XX公司网络安全管理办法.docx

上传人:lao****ou 文档编号:59828 上传时间:2022-12-27 格式:DOCX 页数:10 大小:12.37KB
下载 相关 举报
XX公司网络安全管理办法.docx_第1页
第1页 / 共10页
XX公司网络安全管理办法.docx_第2页
第2页 / 共10页
XX公司网络安全管理办法.docx_第3页
第3页 / 共10页
XX公司网络安全管理办法.docx_第4页
第4页 / 共10页
XX公司网络安全管理办法.docx_第5页
第5页 / 共10页
亲,该文档总共10页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《XX公司网络安全管理办法.docx》由会员分享,可在线阅读,更多相关《XX公司网络安全管理办法.docx(10页珍藏版)》请在第一文库网上搜索。

1、XX公司网络安全管理办法为全面贯彻落实中华人民共和国网络安全法、党委(党组)网络安全工作责任制实施办法(厅字【2017】32号)文件精神,进一步提升集团公司网络安全管理水平,确保各项网络安全工作落实到位,按照焦煤集团网络安全有关工作要求,结合集团公司实际,特制定集团公司网络安全管理办法。第一章总则第一条 为了保障xxxx(集团)有限责任公司网络安全,依据中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例信息安全等级保护管理办法等法律法规和山西焦煤集团公司有关规章制度,结合集团公司实际,特制定本管理办法。第二条在集团公司及所属各单位、各部门建设、运行、维护和使用的网络信息资源,以及

2、网络安全的监督管理,适用本办法。第三条集团公司坚持网络安全与信息化发展并重的原则,推进网络基础设施建设和互联互通,建立健全网络安全保障体系,提高网络安全保护能力。第四条 集团公司及所属各单位、各部门应采取措施,监测、防御、处置来源于集团内外的网络安全风险和威胁,保护所有信息资源和网络资源免受攻击、侵入、干扰和破坏,维护集团公司网络安全。第五条任何个人和单位有权对危害集团公司网络安全的行为向集团公司、公安等部门举报,并有义务保护集团公司网络安全。第二章管理要求第六条各单位、各部门结合自身实际,成立本单位、本部门网络安全和信息化领导组织机构。明确党委总支(支部)书记为网络安全第一责任人,必须配备专

3、(兼)职网络安全员,落实网络安全保护责任。第七条各单位、各部门结合自身实际建立健全网络安全管理办法、网络安全事件应急预案等相关制度。第八条 各单位、各部门要严格按照信息安全等级保护管理办法、山西省计算机信息安全保护条例积极履行网络安全认证、检测、风险评估等工作。第九条 集团公司所有信息化基础设施建设应当确保其具有支持业务稳定、持续运行的性能,并保证网络安全技术措施同步规划、同步建设、同步使用。第十条 集团公司所属行业隶属于国家关键信息基础设施重点保护领域,各单位务必做好网络安全防护工作,防止发生网络安全事件。第三章管理机构与管理职责第十一条 集团公司网络安全管理机构与管理职责详见关于成立XXX

4、X网络安全和信息化领导小组的通知(XXXX发(2019) 183号)文件。第十二条按照“谁主管谁负责、谁使用谁负责”的原则,各单位、各部门为本单位、本部门网络安全责任主体。第四章安全物理环境第十三条集团公司所有运行信息系统的场地、设备、传输介质等均应保证物理安全。1、机房环境安全机房应符合煤矿安全规程、国家煤矿安监局关于煤矿基本设施的相关要求和数据中心设计规范GB 50174-2017以及集团公司相关文件的要求;新建、改造机房同时参照信息安全技术网络安全等级保护基本要求GB/T 22239-2019等标准要求进行建设,已建成机房逐步优化完善。2、设备安全采取有效措施保证设备防盗、防毁坏、防设备

5、故障、防电磁信息辐射泄漏、防止线路截获、抵抗电磁干扰及电源保护等方面安全可靠。3、传输介质安全采取必要措施保护通信传输介质免遭人为破坏,避免被不法分子窃听,杜绝机密信息泄露。第五章网络安全第十四条集团公司数据中心为集团前后山统一互联网出口,禁止各单位单独建立互联网出口(不含区域公司),区域公司与集团公司互联必须满足本办法第十五条关于边界防护的规定,根据实际情况配置网络安全策略。第十五条 各单位与集团公司网络互联端应部署网络边界防护设备,保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;数据库等重要信息系统应部署于集团公司内网环境,并做好数据库等信息系统安全防护措施。第十六条 各单位

6、网络必须划分不同的区域,办公网络与生产网络应物理隔离;生产网络应划分安全区域,安全区域之间通过工业防火墙、网闸等防护设备进行隔离;同一安全域内信息系统之间必须进行逻辑隔离。第十七条 各单位必须严格按照焦煤集团和集团公司统一规划使用IP地址;生产网内主机必须使用唯一生产网IP地址;生产网络内禁止使用通信设备私建网络进行设备连通。第十八条 集团公司所有网络使用单位应建立健全网络拓扑图、IP地址使用登记簿、VLAN划分表和设备设施台帐等基础资料。第十九条 集团及各单位若发生计算机病毒、网络攻击、网络侵入等危害时,必须第一时间进行隔离处置,立即启动应急预案,采取相应补救措施,并向有关部门报告。第二十条

7、 集团及各单位关键网络设应专人管理、运维,严禁密码外泄,运维人员调离工作岗位时,应改更密码。第六章主机安全第二十一条 集团公司所有新购置的关键网络、信息等电子信息设备必须选购通过国家信息安全测评/信息技术产品安全测评的产品。第二十二条集团公司所有主机应安装正版安全防护软件并及时更新特征库,严禁无安全防护措施设备联网。第二十三条集团公司所有主机接入集团内网或煤炭专网等网络前必须安装已发布的系统补丁,并关闭已知的高危漏洞所使用的端口,严禁集团公司生产类应用软件使用默认端口交互数据。第二十四条 所有终端用户和系统管理员必须关注操作系统、数据库系统和应用软件等披露的安全漏洞,补丁安装按照第三十三条内容

8、执行。第二十五条 集团公司所有信息系统管理人员、使用人员和运维人员必须熟悉所使用信息系统的数据流走向、使用端口号、及信息交互IP地址等基础情况,必须在操作系统自带防火墙或防火墙等安全设备上设置访问控制策略。第二十六条 生产网内交换机、服务器、工业主机等设备Console、USB、光驱等外设接口必须严格管理,必要时拆除或封闭外设接口;外部设备原则上禁止接入,因维护需要确需接入时必须确认外部设备安全可信,如通过安全防护软件扫描、配备专用配置设备等。第二十七条 严禁生产网内服务器、主机等安装与本生产系统无关的软件;远程访问安全执行以下规定。1、原则上严格禁止工业控制系统面向互联网开通HTTP、FTP

9、、Telnet等高风险通用网络服务。2、确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。3、确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。4、保留工业控制系统的相关访问日志,并对操作过程进行安全审计。第七章应用安全第二十八条 集团公司所有信息系统应使用正版操作系统、正版应用软件或有计算机软件著作权登记证书的应用软件,严禁使用盗版、非授权软件。第二十九条必须对操作系统和应用软件重命名或删除默认账户,严禁使用默认口令,口令必须满足复杂度要求。1、口令有效长度至少8位。2、至少包含大写字母、小写字母、数字和特殊符号。3、禁止使用4个及以

10、上的重复字母或数字。4、口令最长有效期为90天。5、禁止使用最近5次用过的口令。6、同一业务系统内主机及应用软件严禁使用相同或诸如Ywxt00k Ywxt002 等相似 口令。第三十条应对各类系统、软件分配帐户和对应的操作权限,采取严格的认证授权机制保证按权操作。第三十一条 集团公司业务系统所使用的软件严禁采用系统服务默认端口进行数据流交互;业务系统上线前必须对数据流走向、互访主机IP地址、使用端口等配置访问控制策略。第三十二条不同业务系统间应采取必要的措施实现充分隔离,防止蠕虫、病毒、单个应用的漏洞等安全威胁相互扩散感染。第三十三条 业务系统管理方必须要求软件提供方在操作系统或应用软件相关漏

11、洞补丁发布后,立即进行业务系统软件适配,保证补丁安装成功,不影响业务系统正常运行,特别是工业控制系统要在保证安全运行的前提下进行,暂时无法安装补丁的系统,要求软件提供方或维护方采取措施保证系统安全。第三十四条 在第三方平台部署的业务系统,在上线前必须已完成等级保护相关工作,同时选择已经等级保护测评并已通过的第三方平台,且平台等级保护级别不低于业务系统等级保护级别。相关资料文件报信息服务中心备案。第八章数据安全及备份恢复第三十五条 集团公司所有产生的办公文档、办公电子邮件、人事档案、监控数据、财务数据、技术数据、地测数据、设备数据等全部属于集团公司数据资产。第三十六条 数据资产管理员应自行备份、

12、归档管理,未经集团公司有关主管部门审核不得对外发布或泄露,重要数据要采取加密措施。第三十七条 系统、网络运行日志至少留存六个月,有行业特殊要求的信息系统按行业要求留存。第三十八条 信息数据传输应采取有效措施确保数据传输安全,如通过加密、专人传递等方式,保证数据信息的机密性、完整性与可用性。第三十九条 数据的访问应采取有效措施进行访问控制,不同业务系统间数据不可直接访问,避免存储节点的非授权访问。第四十条当发生数据毁损、丢失事故时,应及时恢复最近一次备份的数据,恢复业务系统运行,降低集团公司损失。第四H一条各单位、各部门应制定介质(纸质、u盘、光盘及其它存储介质)管理制度,包括介质的采购、领用、

13、使用、报废和销毁等内容。第四十二条 集团公司机要数据安全遵照xxxx (集团)有限责任公司机要保密及相关工作管理办法(xxxx发(2019) 338号)文件执行。第四十三条 集团公司各类文件等数据资产应使用集团OA进行传输,严禁使用QQ、微信、钉钉等即时通讯软件传输,严禁拍照发布于朋友圈或微信群等公共互联网环境。第九章网络舆情第四十四条 集团公司宣传部新闻中心为网络舆情的监督管理部门,具体内容遵照xxxx (集团)公司网络舆情管理办法(xxxx党发(2012) 35号)文件执行。第十章网络安全等级保护第四十五条 国家施行网络安全等级保护制度,各信息系统建设单位应严格按照国家法律法规履行网络安全

14、等级保护工作。第四十六条 集团公司所有新建、在建、升级改造等信息系统建设方应同步落实网络安全等级保护制度。第四十七条 各单位已经投入运行的信息系统应完成等级保护定级备案工作。第十一章考核范围及奖罚办法第四十八条 本办法适用于集团公司所属各机关、直属单位和各二级单位。第四十九条 XXXX (集团)有限责任公司网络安全管理办法每半年进行一次评比考核,考核采用百分制,按考核细则逐项评分,具体考核细则见附件。对部分考核项目不涉及的单位,减除这些考核项分值后的分数作为该单位的满分,该单位考核所得分值除以该单位满分值乘100,即为该单位实际考核得分。考核实际得分前二名分别奖励2万元、1万元;排序后三名的单

15、位分别处以3万元、2万元、1万元的罚款。考核结果予以通报。第五十条 发生一般网络安全事件,每发生一起责任主体单位罚款5000元,直接责任人罚款1000元,取消当年所有信息化考核奖励并排名最末;发生被上级有关单位通报的网络安全事件,按照上级文件进行加倍处罚,取消当年所有信息化考核奖励并排名最末。第五十一条 网络安全管理考核办法考核奖罚纳入集团公司月度绩效工资考核范围,根据考核结果进行奖扣。通过考核进一步提升各单位网络安全管理意识和水平,确保集团公司网络安全工作取得显著进展。年底,对做出工作成绩的相关部门和人员给予一定奖励。第十二章附则第五十二条 本办法自发布之日起实施。第五十三条 本管理办法实施后,集团公司内部其他办法与本办法在网络安全管理方面相冲突的,按照本办法

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 应用文档 > 汇报材料

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服