1、公司网络安全提升工作方案 为切实贯彻落实国家网络安全法,进一步提升集团网络安全防护水平,特制订本方案。本方案根据国家网络安全法、国家信息安全等级保护制度、电力监控系统安全防护规定(发改委14号令)等,结合公司信息安全管控体系深化设计成果,分析集团网络安全工作差距,并提出提升建议。一、公司承担的法律义务根据国家网络安全法相关规定,公司既是网络使用者,受到法律保护,同时也是网络运营者和关键信息基础设施的运行管理者。应承担的具体义务如下:1.遵循网络安全等级保护制度应全面落实国家网络安全等级保护制度,特别要做好四方面工作,一是建立健全内部安全管理制度,落实责任制;二是采取技术措施防病毒、防攻击、防入侵;三是完善监测、运行与安全事件记录措施,记录日志不少于6个月;四是实施数据安全保护。2.做好网络安全事件应急与风险处置工作应做好网络安全事件应急工作,制定应急预案、开展应急演练,及时启动应急响应,并执行报告制度;及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。3.做好网络服务系统的安全保护与个人信息保护针对面向社会、公众提供服务的信息系统(如电力营销类、招标采购类、热力服务类),应做
2、好安全防护与持续的安全维护,保障系统安全并确保收集的个人信息安全。4.开展关键信息基础设施安全保障按照关键信息基础设施梳理的要求,公司各级单位初步梳理出关键信息基础设施13套,一是应按照“三同步”原则,保证关键信息基础设施与安全技术措施同步规划、同步建设、同步使用;二是设置专门的安全管理机构和管理负责人,实行关键岗位人员安全背景审查;三是定期对从业人员进行网络安全教育、技术培训和技能考核;四是对重要系统和数据库进行容灾备份;五是制定网络安全事件应急预案,并定期进行演练;六是电力企业还应遵循发改委14号令和能源局36号文,对电力监控系统实施安全保护;七是相关网络产品和服务应通过国家安全审查;八是应与网络产品和服务供应商签署保密协议;九是中国境内收集的重要数据,应在境内存储,确需向境外传输的,应经国家有关部门评估;十是应至少每年进行一次安全风险检测与评估。5.加强对网络用户发布信息的安全管理能够发现、阻止并消除网络用户利用单位网络发布或者传输法律、行政法规禁止的信息。6.建立健全监测预警与安全信息通报机制二、公司网络安全工作现状和主要问题根据目前掌握情况,对标网络安全法等相关规定,集团网络
3、安全工作现状和主要问题如下:1.落实信息安全等级保护制度方面公司多年来重视等级保护制度的贯彻落实,将信息安全等级保护工作纳入公司信息安全管理规定,要求各级单位常态化执行。按照等级保护工作要求,每年组织集团各级单位开展等级保护定级备案,以及等级保护第三级信息系统的测评、整改工作。但部分单位对定级、备案、测评、整改的工作程序执行不严格,存在定级备案不及时、测评整改不落实的情况。由于部分地方公安机关工作标准不同,客观上也造成部分单位备案、测评工作遇到困难。2.网络安全管理组织与制度建设方面各级单位已成立负责网络安全的领导机构,明确单位主要负责人是网络安全第一责任人,网络安全管理普遍归口信息化管理部门。但普遍没有设置网络安全管理专业岗位、配置专职人员;没有建立网络安全人员专业培训、技能考核、持证上岗与资格审查机制,各级单位网络安全人员专业水平不高。部分单位在公司管理制度基础上、结合自身实际编制了实施办法,但部分单位网络安全制度规范不完善、缺乏可操作性或束之高阁。3.网络安全保障机制与标准建设方面集团总部信息化项目已初步建立信息系统与安全措施同步设计、同步建设、同步运行的安全“三同步”机制,所有
4、系统上线前要求开展安全性检测;建立了数据中心信息系统漏洞检测与系统消缺机制,定期开展系统漏洞扫描,修补安全漏洞;开展应急管理工作,发布信息安全应急管理办法、网络与信息安全信息通报管理办法,成功应对5月全球范围爆发的勒索病毒;建立了网络安全检查、评价机制,每年结合国家重要活动时期的安全保障任务,组织开展主要二三级单位网络安全工作检查,保障闭环管理。但尚未在全集团范围建立起信息安全“三同步”和网络安全风险评估机制,特别是电力监控系统等生产领域关键信息基础设施网络安全防护工作推进缓慢,相关工作和技术标准有待完善,内部信息安全专业服务力量有待加强。此外,针对网络安全法提出的服务系统与个人信息保护、网络产品和服务采购前期安全审查、向境外传输重要数据安全管理等方面,存在解决方案缺失、标准缺失、管理缺位的情况。4.网络安全技术防护方面公司已建成统一身份认证与管理平台、统一终端安全管理系统,广域网边界防火墙,并基本建成双网隔离、统一防病毒系统、统一监测预警平台(一期工程),在移动介质管理、终端管理、网络边界控制等网络安全管控方面已取得一定成效,具备终端、网络统一管控与用户违规行为集中监测能力。主要存在
5、信息系统缺陷管理、系统补丁管理、网络/终端入侵防御和集中监测、未知威胁检测与防护、敏感数据防泄漏、重要数据和重要系统备份容灾、网络安全态势集中监测与分析、系统安全审计等方面技术保护手段不足、能力不足以及安全防护系统运行管理缺失等现象。三、 总体思路 围绕全面贯彻网络安全法、履行法定网络安全保护义务这条主线,依据国家网络安全等级保护制度、能源局14号令和36号文、集团信息安全管控体系深化设计成果,借助集团网络信息安全实验室和工控信息安全技术中心的专业平台力量,突出技术创新应用和专业服务输出,着力打造集团网络安全服务式保障环境,全面开展集团网络安全保障能力提升工作。四、 提升措施(一)加强组织和队伍建设,建立健全专业人员培养与上岗准入机制1.设置网络安全管理岗位二级单位配备网络安全专职人员;三级单位设置网络安全管理岗位。2.建立培训体系公司与国家信息安全人才认证机构建立合作,开展“注册信息安全专业人员(CISP)”培养与认证工作,提升内部人员网络安全专业水平。3.建立持证上岗与专业人员水平评价机制适时启动网络安全岗位持证上岗制度,定期开展岗位人员水平考察,举办网络安全专业知识竞赛,持续保持
6、内部队伍专业水平。(二)健全信息安全“三同步”工作机制,逐步实现“本体安全”1.标准体系建设建立健全系统安全功能、安全开发、安全检测、安全验收、安全配置、安全评估等技术标准,将信息系统“三同步”要求作为强制制度执行,保障集团信息内网系统安全上线。2.检测服务能力建设利用集团网络信息安全实验室平台,培育集团内部系统安全专业检测力量,加强检测队伍和能力建设,建立检测环境、完善检测工具,为各级单位提供权威的系统安全检测服务。3.风险评估和安全核查机制建设建立全集团网络安全风险评估机制,要求二级单位每年开展网络安全风险评估工作,每年开展风险处置情况评价;配套“三同步”工作,建立系统安全配置核查措施,利用技术手段每年对各级单位信息系统安全保护配置情况进行核查,滚动推进各级单位提升网络安全防护水平。(三)进一步完善网络安全保障措施1.完善集中监测能力进一步完善集团统一监测预警平台监测范围与数据分析能力,启动监测平台二期建设,拓展监测范围、优化监测平台功能。将设备资产和软件资产纳入集中管理;将各级单位对外网站等互联网系统纳入监测范围;将监测平台的功能由目前的内网合规监测向全局网络安全态势感知方向拓展
7、,形成平台对安全事件的关联分析和系统操作行为安全日志分析(安全审计)能力;优化平台计算能力,并对平台可视化功能进行优化改造,改善监测平台展示效果。2.加强关键系统防护重点加强公司电子邮件系统、网盘系统、物资采购系统等互联网系统安全防护;根据网络安全法加强对各级单位供热、电力营销等公众服务系统安全保护指导,开展工作调研,统一制定技术标准,确保系统收集的个人信息安全。开展境外企业网络安全保障方案研究,加强信息安全保护。3.加强重要数据保护启动系统数据分类分级保护工作,全面梳理集团信息系统数据,划分重要等级。对重要数据采取加密、防泄漏等技术措施,在数据存储、传输、使用过程中进行保护。特别是要针对跨内外网传输的数据、通过电子邮件等方式对外传输的数据、存储在终端计算机内的数据进行保护。完善集团信息系统容灾与数据备份体系建设,年内建成集团级数据异地备份中心,为二级单位提供数据异地备份服务;进一步完善集团数据中心本地数据备份措施,实现统一备份;研究集团数据中心同城或异地灾备方案。(四)持续推进工业控制系统安全防护工作,进一步加强组织协调力度持续推进试点单位电力监控系统安全建设,为落实国家能源局36号
8、文做出有益探索。各二级单位需成立电力监控系统安全防护专项工作组,由生产管理部门、信息化管理部门、安全监督部门共同推进相关工作,并定期向公司报告工作进展。(五)优化网络安全工作管理建设网络安全工作管理平台,提高管理效率。完善集团各级单位等级保护工作数据、安全检查数据管理措施,增加集团网络安全信息发布渠道,实现网络安全工作知识积累,同时可作为系统补丁、集团化软件统一发布平台,为各级单位提供平台化服务。五、重点任务和计划1.内部专业人才队伍建设(1)年内修订信息化管理规定,要求重要二级单位信息化管理部门设置安全管理岗位并配备专人,发布专项工作要求;二级单位网络安全专职人员到岗。(2)鼓励网络安全专职人员考取资格证书;上半年结合国家有关要求,与国家网络安全专业人员认证机构建立联系,下半年组织集团内部网络安全岗位人员专业培训与认证工作。2.工作与技术标准体系建设四季度完成“三同步”相关标准编制,安全评估管理规范、信息系统全生命周期安全管理规范、监督管理规范、奖惩管理规范和等级保护管理规范的编制;一季度发布执行。3.“三同步”机制建设(1)系统上线检测四季度集团网络信息安全实验室具备系统检测条件;
9、起全集团实行系统上线安全检测制度。(2)安全风险评估起全集团实行定期安全风险评估制度。(3)系统运行阶段安全配置核查一季度开展系统安全配置核查产品与技术调研;二季度完成安全配置核查系统项目建议书。4.关键系统安全防护建设(1)三季度完成公司电子邮件系统、网盘系统安全保护方案编制;一季度启动相关产品选型和采购;二季度完成保护系统建设。(2)四季度完成二级单位互联网服务类系统、海外机构网络安全情况调研;二季度完成互联网服务系统和个人信息保护指导意见。5.数据安全保护建设(1)四季度完成异地数据灾备试点项目,集团数据中心具备为二级单位提供异地数据备份运营能力,同步完成数据中心统一数据备份建设;研究集团数据中心同城或异地灾备方案(租用社会资源或启动集团同城容灾中心建设)。(2)二季度启动集团数据安全保护专项工作,并完成数据安全保护方案编制;下半年全面开展集团数据安全保护建设。6.提升应急处置能力(1)四季度完成数据中心各类集团化系统应急演练并更新应急预案。(2)四季度完成集团内关键信息基础设施应急预案编制、修订和完善,并组织应急演练;起各级单位落实应急预案并分别组织应急演练。7.统一监测与预警能力建设(1)四季度完成集团各级单位互联网系统统一监测方案制定;一季度启动互联网系统安全监测试点工作,下半年开展各级单位互联网系统统一安全监测工作。(2)二季度完成统一监测预警平台二期建设方案制定;下半年完成平台优化。8.继续推进电力监控系统综合防护试点工作推进试点单位年内完成电力监控系统综合防护建设。9.集团网络安全工作管理与服务平台建设一季度完成集团网络安全工作管理平台项目建议书;二季度完成建设方案制定;三季度启动平台建设;四季度平台投入使用。10.专项解决方案与技术创新研究底完成供热企业控制系统与客户服务系统保护方案研究与制定;一季度完成海外机构网络安全保护标准的研究与制定。
《公司网络安全提升工作方案》由会员挖****分享,可在线阅读,更多相关《公司网络安全提升工作方案》请在金锄头文库上搜索。
