《集团公司网络安全管理办法.docx》由会员分享,可在线阅读,更多相关《集团公司网络安全管理办法.docx(46页珍藏版)》请在第一文库网上搜索。
1、集团公司网络安全管理办法第一章总则第一条 为加强* (集团)有限公司(以下简称集团公司)网络安全管理,落实网络安全工作责任,健全网络安全保障体系,根据中华人民共和国网络安全法、国家网络安全政策制度和标准规范,以及集团公司网络安全管理工作有关规定,制定本办法。第二条 本办法为集团公司网络安全管理指导性文件,适用范围包括集团公司本部及所属全资、控股公司(含直接控股、相对控股)和经费单位(以下简称各单位)。各单位应在落实本办法要求的前提下,结合实际,制定用于承接本办法的制度并严格执行。第三条 本办法所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传第二
2、章职责和分工第六条 集团公司网络安全工作领导小组是集团公司网络安全工作的领导机构,主要职责见集团公司网络安全相关制度。第七条 集团公司网络安全工作领导小组办公室是集团公司网络安全工作的主管部门(以下简称集团公司主管部门),负责网络安全工作的统筹协调和指导监督。主要职责如下:(一)依照国家网络安全相关法律法规和集团公司网络安全工作领导小组决策部署,制定集团公司网络安全管理制度,推动落实国家网络安全等级保护(以下简称等保)制度。(二)指导集团公司关键信息基础设施安全保护工作,组织认定关键信息基础设施,督促关键信息基础设施建设与运营单位开展风险评估和应急演练。(三)建立健全网络安全态势感知体系,参与
3、协调处理重大网络安全事件,组织实施国家重要活动、会议期间网络安全技术保障工作。(四)指导重要数据收集单位开展数据安全分类分级和安全保护工作。及考核,配合集团公司开展相关工作。第九条各单位是本单位网络安全工作的责任主体,应成立承担本单位网络安全管理职责的领导机构和具体部门,负责本单位网络安全制度体系建设和网络安全保护相关工作。其领导班子主要负责人是网络安全工作的第一责任人,主管网络安全的领导班子成员是直接责任人。(一)建设单位是指负责网络投资建设的单位,负责建立完善建设安全相关制度,并在建设阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。(二)运行单位是指负责网络运行管理的单位
4、,负责建立完善运行安全相关制度,组织开展网络安全监测、预警和事件处置,并在运行阶段同步贯彻落实国家、地方网络安全政策和集团公司网络安全管理要求。第十条*信息技术发展有限公司是主体港区主干通信网络、集团级数据中心、关键信息基础设施的建设与运营主体,负责制定并定期更新配套管理制度,全面推进网络实名制建设,集中管控互联网总出口,健全网络技术防护体系,对网络接入行为进行安全评估与核查,统筹做好技术实施与运行保障工作。第三章建设安全管理第十一条建设单位应按照等级保护制度和标准规范要求,开展规划设计、建设开发、部署上线等环节的网络安全工作,建立覆盖建设各方、各环节的网络安全责任制。第十二条建设单位应建立网
5、络安全建设管理制度,细化明确咨询设计单位、集成实施单位、开发单位、产品及服务提供商、监理单位等的网络安全建设责任,签署责任承诺书,留档备查。第十三条 在可行性研究报告(或具有同等作用的项目立项报告,下同)报批前,建设单位应组织开展等保定级工作。统一联网运行的网络,由集团公司主管部门组织建设单位确定等保级别。改扩建网络应重新组织开展定级工作,定级结果有调整的,应按要求报公安机关履行备案变更手续。第十四条等保第二级及以上网络初步定级结果经建设单位审核通过后及时向公安机关备案。建设单位取得备案证明10个工作日内,报集团公司主管部门备案。第十五条建设单位应组织设计单位严格按照所定级别开展整体安全规划和
6、安全方案设计,安全方案设计应落实国家相关标准规范,合理设计重要网络的出口路由、核心交换机、应用和数据库服务器等重要设备和通信链路冗余备份方案,明确身份鉴别、访问控制、安全审计等要求。等保三级及以上网络初步设计方案(没有初步设计方案的则为可行性研究报告)报批时应同步提交安全设计方案评审意见。拟采用云计算服务的,建设单位应在可行性研究阶段,开展云计算服务需求分析,提出云服务安全技术要求,确保网络安全需求得到满足。第十六条包含重要数据和大量个人敏感信息、直接影响企业运转和员工生活工作的关键业务系统,应部署在集团级数据中心内。集团公司可根据实际需要使用或处置系统运行过程中收集、产生、存储的数据资源。第
7、十七条网络建设应采购安全可信的产品和服务,网络关键设备、网络安全专用产品应符合法律、行政法规的规定和相关国家标准的强制性要求。在同等条件下,各单位应优先选用国产化技术和产品。提供服务的云平台要通过云计算安全服务审查。接入互联网的网络应支持IPV6访问。第十八条建设单位应加强软件开发和硬件部署安全管理,软件应按照安全需求、软件工程规范进行设计开发,并具备用户口令强度验证、二次校验和定期强制更新功能,应采取措施审查软件中可能存在的隐蔽通道和恶意代码。硬件部署如需要第三方人员参与,应由建设单位专人全程监督,并在交付后及时修改全部用户默认口令,建立定期更新机制。软硬件用户口令长度应大于8位,并由大小写
8、英文、数字和特殊符号组成。使用代码托管的,建设单位应对开发单位自建代码托管平台安全措施进行备案,对互联网代码托管平台的代码托管行为进行授权同意。建设单位应严控第三方组件安全风险,规范应用开发过程中引入的第三方代码、控件、组件、库文件与应用产品安全管理,明确开发单位的第三方组件安全责任,建立第三方组件清单(附件6),清单包括但不限于网络名称、网络开发单位名称、第三方组件名称、-5-版本号、主要功能、用途、风险分析、风险规避措施、入网安全测试结果、第三方组件账号权限、端口等情况。第十九条网络试运行应在确保安全的前提下进行。等保第二级及以上网络试运行时,建设单位应向本单位网络安全主管部门提交软件安全
9、测试和代码安全审计报告。软件安全测试结果为不合格的、代码安全审计中含中高危漏洞的,应在整改完成后申请试运行。第二十条 网络试运行前,应通过建设单位网络安全主管部门审批,并由建设单位明确运行单位。运行单位负责核验安全测试和代码安全审计报告等相关材料,采取措施评估申请试运行网络的安全状况,确认符合运行安全要求后,组织开展网络试运行工作。对未达到运行安全要求的,由运行单位通过书面形式向建设单位提出安全整改要求。需要接入互联网的网络,建设单位履行移动互联网信息系统备案流程(附件7)后,方可上线试运行。与网络同时建设开发的相关移动互联网应用程序(APP、小程序、快应用或具备服务功能的公众号、微博账号等)
10、应同步履行移动互联网应用程序备案流程(附件8)。第二十一条 网络试运行应采取分区分域、严格访问控制等措施,加强安全防护。试运行期间,建设单位应配合运行单位开展运行维护相关工作,网络配置不当、应用软件质量问题等导致的网络安全责任,由建设单位承担。试运行期间,对等保第二级及以上的系统,建设单位应组织开展等级测评,等级测评应强化对代码安全审计报告的核查。依托关键信息基础设施建设的各类信息系统、基础数据库等项目还应开展风险评估。第二十二条建设单位应组织运行单位参与竣工验收。未通过等保测评及备案的,风险评估(如要求)不合格的,应在整改通过后开展竣工验收。竣工验收15个工作日内,建设单位应与运行单位进行运
11、行责任以及全部技术文档和源代码移交,并将有关材料报本单位网络安全主管部门备案。运行责任及相关材料移交前,相关网络安全责任由建设单位负责。第二十三条建设单位应明确网络建设开发安全质量责任界定,对因业务逻辑缺陷等需经应用程序源代码修改完善的漏洞隐患整改,应与有关产品服务提供单位约定全生命周期安全保障要求。第二十四条针对专项工作临时委托开发部署的短期运行的网络,建设单位应组织开发单位采取必要的安全防护措施,做好安全检测评估,并在上线前向本单位网络安全主管部门报备。专项工作结束后,应尽快停用或下线网络。第二十五条等保第三级及以上网络应制定密码应用方案,正确、有效采用国产密码技术进行保护,并使用符合相关
12、要求的密码产品和服务。按照密码应用安全性评估管理办法和相关标准,开展密码应用安全性评估。如发生密码应用重大调整等情况,建设单位应及时组织开展密码应用安全性评估。第四章运行安全管理第二十六条集团级数据中心内的互联网总出口是各单位接入互联网的唯一出口,各单位不得自行向其他网络运营商申请以专线、宽带、无线等任何方式接入互联网。各单位应合理规划网络拓扑,采取有效措施实现局域网与互联网的隔离,严格控制非授权网络访问。第二十七条各单位应采取相关技术手段,实现网络实名制管理,并将本单位全部网络流量接入集团公司网络安全态势感知平台。不满足要求的单位,不得接入互联网。第二十八条运行单位应建立健全覆盖运行各环节的
13、安全管理制度体系和操作规程,规范制度版本管理,定期评估并完善。应建立完善运行组织机构,科学设置运维管理岗位,有效落实运维安全责任。应配备一定数量的系统管理员、安全管理员、审计管理员,等保第三级及以上网络应配备专职安全管理员。涉及基础环境、公共平台、业务应用系统多方运维的,应在责任移交时确定运行责任。各单位网络安全主管部门应建立并定期更新本单位网络运行责任清单,清单包括但不限于网络名称、部署位置、主管部门、建设单位、运行单位、定级备案等信息(附件9)。第二十九条运行单位应建立健全机房管理制度,配备机房安全管理人员,严格机房出入安全管理,定期对机房开展检查,确保机房条件符合安全运行要求。第三十条运
14、行单位应加强网络边界防护,并按照最小权限原则对网络进行分区分域管理,在不同安全域间实施访问控制,严格控制非授权网络访问。第三十一条运行单位应制定完备的软硬件设备管理制度,建立设备清单,明确设备管理责任、设备关联关系以及设备技术服务状况,规范设备管理和使用行为,并根据设备重要程度采取相应的安全保护措施和访问控制策略。第三十二条运行单位应规范运行期间应用软件版本管理,形成版本控制日志清单(附件10) o应确保应用程序的修改、更新和发布,以及软硬件设备安全更新经过建设单位和本单位网络安全主管部门的授权和同意。第三十三条 运行单位应采取技术措施防范网络攻击、网络侵入等危害网络安全行为。遵循最小权限、最
15、小安装原则,加强应用、服务、端口等安全管理。工控系统及其运行环境、使用环境应严格实现“专网专用”,与其他网络物理隔离,严禁接入互联网。建立定期巡检制度,完善网络运行状态监控、响应支持、故障处理、性能优化等服务规范。第三十四条等保三级及以上的网络,建设单位应严格按照等保要求,每年定期组织开展等保测评,并将结果报集团公司网络安全主管部门备案。运行单位应对等保测评提供必要的保障条件,并协助建设单位限时完成测评发现的安全风险项整改。发生服务范围、服务对象和处理的数据重大变更并可能影响等保级别的,应由建设单位组织运行单位重新定级备案和安全整改建设,按要求开展等保测评。第三十五条运行单位应采取技术措施监测、记录运行网络状态和网络安全事件,留存网络设备、安全设备、应用系统、数据库、服务器、中间件等全部软硬件日志(原则上应包含原始日志和归一化处理日志),各类日志留存时间不少于六个月。第三十六条运行单位应加强对接入运行环境的行为管理,应对网络接入方案