公司网络与信息系统安全管理办法全

公司网络与信息系统安全管理办法第一章 总则第一条 为加强和规范公司（以下简称“公司”）网络与信息系统安全工作，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力，实现网络与信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。第二条 本办法所称网络与信息系统是指公司xx通信网及其承载的管理信息系统和xx二次系统。第三条 本办法适用于公司总（分）部及所属各级单位的网络与信息系统安全管理工作。第四条 网络与信息系统安全防护目标是保障xx生产监控系统及xxxx数据网络的安全，保障管理信息系统及通信、网络的安全，落实信息系统生命周期全过程安全管理，实现信息安全可控、能控、在控。防范对xx二次系统、管理信息系统的恶意攻击及侵害，抵御内外部有组织的攻击，防止由于xx二次系统、管理信息系统的崩溃或瘫痪造成的xx系统事故。第五条 公司网络与信息系统安全工作坚持“三纳入一融合”原则，将等级保护纳入网络与信息系统安全工作中，将网络与信息系统安全纳入信息化日常工作中，将网络与信息系统安全纳入公司安全生产管理体系中，将网络与信息系统安全融入公司安全生产中。在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步”原则，与网络与信息系统建设同步规划、同步建设、同步投入运行。第六条 管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案”的总体安全策略，执行信息安全等级保护制度。其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离，并分别采用独立的服务器及桌面主机；“分区分域”指依据等级保护定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全；“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测，实现事前预警、事中监测和事后审计；“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护，加强安全基础设施建设，覆盖防护各层次、各环节、各对象；“准入备案”指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。第七条 xx二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则，并遵照原国家xx监管委员会xx二次系统安全防护规定及xx二次系统安全防护总体方案等相关文件执行。第二章 职责分工第八条 公司信息安全工作实行统一领导、分级管理，遵循“谁主管谁负责；谁运行谁负责；谁使用谁负责；管业务必须管安全”的原则，严格落实网络与信息系统安全责任。各级单位主要负责人是本单位网络与信息系统安全第一责任人。各级单位信息化领导小组负责本单位网络信息安全（含生产控制大区和管理信息大区）的总体协调领导。第九条 网络与信息系统实行专业管理、归口监督。信通部是信息安全防护的归口部门，负责管理信息系统及xx通信网的安全防护。xx中心负责xx数据网络和xx二次系统的安全防护。安质部负责公司信息安全监督、检查和评价工作。办公厅（保密办）负责公司保密管理，负责信息失泄密情况的调查和处理。各业务部门负责本专业系统及终端的安全监控和防护。各级单位负责落实本单位网络与信息系统安全工作。第十条 信通部主要职责如下：（一）落实国家有关网络与信息系统安全法规、方针、政策、标准和规范，联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度。（二）负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。（三）指导总部各部门、公司各级单位开展网络与信息系统全生命周期安全管控工作，组织落实等级保护测评整改、风险评估和隐患排查治理等工作。（四）负责信息安全技术督查体系建设，组织开展公司信息安全技术督查工作。（五）协助开展网络与信息系统事件的调查处理，组织制定、落实网络与信息系统反事故措施。（六）负责信息安全态势跟踪、事件监测与分析、信息安全通报。（七）负责网络与信息系统应急管理体系建设与应急处置。第十一条 xx中心主要职责如下：（一）负责公司生产控制大区（含各级xx、xx、xx、xx、负荷控制等）工控系统安全防护管理，统筹公司经营范围内并网xx涉网部分的监控系统和xx保护等工控系统安全防护的技术监督管理。（二）负责落实国家xx二次系统安全防护要求，组织制定公司xx二次系统安全管理制度，指导各级单位开展xx二次系统安全防护的实施方案制定和运行管理。（三）配合完成国家有关部门对公司xx二次系统开展的风险评估和隐患排查、信息安全检查，落实等级保护制度等工作。（四）负责xx二次系统安全防护技术督查体系建设以及组织开展xx二次系统的安全技术督查工作。（五）负责xx二次系统应急管理体系建设与应急处置。第十二条 安质部主要职责如下：（一）负责公司网络与信息系统安全检查和评价。（二）负责公司信息安全事件的调查、分析、处理和事件通报。第十三条 业务部门主要职责如下：（一）牵头开展本专业信息系统信息安全防护工作，依据公司总体安全策略组织制定相关系统信息安全防护方案，经公司信息安全专家审查委员会审批后执行。（二）落实业务系统信息安全等级保护工作，配合开展业务系统安全测评、风险评估和隐患排查治理等工作。（三）运检部负责xx终端具体安全防护及运行维护管理，负责相关安全防护的技改项目管理。（四）营销部负责营销业务涉及控制类系统及终端（如负荷控制系统、负控终端及用xx信息采集控制终端等）的具体安全防护及运行维护管理。（五）农xx部负责代管县供xx企业的农村xx网涉及控制类系统及终端安全防护管理。（六）在本专业人员培训过程中贯彻公司信息安全相关要求。第十四条 各级单位主要职责如下：（一）负责贯彻落实国家有关网络与信息系统安全法规、方针、政策、标准和规范，贯彻落实公司网络与信息系统安全相关标准规范和规章制度。（二）落实本单位范围内网络与信息系统安全工作责任体系。（三）落实本单位网络与信息系统全生命周期安全管控、等级保护测评整改、安全准入、风险评估、隐患排查治理和信息安全技术督查等工作。（四）按照公司网络与信息系统应急管理要求建立本单位应急体系，组织本单位突发事件的应急处理。（五）负责明确本单位网络与信息系统安全运行维护部门或机构，落实网络与信息系统安全运行维护日常工作。明确落实本单位信息安全技术督查体系。（六）组织本单位信息安全宣传和培训工作。第十五条 各业务支撑和实施机构信息安全职责如下：（一）各级调控机构：分别负责本级xx控制系统和xx数据网络的安全防护和运行维护管理，负责直调xx涉网部分的监控系统和xx保护等工控系统安全防护技术监督。（二）运行分公司、各省检修（分）公司、各地（市）检修工公司和县运检部检修（建设）工区：分别负责运维范围内xx、开关站、换流站的系统、设备和终端的安全运维和应急处置工作。（三）新源控股公司：负责运维范围内xx的系统、设备和终端的安全运维和应急处置工作。（四）中国xx科院：负责公司信息通信安全研究，提供信息安全专业技术支撑；负责公司信息通信系统和设备的安全测试工作；负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价；负责执行信息通信安全技术督查及专项检查。（五）省xx科院：负责信息通信安全研究，为各省（自治区、直辖市）xx公司提供信息安全专业技术支撑；负责省公司信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价；负责本单位信息安全技术督查。（六）信通公司：负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的安全运维和应急处置工作。（七）省信通（分）公司：负责调管范围内信息通信系统xx监控和应急处置；负责资产管理范围内信息通信系统、设备和终端的安全运维和应急处置工作。（八）地（市）信通分公司：受职能管理部门委托开展本单位信息安全保障工作。第三章 管理要求第十六条 按照公司制度标准体系建设工作要求和统一部署，由总部统一制定、发布与组织实施信息通信安全管理制度，实现全职责、全业务、全流程覆盖，确保纵向层级支撑，横向衔接联动。第十七条 按照公司“三集五大”体系设计确定的岗位，公司统一确定信息系统建设、运行、使用等相关岗位的信息安全职责，各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、xxxx管理部门应设置专门的信息安全管理岗位，配备安全管理人员，明确安全工作职责。第十八条 加强员工信息安全管理，严格人员录用过程，与关键岗位员工签订保密协议，明确信息安全保密的内容和职责；切实加强员工信息安全培训工作，提高全员安全意识；及时终止离岗员工的所有访问权限。对承担公司核心信息系统规划、研发、运维管理等关键岗位人员开展安全培训和考核，对系统运维关键岗位建立持证上岗制度，明确持证上岗要求。对关键岗位人员进行安全技能考核。将信息安全技能考核内容纳入公司安规考试。加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的出入登记和接待管理，严格控制外来人员活动区域。外来人员进入机房等重要区域，应办理审批登记手续并由相关管理人员全程陪同，相关操作必须有审计及监控。第十九条 网络与信息系统安全管理工作机制如下：（一）遵循“统一指挥、密切配合、职责明确、流程规范、响应及时”的协同原则，做好公司信息安全内、外部协同机制的落实工作。（二）健全信息安全技术督查工作，加强对信息安全技术督查的一体化管控，强化督查责任落实，深化年度、专项、日常督查工作。进一步提升督查队伍装备水平，优化督查工作流程，强化督查队伍评价考核。（三）落实常态信息安全风险评估工作，与公司春秋季检和迎峰度夏工作相结合，切实将风险评估工作常态化，及时落实整改，消除安全隐患。（四）切实加强网络与信息系统应急管理体系建设。按照综合协调、统一领导、分级负责的原则，在公司总部、各分部、省（自治区、直辖市）xx公司、直属单位建立应急组织和指挥体系；坚持“安全第一、预防为主”的方针，加强应急响应队伍建设，优化完善应急预案，落实常态应急演练工作，做好应急保障工作；加强安全风险监测与预警，建立“上下联动、区域协作”的快速响应工作，强化应急处置。（五）严格执行信息安全事故通报制度（通报规范见附件1），做好节假日和特殊时期的安全运行情况报送工作。（六）落实健全网络与信息系统安全准入工作，加强对接入公司网络的各类系统、终端、设备的准入及备案管理，强化备案信息与上下线相关运行安全工作的准入联动工作。（七）严格按照公司安全事故调查规程，开展事故原因分析，做好事故调查工作，坚持“四不放过”原则，有效落实整改。（八）贯彻落实信息安全等级保护制度，持续强化信息安全等级保护工作管理，做好系统等级保护定级、备案、建设、测评与整改工作。（九）深入开展信息安全动态治理工作，推动各级单位信息安全工作的落实与持续改进，提升信息安全流程化、标准化和规范化水平。强化隐患排查治理工作，强化从隐患发现到隐患治理的闭环管理工作，消除信息安全薄弱环节。（十）开展信息技术供应链安全管理工作，开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作，逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理，严格外部单位资质审核。严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备采购应开展产品预先选型和安全检测。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则，信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。（十一）建立信息安全综合评价体系，加强信息安全监督及考核评价