某某有限公司网络与信息安全管理办法.docx

1、某某有限公司网络与信息安全管理办法第一章总则第一条为加强某某某某有限公司网络与信息安全监督 管理，提高网络与信息安全防护能力和水平，促进公司各项 事业健康有序发展，根据中华人民共和国网络安全法某 某某省计算机信息系统安全保护条例等相关法律法规及某 某某省某某某产业集团有限责任公司网络与信息安全管理办 法（试行），结合公司实际，制定本办法。第二条 本办法适用于公司网络与信息系统的建设、维 护、使用等管理工作。本条网络与信息系统是指（包括但不 限于）网络基础设施、数据中心、信息系统、网络数据、信 息内容、计算机终端和其他支撑网络与信息系统正常运行的 软件、硬件设备。第三条 网络与信息安全工作坚持统

2、一领导、逐级负 责，统筹规划、突出重点的原则，遵循安全第一、预防 为主，管理和技术并重，综合防范，全员参与的方针。第二章职责分工第四条 公司设立网络安全和信息化领导小组，组成人 员：组长：党委书记常务副组长：党委副书记副组长：公司领导班子其他成员成员：总经理助理党委办公室主任综合办公室主任财务管理部负责人领导小组下设办公室，办公室设在综合办公室办公室主任：综合办公室主任网络安全管理员：综合办公室职员第五条公司网络安全和信息化领导小组负责统筹协调 网络与信息安全工作和相关监督管理工作，具体职责如下：（一）负责贯彻落实某某某某某某某某有限责任公司（以 下简称集团公司）网络与信息安全工作的部署和要求

3、，依 据“谁使用、谁主管、谁负责的原则，加强网络安全和信 息某某某作的领导，落实工作责任；（二）研究制定公司网络安全与信息化管理制度，落实 相关措施，确保网络与信息系统安全运行；（三）负责开展公司网络安全的工作检查；（四）负责统筹、协调公司网络安全事件应急工作，并 配合有关监管部门做好网络安全相关应急处置工作；（五）负责推进公司软件正版某某某作，研究制定正版 软件管理办法；（六）负责组织开展经常性网络安全宣传教育，提高公 司人员的网络安全意识和网络安全技术水平。第六条 有关部室在各自职责范围内负责网络与信息安全保护和监督管理工作，具体职责如下：（一）综合办公室：牵头全面负责公司网络安全和信息

4、某某某作，负责督促检查公司网络安全和信息某某某作，负 责网络安全信息的监测预警和通报工作的组织、指导和协调, 负责公司软件正版化日常工作。负责内部公文的保密管理工 作，负责协调公司落实网络安全和信息化有关举措，负责网 络安全应急值班工作。（二）党委工作部：负责党委信息安全工作，负责收集 和处置信访相关舆情。负责公司网络意识形态安全及应急处 置工作，负责收集和处置公司重大舆情。（三）财务管理部：负责网络安全和信息化经费保障工 作。第七条 使用部室负责自建网络与信息系统的安全保护 和监督管理工作；履行网络与信息安全的保护义务；使用部 室和个人对系统操作与信息内容的安全承担直接责任；网络 与信息系统

5、通过外包服务方式进行维护的，使用部室负责督 查外包服务单位做好安全运维工作，安全监管责任主体仍为 使用部室。第三章安全防护第八条 对建设的网络与信息系统依法开展定级、备案、 安全建设整改、等级测评和自查等工作，采取管理和技术措 施，抵御黑客、病毒、恶意代码等发起的各类攻击和破坏，保障网络基础设施安全、网络运行安全、信息系统安全、数 据安全和信息安全，有效应对网络与信息安全事件，防范网 络违法犯罪活动。第九条 按照国家有关网络与信息安全的法律法规、标 准体系的管理规范、技术标准确定网络与信息系统的网络安 全保护等级，并对其实施相应等级的安全管理。第十条 新建、改建、扩建的网络与信息系统，应当在

6、规划、设计阶段同步建设信息安全保障措施。第十一条 严格要求并监督网站、平台或系统开发方或 者运维方采取数据分类、重要数据备份和加密等措施，防止 数据丢失或失密。备份数据应按相关制度严格管理，妥善保 存；备份数据资料保管地点应有防火、防热、防潮、防尘、 防磁、防盗设施。第十二条 严格要求并监督网站、平台或系统开发方或 者运维方采取监测、记录网络运行状态、网络安全事件的技 术措施，防止网络日志被非法窃取、修改和删除，所有日志 均应按照法律法规等要求留存。第十三条 加强外部协作单位和人员的管理。因系统开 发、运行维护等工作需要，让外部协作单位和人员访问网络 与信息系统时，必须驻场接受统一管理，从配备

7、堡垒机的统 一端口访问，留存日志不少于6个月，并签订网络安全服务 协议，明确外部人员的安全责任与义务，规定所获取内部数据等资源的使用范围，存留外部人员详细访问记录，并确定 与之相关的内部网络安全责任人员。第十四条 网络与信息安全管理部门负责本公司网络的 规划、搭建、统一管理、日常维护、安全保障等工作。第十五条局域网边界必须安装防火墙、上网行为管理 等安全设备，设置防病毒、防漏洞、数据过滤、禁止游戏等 安全管理策略，对接入外网的每个终端设备实行IP地址与 MAC地址绑定，使用统一管理的防病毒软件。第十六条使用局域网必须遵守相关法律法规，严禁在 局域网内运行或传播病毒、流氓软件及进行其他影响局域网

8、 正常运行的行为。第十七条 严格规范网络安全人员的录用过程，对被录 用人的身份、背景、专业资格和资质等进行详细审查，对其 所具有的技术技能进行严格专业的考核，并签署保密协议， 明确网络安全管理责任。第十八条 新录用的网络安全人员，应当经过网络安全 培训，掌握网络安全基本要求和基本技能。第十九条 网络安全人员调岗离职时，应当签署网络安 全离岗保密协议，并及时调整和终止网络与信息系统的访问 权限。未办理上述事项前，不得办理调岗离职手续。第二十条 所有人员必须坚持涉密不上网、上网不涉 密原则，严格做好保密工作，妥善保管、使用敏感信息。第二十一条计算机终端按下列要求使用，确保信息安全：（一）应安装、使

9、用正版的操作系统、应用软件、防病 毒软件，及时升级各软件系统；（二）安装正规来源的工作软件，不得安装与工作无关 的软件，不得存储和处理与工作无关的个人信息、资料、数 据，不得制作、复制和传播非法、低俗、有害信息；（三）未经授权不得将数据或应用复制给其他单位或个 人；（四）未经同意不得使用他人计算机终端；（五）设置具有一定强度的开机密码和屏幕保护密码， 关闭不必要的应用、服务、端口；（六）向信息系统提交文件前要做好查毒、杀毒工作， 确保文件无毒上传；（七）对重要文档资料做好备份；（A）不得有法律法规禁止的行为。第二十二条移动存储介质按下列要求使用，确保信息 安全。（一）接入计算机终端之前必须杀毒

10、；（二）适用于临时数据的导入导出，不能作为数据的日 常保存介质；（三）包含敏感信息的移动存储介质报废时，应被安全地处置，防止信息泄密，并做好处置记录。第二十三条电脑设备的使用。（一）不滥用网络资源浏览无关网页、娱乐网站、购物 网站、炒股及BBS、BLOG等。上班时间，禁止使用QQ、微信、 阿里旺旺等聊天工具做与工作无关的闲聊，禁止访问一切流 媒体网站如：土豆网、优酷网等；（二）严禁利用互联网从事国家法律法规禁止的一切活 动；严禁通过互联网查看和下载国家法律法规明令禁止传播 的一切信息；（三）不得利用互联网泄漏公司战略计划、经营数据、 财务数据、业务资料、技术资料以及被公司列为保密范围之 内的信

11、息和资料，严禁利用网络资源从事违反公司制度的活 动；（四）网络管理人员对公司所有计算机设备进行统一登 记，建立计算机软、硬件明细台账，并定期对硬件进行维护、 检查各部室使用情况；（五）计算机的使用人即为该设备的责任人，使用部室 为责任部室。未经负责人批准，任何人不得使用他人计算机, 各部室使用的计算机，由部室负责人进行管理监督。第二十四条电子邮箱。（一）严禁使用邮箱收发各类违反国家法律法规和公司 规章制度的内容；（二）严禁使用邮箱传播不利于公司生产经营的正常开 展，不利于内部团建的言论和文件；（三）严禁使用邮箱传播带有病毒、恶意软件的邮件内 容；（四）严禁使用各种技术手段攻击、破解他人邮箱等入

12、 侵行为；（五）邮箱用户需要对自己邮箱的账号、密码安全负全 部责任，对自己邮箱账号发送、接收的所有内容及产生的后 果承担全部责任。第二十五条信息发布与审核。（一）本条款适用于集团公司官网（以下统称官网）、内 网（以下统称OA系统）及其他对外宣传平台。（二）为规范网站信息采集、审核和发布机制，实行审 批制度，坚持先审后上、分级负责、保证质量的原则， 未经审核的信息严禁上网发布。下列信息不得发布：L涉密文件；2涉及商业秘密、个人隐私的相关信息；3有损公司形象，对公司产生不利影响的信息；4煽动抗拒、破坏宪法和法律、行政法规实施的信息；5.煽动颠覆国家政权，推翻社会主义制度的信息；6煽动分裂国家、破坏

13、国家统一的信息；7煽动民族仇恨、民族歧视，破坏民族团结的信息；8 .捏造或者歪曲事实，散布谣言，扰乱社会秩序的信息;9 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐 怖、教唆犯罪的信息；10 .公然侮辱他人或者捏造事实诽谤他人的信息；n侵犯他人知识产权的信息；12其他违反宪法和法律、行政法规的信息。（三）各部室应指定专人负责发布信息的收集、整理、 上报工作，并确保信息资料的真实性和准确性，符合安全保 密工作的要求。（四）信息发布内容分为两类：党委、纪检、工会类信 息，经营、安全类信息。（五）向集团公司内外网上报信息流程（填写附件）：第一类党委、纪检、工会类信息L公司经办部室拟稿、核稿、审核；

14、2.公司负责人审核后，提交集团公司党委工作部。第二类经营、安全类信息L公司经办部室拟稿、核稿、审核；2.公司负责人审核后，提交集团公司综合办公室。（六）已通过集团公司官网信息发布审核流程的新闻信 息，可发布至其他对外宣传平台，无需再次审核。（七）在集团公司官网、OA系统之外的其他对外宣传平 台上发布公司信息，如微信公众号、美篇等，须经公司经办部门分管领导审核通过（填写附件），并做好备案存档工作。第二十六条建立网络与信息安全值守机制，做到安全 事件早发现、早报告、早控制、早解决。第四章应急处置第二十七条 网络安全和信息化领导小组负责统筹协调 组织公司网络与信息安全事件应对工作，建立健全跨部室联

15、动处置机制和应急技术支撑体系，提高应对网络与信息安全 事件的能力。第二十八条依据网络与信息安全法律法规，结合公司 实际情况，制定网络与信息安全应急预案，适时评估、修订。第二十九条 网络与信息安全管理部门应当每年定期组 织应急演练，确保相关人员熟悉应急预案，保证发生各类网 络与信息安全事件时，能够规范、及时处置。第三十条发生网络与信息安全事件时，立即启动应急 响应，妥善处置，并向有关管理部门报告，及时采取补救措 施，尽量降低风险，减少损失。第五章监督检查第三十一条 网络与信息安全管理部门应当对网络与信 息安全工作进行日常监督，每年至少组织一次网络与信息安 全检查，掌握安全总体状况，查找安全隐患，

16、堵塞安全漏洞。 检查内容包括：（一）查杀病毒，清除木马、后门等恶意程序，升级系统，并及时安装补丁；（二）检查信息系统和重要数据的备份情况；（三）检查网页内容，及时清除无关网页和暗链；（四）定期更改密码，杜绝空密码、弱密码和默认密码, 清理不必要的管理账号；（五）检查SQL注入和跨站脚本等安全漏洞；（六）检查服务器安全策略，关闭不必要的端口和服务;（七）检查系统日志留存情况，留存相关日志不少于六 个月。对检查中发现的安全漏洞和安全隐患，检查人员应当场 填发网络与信息安全限期整改通知书。对于一时难以整改 落实的，应当立即采取措施进行隔离或者停用，直至整改完 成。第三十二条检查应当采取必要的技术检测手段，加强 技术检测公司和人员的保密管理和风险控制，严格检查有关 文档和数据的安全保密管理。第六章责任追究第三十三条 对于私自占用网络资源，破坏网络与信息 系统，违反网络用户行为规范的行为，公司网络安全和信息 化领导小组将根据事件的涉及范围、严重程度依据有关规定 进行查处。第三十四条 各部室和个人应当履行网络与信息安全职责。如因未尽职责或管理不善而造成严重后果的，应当依法 依规追究其相应责任。第七章附则第三十五条本办法未提及内容按照某某某省某某某 某某某集团有限责任公司网络与信息安全管理办法（试行） 执行。第三十六条 本办法由公司网络安全和信息化领导小组 负责解释。自发布之日起施行。