方面需考慮與公司統(tǒng)一密鑰系統(tǒng)集成接口設(shè)計。

(三)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)提前組織開展等級保護(hù)定級工作,同時重要系統(tǒng)應(yīng)提前在公司信息安全歸口管理部門進(jìn)行備案。

第二十六條 建設(shè)安全管理要求如下:

(一)嚴(yán)格遵循信息系統(tǒng)開發(fā)管理要求,加強(qiáng)對項(xiàng)目開發(fā)環(huán)境及測試環(huán)境的安全管理,確保與實(shí)際運(yùn)行環(huán)境及辦公環(huán)境安全隔離,確保開發(fā)全過程信息安全管控。

(二)加強(qiáng)信息系統(tǒng)開發(fā)過程中代碼編寫的規(guī)范性,應(yīng)采用公司統(tǒng)一開發(fā)平臺進(jìn)行開發(fā),并嚴(yán)格按照公司統(tǒng)一安全編程規(guī)范進(jìn)行代碼編寫,定期進(jìn)行代碼審核,并組織代碼安全自測。

(三)加強(qiáng)代碼安全管理,確保開發(fā)過程中代碼安全保密。落實(shí)源代碼補(bǔ)丁漏洞工作,及時對代碼漏洞進(jìn)行反饋及整改。

(四)規(guī)范外部軟件及插件的使用,應(yīng)使用主流的、成熟的外部軟件及插件,避免采用非商用且無安全保證的外部軟件及插件。集成外部軟件及插件包括開源組件時,應(yīng)重視接口交互的安全,充分考慮異常的處理。

(五)加強(qiáng)xx通信網(wǎng)建設(shè)的安全管理,通過識別、評估和分析等手段降低安全風(fēng)險,保證通信網(wǎng)絡(luò)建設(shè)過程中安全可控,確保人身、設(shè)備及現(xiàn)有網(wǎng)絡(luò)的安全。

第二十七條 運(yùn)維安全管理要求如下:

(一)網(wǎng)絡(luò)與信息系統(tǒng)上線前、重要升級前、與生產(chǎn)系統(tǒng)聯(lián)合調(diào)試前對安全防護(hù)設(shè)計遵從度、應(yīng)用軟件安全功能、代碼安全、運(yùn)行環(huán)境安全等進(jìn)行全面測試以及整改加固,通過測試后方可正式上線試運(yùn)行。

(二)建立網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)安全管理制度,加強(qiáng)資產(chǎn)的新增、驗(yàn)收、盤點(diǎn)、維護(hù)、報廢等各環(huán)節(jié)管理。編制資產(chǎn)清單,根據(jù)資產(chǎn)重要程度對資產(chǎn)進(jìn)行標(biāo)識。加強(qiáng)對資產(chǎn)、風(fēng)險分析及漏洞關(guān)聯(lián)管理。

(三)加強(qiáng)機(jī)房出入管理,對機(jī)房建筑采取門禁、專人值守等措施,防止非法進(jìn)入,出入機(jī)房需進(jìn)行登記。

(四)加強(qiáng)信息通信設(shè)備安全管理,建立健全設(shè)備安全管理制度。加強(qiáng)設(shè)備基線策略管理以及優(yōu)化部署,制定安全基線策略配置管理要求和技術(shù)標(biāo)準(zhǔn),規(guī)范上線、運(yùn)行軟硬件設(shè)備信息安全策略以及安全配置。

(五)建立通信設(shè)備軟件升級預(yù)評估制度,對其必要性和緊急性進(jìn)行評估論證,并采取相應(yīng)防范措施后,再進(jìn)行相關(guān)升級工作。

(六)規(guī)范賬號權(quán)限管理,系統(tǒng)上線穩(wěn)定運(yùn)行后,應(yīng)回收建設(shè)開發(fā)單位所掌握的賬號。各類超級用戶賬號禁止多人共用,禁止由非主業(yè)不可控人員掌握。臨時賬號應(yīng)設(shè)定使用時限,員工離職、離崗時,信息系統(tǒng)的訪問權(quán)限應(yīng)同步收回。應(yīng)定期(半年)對信息系統(tǒng)用戶權(quán)限進(jìn)行審核、清理,刪除廢舊賬號、無用賬號,及時調(diào)整可能導(dǎo)致安全問題的權(quán)限分配數(shù)據(jù)。

(七)規(guī)范賬號口令管理,口令必須具有一定強(qiáng)度、長度和復(fù)雜度,長度不得小于 8 位字符串,要求是字母和數(shù)字或特殊字符的混合,用戶名和口令禁止相同。定期更換口令,更換周期不超過6個月,重要系統(tǒng)口令更換周期不超過3個月,最近使用的4個口令不可重復(fù)。

(八)強(qiáng)化公司統(tǒng)一漏洞及補(bǔ)丁工作,加強(qiáng)對公司各級單位漏洞的采集、分析、發(fā)布、描述的集中統(tǒng)一管理,實(shí)現(xiàn)全網(wǎng)漏洞掃描策略的統(tǒng)一制定、掃描任務(wù)的統(tǒng)一執(zhí)行,實(shí)現(xiàn)對各級單位漏洞情況以及內(nèi)外網(wǎng)補(bǔ)丁下載、安裝情況的監(jiān)管。加強(qiáng)各種典型漏洞、補(bǔ)丁的測試驗(yàn)證及整改工作。

(九)加強(qiáng)惡意代碼及病毒防范管理,加強(qiáng)對特種木馬的監(jiān)測,確保客戶端防病毒軟件全面安裝,嚴(yán)格要求內(nèi)網(wǎng)病毒庫的升級頻率,加強(qiáng)病毒監(jiān)測、預(yù)警、分析及通報力度。對使用的移動設(shè)備必須進(jìn)行病毒木馬查殺。

(十)加強(qiáng)遠(yuǎn)程運(yùn)維管理,不得通過互聯(lián)網(wǎng)或信息外網(wǎng)遠(yuǎn)程運(yùn)維方式進(jìn)行設(shè)備和系統(tǒng)的維護(hù)及技術(shù)支持工作。內(nèi)網(wǎng)遠(yuǎn)程運(yùn)維要履行審批程序,并對各項(xiàng)操作進(jìn)行監(jiān)控、記錄和審計。有國外單位參與的運(yùn)維操作需安排在測試仿真環(huán)境,禁止在生產(chǎn)環(huán)境進(jìn)行。

(十一)規(guī)范變更計劃、變更操作審批流程、變更測試、變更恢復(fù)預(yù)案等工作。嚴(yán)格系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序,嚴(yán)格執(zhí)行工作票和操作票制度。加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)檢修過程安全管理,預(yù)防網(wǎng)絡(luò)與信息系統(tǒng)損壞和事故發(fā)生。

(十二)加強(qiáng)安全審計工作,實(shí)現(xiàn)對主機(jī)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用等多個層次集中、全面、細(xì)粒度安全審計,提高審計記錄的統(tǒng)計匯總、綜合分析能力,做到事前、事中、事后的問題追溯。

(十三)明確備份及恢復(fù)策略,嚴(yán)格控制數(shù)據(jù)備份和恢復(fù)過程。重要系統(tǒng)和數(shù)據(jù)備份需納入公司統(tǒng)一的災(zāi)備系統(tǒng)。

(十四)涉及敏感信息的系統(tǒng)數(shù)據(jù)庫應(yīng)部署于信息內(nèi)網(wǎng),同時加強(qiáng)對重要地理信息、客戶信息等的安全存儲和安全傳輸?shù)却胧┑穆鋵?shí)。

(十五) xx通信網(wǎng)的光纜使用年限一般不應(yīng)超過設(shè)計要求,超過設(shè)計年限要求的光纜應(yīng)加強(qiáng)監(jiān)測。

第四章 技術(shù)措施

第二十八條 物理安全技術(shù)工作要求如下:

(一)嚴(yán)格執(zhí)行信息通信機(jī)房管理有關(guān)規(guī)范,確保機(jī)房運(yùn)行環(huán)境符合要求。室內(nèi)機(jī)房物理環(huán)境安全需滿足對應(yīng)信息系統(tǒng)等級的等級保護(hù)物理安全要求,室外設(shè)備物理安全需滿足國家對于防盜、xx氣、環(huán)境、噪音、xx磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、xx源等要求,四級及以上系統(tǒng)應(yīng)對關(guān)鍵區(qū)域?qū)嵤﹛x磁屏蔽措施。

(二)加強(qiáng)辦公區(qū)域安全管理,員工離開辦公區(qū)域要及時鎖定桌面終端計算機(jī)屏幕,防止外來人員接觸辦公區(qū)域xx子信息。

(三)重要通信設(shè)備應(yīng)滿足硬件冗余需求,如主控板卡、時鐘板卡、xx源板卡、交叉板卡、支路板卡等,至少滿足1+1冗余需求,一些重要板卡需滿足1+N冗余需求。

(四)通信xx源應(yīng)滿足xx系統(tǒng)重要業(yè)務(wù)“雙xx源”冗余要求。xx系統(tǒng)重要業(yè)務(wù)應(yīng)配置兩套獨(dú)立的通信設(shè)備,具備兩條獨(dú)立的路由,并分別由兩套獨(dú)立的xx源供xx, 兩套通信設(shè)備和兩套xx源在物理上應(yīng)完全隔離。

第二十九條 網(wǎng)絡(luò)安全技術(shù)工作要求如下:

(一)xx通信網(wǎng)的數(shù)據(jù)網(wǎng)劃分為xxxx數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)通信網(wǎng),分別承載不同類型的業(yè)務(wù)系統(tǒng),xxxx數(shù)據(jù)網(wǎng)與綜合數(shù)據(jù)網(wǎng)之間應(yīng)在物理層面上實(shí)現(xiàn)安全隔離。

(二)加強(qiáng)信息內(nèi)外網(wǎng)架構(gòu)管控,做好分區(qū)分域安全防護(hù),進(jìn)一步提升用戶服務(wù)體驗(yàn)。公司管理信息大區(qū)劃分為信息外網(wǎng)和信息內(nèi)網(wǎng),信息內(nèi)外網(wǎng)采用邏輯強(qiáng)隔離設(shè)備進(jìn)行安全隔離。信息內(nèi)外網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)分類劃分不同業(yè)務(wù)區(qū)。各業(yè)務(wù)區(qū)按照信息系統(tǒng)防護(hù)等級以及業(yè)務(wù)系統(tǒng)類型進(jìn)一步劃分安全域,加強(qiáng)區(qū)域間用戶訪問控制,按最小化原則設(shè)置用戶訪問暴露面,防止非授權(quán)的跨域訪問,實(shí)現(xiàn)業(yè)務(wù)分區(qū)分域管理。

(三)按照公司總體安全防護(hù)要求,結(jié)合xx通信網(wǎng)各類網(wǎng)絡(luò)邊界特點(diǎn),嚴(yán)格按照公司要求落實(shí)訪問控制、流量控制、入侵檢測/防護(hù)、內(nèi)容審計與過濾、防隱性邊界、惡意代碼過濾等安全技術(shù)措施,防范跨域跨邊界非法訪問及攻擊,防范惡意代碼傳播。不得從任何公共網(wǎng)絡(luò)直接接入公司內(nèi)部網(wǎng)絡(luò),禁止內(nèi)、外網(wǎng)接入通道混用。

(四)加強(qiáng)互聯(lián)網(wǎng)邊界及對外業(yè)務(wù)系統(tǒng)安全防護(hù),進(jìn)一步提升針對互聯(lián)網(wǎng)出口DDoS等典型網(wǎng)絡(luò)攻擊以及特種病毒木馬的防范能力,提高信息外網(wǎng)可靠性及安全性。

(五)深化信息內(nèi)外網(wǎng)邊界安全防護(hù),加強(qiáng)內(nèi)外網(wǎng)數(shù)據(jù)交互安全過濾,保障關(guān)鍵應(yīng)用快速穿透和信息安全交互,滿足客戶服務(wù)及時響應(yīng)需求。

(六)加強(qiáng)對信息內(nèi)外網(wǎng)專線的安全防護(hù),對于與銀行等外部單位互聯(lián)的專線要部署邏輯強(qiáng)隔離措施,設(shè)置訪問控制策略,進(jìn)行內(nèi)容監(jiān)測與審計,只容許指定的、可信的網(wǎng)絡(luò)及用戶才能進(jìn)行數(shù)據(jù)交換。

(七)加強(qiáng)信息內(nèi)網(wǎng)遠(yuǎn)程接入邊界安全防護(hù)。對于采用無線專網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)的采集等業(yè)務(wù)應(yīng)用,應(yīng)在網(wǎng)絡(luò)邊界部署公司統(tǒng)一安全接入防護(hù)措施,建立專用加密傳輸通道,并結(jié)合公司統(tǒng)一數(shù)字證書體系進(jìn)行防護(hù)。

(八)信息內(nèi)網(wǎng)禁止使用無線網(wǎng)絡(luò)組網(wǎng)。

(九)信息外網(wǎng)用無線組網(wǎng)的單位,應(yīng)強(qiáng)化無線網(wǎng)絡(luò)安全防護(hù)措施,無線網(wǎng)絡(luò)要啟用網(wǎng)絡(luò)接入控制和身份認(rèn)證,進(jìn)行IP/MAC地址綁定,應(yīng)用高強(qiáng)度加密算法,防止無線網(wǎng)絡(luò)被外部攻擊者非法進(jìn)入,確保無線網(wǎng)絡(luò)安全。

第三十條 終端安全技術(shù)工作要求如下:

(一)辦公計算機(jī)嚴(yán)格執(zhí)行“涉密不上網(wǎng)、上網(wǎng)不涉密”紀(jì)律,嚴(yán)禁將涉及國家秘密的計算機(jī)、存儲設(shè)備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡(luò)連接,嚴(yán)禁在信息內(nèi)網(wǎng)計算機(jī)存儲、處理國家秘密信息,嚴(yán)禁在連接互聯(lián)網(wǎng)的計算機(jī)上處理、存儲涉及國家秘密和企業(yè)秘密信息;嚴(yán)禁信息內(nèi)網(wǎng)和信息外網(wǎng)計算機(jī)交叉使用;嚴(yán)禁普通移動存儲介質(zhì)和掃描儀、打印機(jī)等計算機(jī)外設(shè)在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用。涉密計算機(jī)按照公司辦公計算機(jī)保密管理規(guī)定進(jìn)行管理。

(二)信息內(nèi)外網(wǎng)辦公計算機(jī)應(yīng)分別部署于信息內(nèi)外網(wǎng)桌面終端安全域,桌面終端安全域應(yīng)采取IP/MAC綁定、安全準(zhǔn)入管理、訪問控制、入侵檢測、病毒防護(hù)、惡意代碼過濾、補(bǔ)丁管理、事件審計、桌面資產(chǎn)管理等措施進(jìn)行安全防護(hù)。

(三)信息內(nèi)外網(wǎng)辦公計算機(jī)終端須安裝桌面終端管理系統(tǒng)、保密檢測系統(tǒng)、防病毒等客戶端軟件,嚴(yán)格按照公司要求設(shè)置基線策略,并及時進(jìn)行病毒庫升級以及補(bǔ)丁更新。嚴(yán)禁未通過本單位信息通信管理部門審核以及中國xx科院的信息安全測評認(rèn)定工作,相關(guān)部門和個人在信息內(nèi)外網(wǎng)擅自安裝具有拒絕服務(wù)、網(wǎng)絡(luò)掃描、遠(yuǎn)程控制和信息搜集等功能的軟件(惡意軟件),防范引發(fā)的安全風(fēng)險;如確需安裝,應(yīng)履行相關(guān)程序。

(四)對于不具備信息內(nèi)網(wǎng)專線接入條件,通過公司統(tǒng)一安全防護(hù)措施接入信息內(nèi)網(wǎng)的信息采集類、移動作業(yè)類終端,需嚴(yán)格執(zhí)行公司辦公終端“嚴(yán)禁內(nèi)外網(wǎng)機(jī)混用”的原則。同時接入信息內(nèi)網(wǎng)終端在遵循公司現(xiàn)有終端安全防護(hù)要求的基礎(chǔ)上,要安裝終端安全??剀浖M(jìn)行安全加固,并通過安全加密卡進(jìn)行認(rèn)證,確保其不能連接信息外網(wǎng)和互聯(lián)網(wǎng)。

第三十一條 主機(jī)安全技術(shù)工作要求如下:

(一)對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識和鑒別,具有登錄失敗處理,限制非法登錄次數(shù),設(shè)置連接超時功能。

(二)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶應(yīng)進(jìn)行訪問權(quán)限分離,對訪問權(quán)限一致的用戶進(jìn)行分組,訪問控制粒度應(yīng)達(dá)到主體為用戶級,客體為文件、數(shù)據(jù)庫表級。禁止匿名用戶訪問。

(三)加強(qiáng)補(bǔ)丁的兼容性和安全性測試,確保操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)平臺軟件補(bǔ)丁升級安全。

(四)加強(qiáng)主機(jī)服務(wù)器病毒防護(hù),安裝防病毒軟件,及時更新病毒庫。

第三十二條 應(yīng)用安全技術(shù)工作要求如下:

(一)強(qiáng)化用戶登陸身份認(rèn)證功能,采用用戶名及口令進(jìn)行認(rèn)證時,應(yīng)當(dāng)對口令長度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求,系統(tǒng)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,禁止口令在系統(tǒng)中以明文形式存儲;系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯誤鎖定、會話超時退出等安全策略的功能。

(二)規(guī)范應(yīng)用系統(tǒng)權(quán)限的設(shè)計與使用,實(shí)現(xiàn)用戶、組織、角色、權(quán)限信息統(tǒng)一集中管理,權(quán)限分配應(yīng)按照最小權(quán)限原則,審核角色、系統(tǒng)管理角色、業(yè)務(wù)操作角色、賬號創(chuàng)建角色與權(quán)限分配角色等應(yīng)按照互斥原則設(shè)置權(quán)限。

(三)根據(jù)信息系統(tǒng)安全級別強(qiáng)化應(yīng)用自身安全設(shè)計,應(yīng)包括身份認(rèn)證,授權(quán),輸入輸出驗(yàn)證,配置管理,會話管理,加密技術(shù),參數(shù)操作,異常管理,日志及審計等方面內(nèi)容。

(四)控制單個用戶的多重并發(fā)會話和最大并發(fā)連接數(shù),限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小使用限度,當(dāng)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值時,應(yīng)能檢測并報警。

(五)加強(qiáng)郵件敏感內(nèi)容檢查、郵件病毒查殺、外網(wǎng)郵件行為監(jiān)測,社會郵箱收發(fā)件統(tǒng)計等安全措施,防范郵件系統(tǒng)攻擊及郵件泄密。

(六)具有控制功能的系統(tǒng)或模塊,控制類信息必須通過生產(chǎn)控制大區(qū)網(wǎng)絡(luò)或?qū)>€傳輸,嚴(yán)格遵守xx二次系統(tǒng)安全防護(hù)方案,實(shí)現(xiàn)系統(tǒng)主站與終端間基于國家認(rèn)可密碼算法的加密通信,基于數(shù)字證書體系的身份認(rèn)證,對主站的控制命令和參數(shù)設(shè)置指令須采取強(qiáng)身份認(rèn)證及數(shù)據(jù)完整性驗(yàn)證等安全防護(hù)措施。

(七)對與互聯(lián)網(wǎng)有廣泛交互的應(yīng)用系統(tǒng)或模塊,以及部署在信息外網(wǎng)的系統(tǒng)與網(wǎng)站,要加強(qiáng)權(quán)限管理,做好主機(jī)、應(yīng)用的安全加固,加強(qiáng)賬號、密碼、重要數(shù)據(jù)等加密存儲,對需要穿透訪問信息內(nèi)網(wǎng)的數(shù)據(jù)或服務(wù),嚴(yán)格限制訪問數(shù)據(jù)的格式,過濾必要的特殊字符組合以防止注入攻擊。建立常態(tài)外網(wǎng)安全巡檢、加固、檢修以及應(yīng)急演練等工作機(jī)制,做好日常網(wǎng)站備份工作。

(八)具有采集功能的系統(tǒng)或模塊,根據(jù)采集信息的保密性,在采用公司專線(光纖、載波等)接入內(nèi)網(wǎng)進(jìn)行信息采集時,應(yīng)采用身份認(rèn)證和訪問控制措施。不具備專線條件時,應(yīng)在虛擬專網(wǎng)基礎(chǔ)上采用終端身份認(rèn)證、訪問控制措施,建立加密傳輸通道進(jìn)行信息采集,要加強(qiáng)對采集終端存儲和處理敏感業(yè)務(wù)數(shù)據(jù)的安全防護(hù),以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性。

第三十三條 數(shù)據(jù)安全技術(shù)工作要求如下:

(一)從終端、網(wǎng)絡(luò)以及存儲三個層面加強(qiáng)對敏感數(shù)據(jù)進(jìn)行檢測與分析,實(shí)現(xiàn)對公司各種敏感數(shù)據(jù)存儲、數(shù)據(jù)操作權(quán)限、數(shù)據(jù)外發(fā)等進(jìn)行安全保護(hù)與控制。

(二)重要和敏感信息,如商密定級文件、公司OA公文、xx子文件等,實(shí)行加密傳輸、授權(quán)控制、操作審計及監(jiān)控;對重要信息實(shí)行自動、定期備份;按需進(jìn)行恢復(fù)測試,確保備份數(shù)據(jù)的可用性。

(三)嚴(yán)格落實(shí)公司xx子數(shù)據(jù)恢復(fù)、擦除與銷毀管理技術(shù)要求,加強(qiáng)處理過程中的存儲介質(zhì)管理、全程現(xiàn)場監(jiān)控以及安全保密等工作。

第三十四條 深化信息安全監(jiān)測手段,擴(kuò)展監(jiān)控范圍,實(shí)現(xiàn)對各類網(wǎng)絡(luò)及邊界、網(wǎng)站及應(yīng)用系統(tǒng)、終端以及密鑰使用情況等的全方位、實(shí)時安全監(jiān)控,做好信息安全監(jiān)測預(yù)警、指標(biāo)發(fā)布及深化治理工作。

第三十五條 xx網(wǎng)工業(yè)控制系統(tǒng)應(yīng)納入xx二次系統(tǒng)管理。加強(qiáng)xx網(wǎng)工業(yè)控制系統(tǒng)安全保障工作,推進(jìn)工業(yè)控制系統(tǒng)安全檢測技術(shù)研究和工具研發(fā),做好xx網(wǎng)工控系統(tǒng)安全測評、關(guān)鍵設(shè)備安全檢測及防護(hù)整改等工作,進(jìn)一步提高漏洞分析、漏洞發(fā)布、隱患排查和應(yīng)急處理能力。

第三十六條 加強(qiáng)云計算、物聯(lián)網(wǎng)、可信計算、下一代互聯(lián)網(wǎng)等方面的信息安全技術(shù)研究與應(yīng)用,強(qiáng)化對新技術(shù)的檢測、驗(yàn)證、評估及審核,超前分析新技術(shù)應(yīng)用帶來的安全風(fēng)險和隱患,提前采取措施予以防范。不得采用與公司信息安全策略與要求相違背的信息通信技術(shù),不得應(yīng)用存在信息安全隱患的新技術(shù)。

第三十七條 針對暴露面及新型安全威脅,圍繞隱患發(fā)現(xiàn)、防護(hù)處置、監(jiān)測對抗、應(yīng)急恢復(fù)等能力,建立穩(wěn)定、專業(yè)的技術(shù)支撐隊(duì)伍,從研發(fā)安全、安全檢測、防病毒管理、統(tǒng)一密鑰管理、漏洞補(bǔ)丁管理、紅藍(lán)對抗、安全監(jiān)控、應(yīng)急恢復(fù)、新技術(shù)研究與架構(gòu)設(shè)計等方面開展專項(xiàng)技防能力建設(shè),實(shí)現(xiàn)技術(shù)手段和管理措施的有效融合,實(shí)現(xiàn)內(nèi)外部綜合協(xié)同、資源共享和整體聯(lián)動,提升公司信息安全協(xié)同防御和體系對抗能力。

第五章 檢查考核

第三十八條 各級單位應(yīng)建立網(wǎng)絡(luò)與信息系統(tǒng)安全檢查考核機(jī)制,根據(jù)工作需要,制定科學(xué)、規(guī)范的檢查考核指標(biāo)體系。

第六章 附 則

第三十九條 本辦法由信通部負(fù)責(zé)解釋并監(jiān)督執(zhí)行。

第四十條 本辦法自2020年xx月xx日起施行。原《公司信息系統(tǒng)安全管理辦法》(信息 〔20xx〕 xx號)、《公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報制度》(信息技術(shù)〔xxx〕xxx號)同時廢止。

附件1

公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報規(guī)范

一、總則

(一)為加強(qiáng)公司(以下簡稱“公司”)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行管理,進(jìn)一步規(guī)范完善公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報工作,有效保障通報工作有序開展,切實(shí)落實(shí)上情下達(dá)、下情上達(dá)、協(xié)調(diào)和服務(wù)保障的任務(wù),依據(jù)《xx行業(yè)網(wǎng)絡(luò)與信息安全信息通報暫行辦法》、《xx企業(yè)網(wǎng)絡(luò)與信息安全信息通報工作指導(dǎo)意見(試行)》,制定本規(guī)范。

(二)本規(guī)范所指網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況是指信息網(wǎng)絡(luò)和系統(tǒng)故障和癱瘓,信息系統(tǒng)數(shù)據(jù)丟失和信息泄密,信息系統(tǒng)受到病毒感染和惡意滲透、攻擊,有害信息在網(wǎng)站傳播等信息安全事件以及跟蹤發(fā)現(xiàn)的外部信息安全輿情。

(三)本規(guī)范適用于公司總(分)部及所屬各級單位的網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報管理工作。

(四)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報工作按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的工作原則,實(shí)行“統(tǒng)一領(lǐng)導(dǎo),分級管理、逐級上報”的工作方針,以加強(qiáng)公司各級單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行的信息共享和統(tǒng)一應(yīng)急處置工作。

二、職責(zé)分工

(一)信通部負(fù)責(zé)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的歸口管理工作。主要職責(zé):

(1)負(fù)責(zé)建立公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的規(guī)章制度,并督促執(zhí)行;

(2)負(fù)責(zé)與國家有關(guān)部門建立聯(lián)系,及時接收和轉(zhuǎn)發(fā)國家有關(guān)部門發(fā)布的信息通報,并按時向國家有關(guān)部門報送相關(guān)材料;

(3)負(fù)責(zé)匯總總部xx二次系統(tǒng)、xx通信骨干網(wǎng)絡(luò)、總部信息系統(tǒng),以及公司各單位的安全運(yùn)行情況通報;

(4)負(fù)責(zé)建立與國家有關(guān)部門的信息安全通報聯(lián)系,對于重大事件啟動聯(lián)合應(yīng)急機(jī)制,并協(xié)調(diào)國家相關(guān)部門協(xié)助處置。

(二)xx中心負(fù)責(zé)匯總公司范圍內(nèi)有關(guān)xx二次系統(tǒng)安全運(yùn)行情況,并抄送信通部歸口統(tǒng)計。

(三)信通公司負(fù)責(zé)將xx通信骨干網(wǎng)絡(luò)和總部信息系統(tǒng)安全運(yùn)行情況匯總報送信通部和運(yùn)監(jiān)中心,并將xx通信骨干網(wǎng)絡(luò)安全運(yùn)行情況抄送給xx中心。

(四)公司各級單位信息通信管理部門負(fù)責(zé)本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的歸口管理工作。主要職責(zé):

(2)負(fù)責(zé)結(jié)合實(shí)際情況,建立本單位信息安全通報的規(guī)章制度,并督促執(zhí)行;

(3)負(fù)責(zé)匯總本單位范圍內(nèi)xx通信網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行情況,按時按需向上級主管部門報送本單位快報、月報、年報、特殊時期信息安全日報、安全事件專報。

(4)負(fù)責(zé)匯總本單位發(fā)現(xiàn)的信息安全事件和突發(fā)工作(如公安機(jī)關(guān)檢查情況),以及跟蹤發(fā)現(xiàn)的外部信息安全輿情,并報送至上級主管部門;

(5)負(fù)責(zé)匯總本單位信息安全重點(diǎn)工作開展情況,突出本單位特色、自行開展的信息安全工作,以及對公司信息安全工作建議,并報送至上級主管部門;

(6)負(fù)責(zé)總結(jié)本單位信息安全工作典型經(jīng)驗(yàn),并報送至上級主管部門;

(7)負(fù)責(zé)向下級單位轉(zhuǎn)發(fā)信通部發(fā)布的各類信息安全事件通報、預(yù)警通報,負(fù)責(zé)接收、匯總反饋情況,報送至上級主管部門。

(五)公司各級單位xx部門按照xx二次系統(tǒng)信息報送要求,將本單位xx二次系統(tǒng)安全運(yùn)行情況上報xx中心,遇重大、緊急突發(fā)安全事件時,抄送給信息通信管理部門。

(六)中國xx科院負(fù)責(zé)對總部范圍內(nèi)信息安全通報相關(guān)工作提供技術(shù)支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。

(八)省公司督查隊(duì)伍負(fù)責(zé)對本省內(nèi)信息安全通報相關(guān)工作提供技術(shù)支持,并協(xié)助開展安全事件、安全隱患、安全漏洞、安全輿情的分析、研判等工作。

三、內(nèi)容及分類

(一)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報內(nèi)容主要包括:

(1)xx子公告服務(wù)、群發(fā)xx子郵件以及廣播式即時通信等網(wǎng)絡(luò)服務(wù)中反動有害信息的傳播情況;

(2)利用網(wǎng)絡(luò)從事違法犯罪活動的情況;

(3)已經(jīng)確定或可能發(fā)生的計算機(jī)病毒、網(wǎng)絡(luò)攻擊情況;

(4)網(wǎng)絡(luò)恐怖活動的嫌疑情況和預(yù)警信息;

(5)網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常、網(wǎng)絡(luò)和信息癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)纂改、丟失等情況;

(6)網(wǎng)絡(luò)安全狀況、安全形勢分析預(yù)測等信息;

(7)跟蹤發(fā)現(xiàn)的各類外部信息安全輿情;

(8)其他影響網(wǎng)絡(luò)與信息安全的信息。

(二)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行情況通報分為快報、月報、年報、特殊時期安全運(yùn)行日報以及安全事件專報。

(三)公司各級單位的網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行過程中如出現(xiàn)以下任一情形,需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報(格式見附表二),并逐級上報。相關(guān)情形包括:

(1)網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生嚴(yán)重故障和癱瘓;

(2)信息系統(tǒng)重要數(shù)據(jù)丟失和信息泄密;

(3)信息系統(tǒng)受到較大面積病毒感染和惡意滲透、攻擊;

(4)有害信息在網(wǎng)站較大面積傳播;

(5)其他較嚴(yán)重或上級部門指定以快報形式上報的信息安全事件。

(四)公司各級單位每月需填寫網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(格式見附表三),并上報上級主管部門。月報應(yīng)包括以下內(nèi)容:

(1)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析;

(2)網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況;

(3)安全事件統(tǒng)計與分析;

(4)本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況;

(5)對公司信息安全工作建議。

(五)公司各級單位每年需進(jìn)行年度總結(jié)報告(以下簡稱年報),并以書面形式上報上級主管部門。年報應(yīng)包括以下內(nèi)容:

(1)負(fù)責(zé)運(yùn)行維護(hù)的設(shè)備和信息系統(tǒng)的基本情況;

(2)安全與運(yùn)行管理工作簡況;

(3)年度信息安全與運(yùn)行指標(biāo)工作總結(jié)與分析,要對信息系統(tǒng)的主要設(shè)備、事故、障礙、故障和異常情況及原因進(jìn)行統(tǒng)計、匯總和分析;

(4)對影響設(shè)備和信息系統(tǒng)安全運(yùn)行的主要原因和問題進(jìn)行分析;

(5)下一年度安全與運(yùn)行擬開展的重點(diǎn)工作。

(七)中國xx科院需向公司信通部報送各類信息安全事件專報。專報包括:

(1)信息安全監(jiān)測深度分析:根據(jù)當(dāng)月信息安全監(jiān)測情況,基于數(shù)字分析公司整體信息安全情況,總結(jié)存在的信息安全隱患問題以及監(jiān)測工作本身的不足,并提出相關(guān)建議;

(2)信息安全監(jiān)測發(fā)現(xiàn)重大事件:對信息安全監(jiān)測發(fā)現(xiàn)的重大事件進(jìn)行分析,并提出解決建議;

(3)信息安全事件分析:不定期跟蹤公司及外部信息安全重大事件和典型事件,分析事件成因、問題,以及對公司信息安全工作的啟示和舉措;

(4)信息安全輿情跟蹤:雙周跟蹤國內(nèi)外信息安全事件、漏洞、政策、會議、技術(shù)等輿情;

(5)新技術(shù)、新應(yīng)用、新業(yè)務(wù)信息安全情況分析:不定期跟蹤新技術(shù)、新應(yīng)用、新業(yè)務(wù)在公司的開展情況,分析其中信息安全情況,并提出相關(guān)建議。

四、報送要求

(一)公司各級單位通過公司信息通信業(yè)務(wù)管理系統(tǒng)上報網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報、日報,安全運(yùn)行快報主要通過xx子郵件和傳真報送。

(二)公司各級單位在執(zhí)行快報上報時,需在二十四小時內(nèi)完成上報工作。特別緊急情況需第一時間通過xx話等方式立即向信通部相關(guān)負(fù)責(zé)人員做口頭匯報。

(三)公司各級單位需在每個月前兩個工作日內(nèi)完成上個月的月報上報工作。信通部對公司的安全運(yùn)行情況匯總分析后,于第三個工作日將公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況報送國家相關(guān)單位。

(四)公司各級單位的年報工作與本年度最后一期月報一并上報。

(五)公司各級單位應(yīng)及時、全面、準(zhǔn)確報送信息,不得瞞報、緩報、謊報網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況。

(六)公司各級單位應(yīng)按照國家保密規(guī)定,做好本單位網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報的保密工作。

附表一:網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報基本情況備案表

單位名稱

責(zé)任部門

安全運(yùn)行情況通報負(fù)責(zé)人

姓名:

職務(wù):

郵編:

信通地址:

xx話:

手機(jī):

xx子郵件:

安全運(yùn)行情況通報聯(lián)絡(luò)人

姓名:

職務(wù):

郵編:

信通地址:

xx話:

手機(jī):

xx子郵件:

后備聯(lián)絡(luò)人

姓名:

職務(wù):

郵編:

信通地址:

xx話:

手機(jī):

xx子郵件:

其他聯(lián)絡(luò)人

填表說明

審核人

批準(zhǔn)人

填表人

填報時間

附表二:網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行快報

報告單位

報告時間

事件起止時間

自 年 月 日

至 年 月 日

審核人

批準(zhǔn)人

報告人

通信方式

事件簡單描述

事件影響范圍和危害程度初步估計

處置措施和初步結(jié)果

備注

附表三:網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報

單位名稱

報告時間

系統(tǒng)運(yùn)行期間

起始日期

截止日期

網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行指標(biāo)情況及分析

網(wǎng)絡(luò)與信息系統(tǒng)安全信息情況

安全審計統(tǒng)計與分析

本月網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行工作開展情況

備注:

審核人

批準(zhǔn)人

報告人

通信方式

附表四:網(wǎng)絡(luò)與信息系統(tǒng)特殊時期安全運(yùn)行日報

單位名稱

報告時間

系統(tǒng)運(yùn)行期間

 年 月 日

網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行狀況描述:

發(fā)生的網(wǎng)絡(luò)與信息系統(tǒng)事件描述(時間、類型、起因與過程、影響范圍、損失及危害情況、分析研判結(jié)果、整改措施)

備注:

審核人

批準(zhǔn)人

報告人

通信方式