X有限公司网络与信息安全管理办法（试行）.docx

X有限公司网络与信息安全管理办法（试行） X有限公司网络与信息安全管理办法（试行） 第一章总则 第一条为加强XXXX有限公司网络与信息安全监督管理，提高网络与信息安全防护能力和水平，促进公司各项事业健康有序发展，根据《中华人民共和国网络安全法》《XXX省计算机信息系统安全保护条例》等相关法律法规及《XXX省XXX产业集团有限责任公司网络与信息安全管理办法（试行）》，结合公司实际，制定本办法。 第二条本办法适用于公司网络与信息系统的建设、维护、使用等管理工作。本条网络与信息系统是指（包括但不限于）网络基础设施、数据中心、信息系统、网络数据、信息内容、计算机终端和其他支撑网络与信息系统正常运行的软件、硬件设备。 第三条网络与信息安全工作坚持“统一领导、逐级负责，统筹规划、突出重点”的原则，遵循“安全第一、预防为主，管理和技术并重，综合防范，全员参与”的方针。 第二章职责分工 第四条公司设立网络安全和信息化领导小组，组成人员： 组长：党委书记 常务副组长：党委副书记 副组长：公司领导班子其他成员 成员：总经理助理党委办公室主任 综合办公室主任财务管理部负责人 领导小组下设办公室，办公室设在综合办公室 办公室主任：综合办公室主任 网络安全管理员：综合办公室职员 第五条公司网络安全和信息化领导小组负责统筹协调网络与信息安全工作和相关监督管理工作，具体职责如下： （一）负责贯彻落实XXXXXXXX有限责任公司（以下简称“集团公司”）网络与信息安全工作的部署和要求，依据“谁使用、谁主管、谁负责”的原则，加强网络安全和信息XXX作的领导，落实工作责任； （二）研究制定公司网络安全与信息化管理制度，落实相关措施，确保网络与信息系统安全运行； （三）负责开展公司网络安全的工作检查； （四）负责统筹、协调公司网络安全事件应急工作，并配合有关监管部门做好网络安全相关应急处置工作； （五）负责推进公司软件正版XXX作，研究制定正版软件管理办法； （六）负责组织开展经常性网络安全宣传教育，提高公司人员的网络安全意识和网络安全技术水平。 第六条有关部室在各自职责范围内负责网络与信息安全保护和监督管理工作，具体职责如下： （一）综合办公室：牵头全面负责公司网络安全和信息XXX作，负责督促检查公司网络安全和信息XXX作，负责网络安全信息的监测预警和通报工作的组织、指导和协调，负责公司软件正版化日常工作。负责内部公文的保密管理工作，负责协调公司落实网络安全和信息化有关举措，负责网络安全应急值班工作。 （二）党委工作部：负责党委信息安全工作，负责收集和处置信访相关舆情。负责公司网络意识形态安全及应急处置工作，负责收集和处置公司重大舆情。 （三）财务管理部：负责网络安全和信息化经费保障工作。 第七条使用部室负责自建网络与信息系统的安全保护和监督管理工作；履行网络与信息安全的保护义务；使用部室和个人对系统操作与信息内容的安全承担直接责任；网络与信息系统通过外包服务方式进行维护的，使用部室负责督查外包服务单位做好安全运维工作，安全监管责任主体仍为使用部室。 第三章安全防护 第八条对建设的网络与信息系统依法开展定级、备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，抵御黑客、病毒、恶意代码等发起的各类攻击和破坏，保障网络基础设施安全、网络运行安全、信息系统安全、数据安全和信息安全，有效应对网络与信息安全事件，防范网络违法犯罪活动。 第九条按照国家有关网络与信息安全的法律法规、标准体系的管理规范、技术标准确定网络与信息系统的网络安全保护等级，并对其实施相应等级的安全管理。 第十条新建、改建、扩建的网络与信息系统，应当在规划、设计阶段同步建设信息安全保障措施。 第十一条严格要求并监督网站、平台或系统开发方或者运维方采取数据分类、重要数据备份和加密等措施，防止数据丢失或失密。备份数据应按相关制度严格管理，妥善保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。 第十二条严格要求并监督网站、平台或系统开发方或者运维方采取监测、记录网络运行状态、网络安全事件的技术措施，防止网络日志被非法窃取、修改和删除，所有日志均应按照法律法规等要求留存。 第十三条加强外部协作单位和人员的管理。因系统开发、运行维护等工作需要，让外部协作单位和人员访问网络与信息系统时，必须驻场接受统一管理，从配备堡垒机的统一端口访问，留存日志不少于6个月，并签订网络安全服务协议，明确外部人员的安全责任与义务，规定所获取内部数据等资源的使用范围，存留外部人员详细访问记录，并确定与之相关的内部网络安全责任人员。 第十四条网络与信息安全管理部门负责本公司网络的规划、搭建、统一管理、日常维护、安全保障等工作。 第十五条局域网边界必须安装防火墙、上网行为管理等安全设备，设置防病毒、防漏洞、数据过滤、禁止游戏等安全管理策略，对接入外网的每个终端设备实行IP地址与MAC地址绑定，使用统一管理的防病毒软件。 第十六条使用局域网必须遵守相关法律法规，严禁在局域网内运行或传播病毒、流氓软件及进行其他影响局域网正常运行的行为。 第十七条严格规范网络安全人员的录用过程，对被录用人的身份、背景、专业资格和资质等进行详细审查，对其所具有的技术技能进行严格专业的考核，并签署保密协议，明确网络安全管理责任。 第十八条新录用的网络安全人员，应当经过网络安全培训，掌握网络安全基本要求和基本技能。 第十九条网络安全人员调岗离职时，应当签署网络安全离岗保密协议，并及时调整和终止网络与信息系统的访问权限。未办理上述事项前，不得办理调岗离职手续。 第二十条所有人员必须坚持“涉密不上网、上网不涉密”原则，严格做好保密工作，妥善保管、使用敏感信息。 第二十一条计算机终端按下列要求使用，确保信息安全： （一）应安装、使用正版的操作系统、应用软件、防病毒软件，及时升级各软件系统； （二）安装正规来源的工作软件，不得安装与工作无关的软件，不得存储和处理与工作无关的个人信息、资料、数据，不得制作、复制和传播非法、低俗、有害信息； （三）未经授权不得将数据或应用复制给其他单位或个人； （四）未经同意不得使用他人计算机终端； （五）设置具有一定强度的开机密码和屏幕保护密码，关闭不必要的应用、服务、端口； （六）向信息系统提交文件前要做好查毒、杀毒工作，确保文件无毒上传； （七）对重要文档资料做好备份； （八）不得有法律法规禁止的行为。 第二十二条移动存储介质按下列要求使用，确保信息安全。 （一）接入计算机终端之前必须杀毒； （二）适用于临时数据的导入导出，不能作为数据的日常保存介质； （三）包含敏感信息的移动存储介质报废时，应被安全地处置，防止信息泄密，并做好处置记录。 第二十三条电脑设备的使用。 （一）不滥用网络资源浏览无关网页、娱乐网站、购物网站、炒股及BBS、BLOG等。上班时间，禁止使用QQ、微信、阿里旺旺等聊天工具做与工作无关的闲聊，禁止访问一切流媒体网站如：土豆网、优酷网等； （二）严禁利用互联网从事国家法律法规禁止的一切活动；严禁通过互联网查看和下载国家法律法规明令禁止传播的一切信息； （三）不得利用互联网泄漏公司战略计划、经营数据、财务数据、业务资料、技术资料以及被公司列为保密范围之内的信息和资料，严禁利用网络资源从事违反公司制度的活动； （四）网络管理人员对公司所有计算机设备进行统一登记，建立计算机软、硬件明细台账，并定期对硬件进行维护、检查各部室使用情况； （五）计算机的使用人即为该设备的责任人，使用部室为责任部室。未经负责人批准，任何人不得使用他人计算机，各部室使用的计算机，由部室负责人进行管理监督。 第二十四条电子邮箱。 （一）严禁使用邮箱收发各类违反国家法律法规和公司规章制度的内容； （二）严禁使用邮箱传播不利于公司生产经营的正常开展，不利于内部团建的言论和文件； （三）严禁使用邮箱传播带有病毒、恶意软件的邮件内容； （四）严禁使用各种技术手段攻击、破解他人邮箱等入侵行为； （五）邮箱用户需要对自己邮箱的账号、密码安全负全部责任，对自己邮箱账号发送、接收的所有内容及产生的后果承担全部责任。 第二十五条信息发布与审核。 （一）本条款适用于集团公司官网（以下统称官网）、内网（以下统称OA系统）及其他对外宣传平台。 （二）为规范网站信息采集、审核和发布机制，实行审批制度，坚持“先审后上、分级负责、保证质量”的原则，未经审核的信息严禁上网发布。下列信息不得发布： 1.涉密文件； 2.涉及商业秘密、个人隐私的相关信息； 3.有损公司形象，对公司产生不利影响的信息； 4.煽动抗拒、破坏宪法和法律、行政法规实施的信息； 5.煽动颠覆国家政权，推翻社会主义制度的信息； 6.煽动分裂国家、破坏国家统一的信息； 7.煽动民族仇恨、民族歧视，破坏民族团结的信息； 8.捏造或者歪曲事实，散布谣言，扰乱社会秩序的信息； 9.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的信息； 10.公然侮辱他人或者捏造事实诽谤他人的信息； 11.侵犯他人知识产权的信息； 12.其他违反宪法和法律、行政法规的信息。 （三）各部室应指定专人负责发布信息的收集、整理、上报工作，并确保信息资料的真实性和准确性，符合安全保密工作的要求。 （四）信息发布内容分为两类：党委、纪检、工会类信息，经营、安全类信息。 （五）向集团公司内外网上报信息流程（填写附件）： 第一类党委、纪检、工会类信息 1.公司经办部室拟稿、核稿、审核； 2.公司负责人审核后，提交集团公司党委工作部。 第二类经营、安全类信息 1.公司经办部室拟稿、核稿、审核； 2.公司负责人审核后，提交集团公司综合办公室。 （六）已通过集团公司官网信息发布审核流程的新闻信息，可发布至其他对外宣传平台，无需再次审核。 （七）在集团公司官网、OA系统之外的其他对外宣传平台上发布公司信息，如微信公众号、美篇等，须经公司经办部门分管领导审核通过（填写附件），并做好备案存档工作。 第二十六条建立网络与信息安全值守机制，做到安全事件早发现、早报告、早控制、早解决。 第四章应急处置 第二十七条网络安全和信息化领导小组负责统筹协调组织公司网络与信息安全事件应对工作，建立健全跨部室联动处置机制和应急技术支撑体系，提高应对网络与信息安全事件的能力。 第二十八条依据网络与信息安全法律法规，结合公司实际情况，制定网络与信息安全应急预案，适时评估、修订。 第二十九条网络与信息安全管理部