企业网络信息安全管理制度.docx

XXXXXXXXXXXXXXXXX 网络信息安全治理制度文档名称： XXXXXXXXXXXXXXXXX 网络信息安全治理制度文档信息文档密级内部公开文档编号：02文档类型：制度当前版本：起草日期：2022 年 9 月 20 日生效周期：公布日期公布之日起生效日期：公布之日起掌握信息编辑者日期 版本说明编辑修改Xxx xxx2022-07-0网络安全1审核者审核日期说明文档评审文档公布公布者公布日期公布范围XXXXXXXXXXXXXXXXX 网络信息安全治理制度第一章总则第一条 为进一步推动信息化建设，加强网络安全治理能 力，统一 XXXXXXXXXXXXXXXXX 〔以下简称“本企业”〕网络安全治理标准和流程，提升企业网络安全保障意识和力量， 依据《中华人民共和国网络安全法》、《网络安全等级保护根本要求》等有关政策法规，依据集团公司《网络安全和信息化治理方法》的总体要求，结合企业实际安全状况，制定本制度其次条 本制度是对集团公司《网络安全和信息化治理方法》的细化和落地，信息安全总体方针、策略遵从《网络安全 和信息化治理方法》的规定执行第三条 本制度适用于指导开展网络安全治理工作，标准网络安全治理方面的各项治理活动、治理过程。

本企业信息系 统均应遵循本规定开展安全治理工作其次章 组织机构及其职责第四条 在集团公司网信领导小组和集团公司网信办指导下，依据《网络安全和信息化治理方法》“谁主管谁负责、谁 运营谁负责、谁使用谁负责”的原则开展网络安全工作，企业负责人对企业网络安全工作负主体责任第五条 技术部门担当网络安全职能，部门负责人对网络安全工作负主要责任，网络安全职能如下：(一) 贯彻落实集团公司网信领导小组有关网络安全和信息化的重大战略决策和工作要求；(二) 负责网络安全工作的开展，包括网络安全培训打算与开展、员工网络安全意识宣贯、网络安全制度落 地执行、系统安全建设治理、系统安全运维治理等各 项工作；(三) 依据企业自身网络安全特点，制定网络安全治理流程；(四) 负责定期组织召开内部、外部网络安全工作会议； (五) 负责信息系统等级保护定级、备案、安全建设整改工作；(六) 开展等级保护测评工作，应对监管部门安全检查； (七) 负责网络安全大事的应急处置，重要安全大事的上报，负责协作集团公司网信办进展安全大事处置、 取证、回溯和事后的加固分析工作；(八) 准时向集团公司网信办报告网络安全工作包括： 网络安全工作打算、网络安全重点工作进度、网络安2全重大事项、网络安全重要政策和制度措施和网络安 全工作年度总结；(九) 其他网络安全工作。

第六条 网络安全职能部门应设置安全治理员岗位，信息系统治理部门应设置系统治理员及应用治理员岗位安全治理 员岗位人员名单应上报集团公司网信办备案第七条 人员岗位职责如下： (一) 安全治理员：负责网络信息安全治理制度的落地、执行；负责对系统进展恶意代码检查、安全漏洞检测和安 全配置核查；负责对信息系统进展安全检查，排查相关网络安全 隐患；负责信息系统安全大事处理和恢复；负责帮助集团 公司网信办对网络安全大事进展应急处置和取证分析；其他网络安全工作二) 系统治理员：负责操作系统、数据库的日常治理与维护； 负责操作系统、数据库帐号和权限治理；3负责操作系统、数据库的补丁升级、安全配置加固 和备份；负责操作系统、数据库故障的处理 (三) 应用治理员：负责应用系统日常治理与维护；协作安全治理员，在应用系统设计、测试、部署、 运行过程中，对应用系统进展安全把控、测试、配置、加固；负责应用系统帐号和权限治理； 负责应用系统故障的处理第三章 人员安全治理第八条 企业人员录用需签署保密协议对于网络安全相关岗位人员的录用，应严格考察该人员的业务技术水平和相关 资质认证第九条 企业内部人员在变换岗位时，信息系统治理部门负责更换关联访问权限，如有必要，修改保密协议。

第十条 人员离职时，应准时移交相关工作，上交计算机等软、硬件资产，办理完成离职人员移交手续前方能批准离职 第十一条 人事部门和员工所在部门要做好人员离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获5得机密信息员工离职后如发生泄密状况，应担当由此涉及的 法律责任第十二条 系统治理员、应用治理员或安全治理员离职时， 网络安全职能部门应组织统一修改全部系统、应用等相关密码， 重点核查 VPN、对外供给效劳系统中离职人员账号是否去除 安全治理员离职或更换时，网络安全职能部门应上报集团公司网信办备案第十三条 定期对各部门人员进展网络安全意识培训，对网络安全重要岗位进展网络安全技能培训并定期考核第十四条 信息系统治理部门因工作需要引入第三方人员，并从事信息化或网络安全工作的，需报备安全治理员第十五条 第三方人员应严格遵循集团公司及企业相关的安全治理规定开展效劳工作，对应的信息系统治理部门负责对 第三方人员工作进展安全监视，第三方人员假设消灭违规安全 大事，则由对应信息系统治理部门担当安全风险责任第十六条 原则上不允许第三方人员访问集团公司内部网络如因工作需要访问内部网络，应通过网络安全职能部门的 授权许可并登记。

第三方人员离场或效劳完毕后，应准时去除 第三方人员的访问账户和权限第四章 安全建设治理第十七条 信息系统安全建设在系统定级、备案、安全规划设计、安全实施、测试验收、交付上线等环节，应严格遵循 集团公司《网络安全和信息化治理方法》：(一) 信息系统治理部门在系统建设前，应对系统效劳的对象、系统业务信息和系统效劳的连续性要求进展 充分评估，并报网络安全职能部门确定信息系统安全 保护等级，安全治理员负责系统定级备案工作；(二) 应依据系统的安全保护等级选择根本安全措施， 依据风险分析的结果补充和调整安全措施，并在系统 设计方案中参加对系统的安全保护要求、策略和措施 等内容，安全治理员应将安全设计方案报集团公司网 信办，集团公司网信办组织专家评审通过后，方可建 设实施；(三) 设备选购方面，应依据国家相关设备选购要求开展设备选购工作，参照建设方案对主流网络安全设备 进展比对和筛选严禁选购和使用未经国家网络安全 测评机构和公安部认可的网络安全设备；(四) 设备上线前，安全治理员应对设备开展安全检查和加固工作，包括安全性检查、安全配置加固，安全6补丁更、安全策略库升级等工作内容，避开设备使 用中引入安全漏洞隐患，其他运维人员协作安全治理 员工作；(五) 信息系统在实施前应制定实施打算，实施打算应包括负责部门、工程负责人、施工单位状况和工程实 施方案等内容；(六) 定制、合作和独立开发系统时，其参与人员应经过资格审查，并签订保密协议书，担当相应的安全保 密责任和义务。

外包软件安装之前，应进展恶意代码 检测假设开发方能够供给源代码，还需进展代码审 查；(七) 应依据工程实施方案的要求对工程实施过程进展进度和质量掌握，并依据实施方案形成的阶段性工程 报告等文档第十八条 信息系统验收前，信息系统治理部门应提前告知安全治理员，并准时开展网络安全相关测试工作，依据觉察的安全问题要求效劳商整改并复测网络安全测试不通过的， 原则上不予验收第十九条 信息系统验收时，需要工程建设部门、信息系统治理部门、网络安全职能部门组成验收组，对工程进展验收工程验收内容应至少包括系统备案证明、安全测试报告、系统 培训记录及文档、资产交付清单、系统设计文档、安全设计文 档、系统建设文档、系统运维手册、用户使用手册其次十条 全部通过验收并正式上线的信息系统，主管部门应将相关安全文档资料应进展完整归档，由安全治理员统一 归档并报集团公司网信办备案第五章 安全运维治理其次十一条 办公环境安全治理要求如下：(一) 办公区域内部使用的电脑必需安装病毒防护软件各使用人员在计算机上使用移动介质以及在互联网上接收文件或邮件之前，先进展病毒检查未经业务部许可，不得安装任何其他软件二) 员工办公桌面上制止存放包含敏感信息的纸质文档，在办公环境中处理敏感信息时应防止信息泄密， 处理完成后留意清理和检查工作。

三) 员工离开座位前应确保终端计算机处于安全状态， 防止非授权人员操作制止私人移动存储设备接入工作计算机，制止任何形式复制、拷贝工作数据用于其他用途8其次十二条 信息系统是指支持企业业务运行的计算机软件系统，信息系统在本制度中指完成某一业务运行的应用软 件、中间件、数据库和操作系统集合信息系统治理部门担当 信息系统的安全治理责任其次十三条 信息系统安全治理要求如下：(一) 编制并保存信息系统的《信息资产清单》，清单中应包括资产分类、资产责任部门、资产等级和所处位置等内容，如信息资产变动应准时更表单资产清单报备集团公司网信办二) 对信息资产进展统一治理，对于信息数据资产的访问，依据数据资产等级以及数据资产供给效劳的不 同，设置不同的访问权限，避开非授权访问，企业内 部应全部使用正版软件；(三) 在使用或治理硬件资产时，要留意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息 的泄密，防止信息处理设施的滥用；硬件资产如需报 废时，应向主管部门提出报废申请，经批准后报废；(四) 定期对本单位信息资产进展盘点；(五) 应依据安全加固基线对信息系统进展安全加固;(六) 应记录和保存信息系统根本配置信息，包括各个设备安装的软件组件、软件组件的版本和补丁信息、 各个设备或软件组件的配置参数等;(七) 定期对信息系统的配置、日志信息进展备份保存， 日志应转发到审计系统保存，保存至少 6 个月的相关安全日志；(八) 应依据账号治理原则对用户安排账号和权限，密码设置应遵循密码策略，账号密码的发放必需严格保 密，应修改原始密码；(九) 信息系统一般用户账号原则上每年更换一次，治理类账号每半年更换一次；(十) 员工岗位调整、离岗、离职时，所属部门领导应准时通知系统治理员和应用治理员删除离职人员的账 号及权限，具体要求参照人员安全治理规定；(十一) 应定期检查用户的账号及其权限，准时依据用户的安全责任和工作要求对用户身份和相应的权限进展 变更；(十二) 定期对信息系统进展安全巡检，安全巡检记录进展存档，对觉察的安全隐患上报安全治理员，并负责 协调、组织、跟进、监视安全隐患处置工作。

10其次十四条 恶意代码防范治理要求如下：(一) 全部终端及效劳器操作系统必需安装正版防病毒软件并实时运行，准时更防病毒软件和病毒特征库;(二) 制止外部计算机和存储设备接入本单位网络，接入内部网络之前应进展病毒检查;(三) 定期对网络和主机进展恶意代码检测，对主机防病毒产品截获的危急病毒或恶意代码进展准时分析处 理，必要时上报集团公司网信办其次十五条 备份恢复安全治理要求如下：(一) 信息系统的备份应包括配置备份、日志备份和数据库备份，备份周期为每周至少一次全备份二) 系统治理员和应用治理员应定期检查备份数据， 确认备份有效性，定期进展恢复性测试并进展记录归 档其次十六条 变更治理。