网络与信息安全管理办法

--PAGE20-网络与信息安全管理办法第一章总则第一条【目的】为加强XXX公司（）管理责任，制定本办法。第二条【适用范围】本办法适用于公司及所辖各分公司的网络与信息安全管理工作。第二章机构与职责第三条【组织机构】（一副组长为公司网络安全与信息化工作分管领导，成员为公司各部门、各分公司负责人。（二公室主任由信息化部主任兼任。（三机构，配备专（兼）职网络与信息安全管理人员。第四条【领导小组】公司网络安全与信息化领导小组负责公司网络与信息安全工作的组织、部署与落实情况的监督，具体职责包括：（一全工作的目标、原则及工作部署；（二生的重大变化，并进行决策；（三）审查、协调网络与信息安全事件的处理，并督导改进措施的落实；第五条【信息化部】（一对具体落实情况进行总结和汇报；（二保障与安全策略的一致性；（三（四本部信息系统安全等级保护相关工作；（五）负责公司网络与信息系统安全事件应急保障和恢复工作；第六条【其他部门】（一方人员进行网络与信息安全管理；（二信息系统的安全管理；落实本部门所承担运维信息系统的应急预案，并负责具体应急处置工作；（三第七条【网络与信息安全管理员】（一）负责信息设备的统计、故障处理、账号管理、策略配置、系统升级、日志管理和维护等工作；（二应急响应与处理；（三）负责制定信息安全设备、网络设备、操作系统和数据库等软硬件的安全策略，并定期检查分析信息安全策略的执行情况；（四负责组织信息系统重大保障期间的信息安全检查与监控工（五）负责网络拓扑、网络维护手册等相关资料的编写及更新；（六略的一致性；（七（八）负责机房的日常管理和维护，对机房人员、设备进出进行登记管理；第三章授权和审批管理第八条【审批事项与审批权限】（一息安全领导小组组长进行审批。（二1.重要服务器、交换机、路由器、网络安全设备的启动、关闭；系统用户帐号的增加、删除和权限修改。配置参数；2.设备硬件更换、网络结构调整、网络连接更改；4.应用程序软件包修改、产品版本升级。（三）以下变更事项由信息化部负责人进行审批：1.系统数据库修改；/新功能的开发；新技术的使用；组织策略和规程的更改；非机房管理人员及外部人员进入机房；设备进出机房；信息系统新增服务器或其他新设备接入；信息系统新增与公司其他系统或与外部单位系统连接；（四录。（五时更新需授权和审批的项目、审批部门和审批人等信息。第九条【审批程序】审批流程须按照如下环节进行：提出申请、相关负责人审批、审批通过、登记记录、备案归档。第四章安全检查和审核管理第十条【网络与信息安全月度检查】（一）检查内容包括：信息系统相关各类设备（备、安全设备等）的运行情况；CPU使用情况、内数据备份情况，备份系统和备份介质的管理情况；安全设备事件记录分析；安全设备内核、补丁、规则库、病毒库更新状况。信息系统日常运维的自查情况；网络安全策略的落实情况；信息系统的漏洞和风险情况；信息系统的数据备份情况。信息系统的用户认证访问、权限和操作情况；信息系统各类操作的安全审计记录情况；（二）1（三）检查成果：形成检查报告第十一条【网络与信息安全季度检查】（一）检查内容包括：国家相关法律法规和要求的符合情况；安全组织职责、安全管理制度的执行情况；信息安全策略的全面落实情况；现有安全管理体系、安全技术措施的有效性；信息系统的整体安全风险情况；信息系统的自查情况。（二）1（三）检查成果：形成检查报告第五章人员行为管理第十二条内部人员行为管理（一定员工的信息、信息资产的使用、管理和访问权限。（二）员工在发生岗位变更后，应根据岗位要求进行信息、信息资产使用和访问权限的变更，合理控制员工对于信息系统信息资源的访问。第十三条【外部人员行为管理】（一）外部人员包括软件开发商、产品供应商、系统集成商、设备维护商、服务提供商、业务合作伙伴、临时雇工、实习生等外来人员。外部人员分为临时外部人员和非临时外部人员。（二下内容：外部人员物理访问时对设备、资料的盗窃行为；外部人员的误操作导致各种软硬件故障；外部人员对资料、信息管理不当导致敏感信息泄露；外部人员对计算机系统的滥用和非法访问；外部人员给计算机系统、软件留下后门；外部人员对计算机系统的恶意攻击。（三）外部人员管理要求临时外部人员进入公司时，接待人必须全程陪同，告知有网络设备。（见附件一）业务洽谈和技术交流应当在会议室进行，招标、谈判等正内进行。外部人员进入机房等重要区域时，应遵从《网络机房管理制度》等相关规定。机房等关键区域摄影、拍照。外部人员如因业务需要查阅公司受控信息、资料或访问公并详细登记。（包括远程接入维护装正版杀毒软件，并定期进行病毒库升级。第六章办公环境管理第十四条【管理要求】（一意识，严格控制办公环境的访问。（二问必须得到其使用者或管理者的授权。（三内并加锁。（四）各部门内的复印机、传真机、打印机使用后产生的内部废如有敏感信息要及时清除，防止被他人盗取信息。（五内部IT设备、移动硬盘、实体信息和软件等带离办公区。（六）未经批准，外部人员不得使用集团内部信息处理设备，如因工作需要使用内部设备，须经过授权并对其访问行为进行监控。（七关部门取得联系，在维修的过程中应有专人进行监督。（八受和积极配合主管部门对办公区域的安全检查。第七章信息资产安全管理第十五条【信息资产的分类与登记】（一资产清单，对于重要信息资产应当进行标识，信息资产分类如下：硬件资产：包括服务器、台式计算机、笔记本计算机、网络设备（路由器、交换机等形信息技术设备设施；应用系统、应用软件、开发工具等计算机程序；理数据等数据信息。（二）信息系统所有的信息资产均应指定相应责任人，做到“责任落实到人”。（三）各部门负责本部门信息资产的使用、保管和维护。第十六条【硬件资产安全管理】（一确硬件资产责任人和使用范围，并定期进行资产清点。（二）硬件资产的信息安全管理包括购买、使用（重用、处置和报废，即信息资产全生命周期的安全管理。（三）所有硬件设备采购、变更、废弃时，信息资产管理员必须首先在资产清单上进行记录和描述。（四信息系统的应用需求和信息安全管理要求。（五要求。（六（七）设备在到货验收或配置之后，应作出相应的标识，直接体现在设备上醒目的位置。标识应包括以下内容：设备编号、设备使用部门、设备名称、设备用途、设备供货商及联系方式。（八）硬件资产使用人在使用过程中应确保硬件配置的完整性，不得私自更换硬件资产及相关配件。（九）应遵照《网络机房管理规定》要求，加强机房内硬件资产的物理安全管理。（十）对于需要维修的硬件资产，由设备责任人提出申请，经部门主管领导批准后，方可将硬件资产送至相关单位进行维修。（十一）存储内部信息的硬件资产在重用、维修和报废前，应确保所有存储的敏感数据或授权软件已经被彻底清除并备份。（十二）门主管及网络安全与信息化领导小组办公室批准后统一进行报废处理。第十七条【软件资产安全管理】（一（二）应购买正版商业软件，在安装软件时要规定使用权限，防止非授权访问。（三运行稳定，规范软件升级管理工作。（四）软件资产责任人应加强对于应用软件保存、标识、安装、卸载和升级的统一管理。（五做好安全控制。（六与信息化分管领导的审核后统一取消和废除。第十八条【数据资产安全管理】（一）信息系统数据资产根据其重要程度分为受控和公开数据，数据的创建者或管理者负责对数据资产的重要程度进行标识。受控数据应明确授权范围，禁止非授权的用户读取受控数据。（二作，确保信息系统的数据安全。（三）（四）数据文件或存储重要数据文件的介质因损坏需要修复时，数据资产使用人应及时和部门主管进行沟通，信息系统数据恢复应经过相关部门确认后统一进行数据修复和恢复。（五）敏感及受控数据的删除应进行记录，数据的删除或报废，应由数据资产使用人遵照本办法第八章“存储介质安全管理规定”进行处理。

第八章存储介质安全管理第十九条【介质标识】（一带、磁盘、光盘、闪存等。（二重要业务数据、管理数据的各类磁盘、光盘和存储系统等。（三）存储介质应分类标识，磁带、磁盘或其它存储介质等应使用不同的分类标签，并区分原件与拷贝件。第二十条【介质存放】（一）存储介质保存环境应保证具有足够的防火、电力、空调、湿度及其他保护措施。（二安全级别的区域。（三（四储介质混放在一起。（五和管理方法与本地相同。第二十一条【介质检查】（一并记录备案。（二要数据丢失。第二十二条【介质访问】（一磁盘和文档库等介质的访问必须做严格限制。（二）安装和使用存储设备时必须禁止非授权的访问。（三禁员工、顾问和合作方等外部人员带走。第二十三条【介质数据管理】（一）重要介质中的数据和软件应采取加密存储。（二据恢复。（三（四感数据，防止内部信息的泄漏。（五质已清除敏感信息。第二十四条【介质销毁】（一）网络与信息安全管理员应对存储介质的销毁做统一管理，并做集中报废处置。（二含有硬拷贝形式的敏感信息存储介质的报废处理方式为切碎或烧毁。

第九章网络安全运维管理第二十五条【网络连接管理】（一）网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。（二开放端口需要经过严格审批。（三及网络与信息安全管理员需遵循以下原则进行控制：接入设备自身具备良好的安全机制；不对信息系统造成不良影响；对设备的操作人员得到认可。（四）网络与信息安全管理员应维护所有网络设备的物理连接，控制和管理网络接口的使用。（五在违反网络安全策略的行为，发现问题应及时上报。第二十六条【网络安全配置】（一）网络设备配置管理应遵照以下安全原则：授予额外的权限。它无关的系统服务和网络服务。（二（三户或权限给无关人员。（四）用户口令的设置须符合以下要求：8个字符；两种；每半年至少修改一次密码；5（五按需清理，确保日志时效性。（六限定远程登录终端的IP第二十七条【日常安全维护】（一（二安全设备的型号、名称以及与链路的连接情况等。（三并根据供应商推荐的服务时间间隔对设备进行检查和维护。（四中的敏感信息进行必要的处理。（五（见附表二（六了解系统资源的使用情况及通信情况，提出网络优化方案。（七更同时更新备份文件。（八）定期对日志文件进行备份。日志文件保存时间应在6个月以上，日志文件不得随意修改。（九）网络设备的软件版本（IOS或VRP等）较低可能会带来备份之用。

第十一章附则第二十八条本规定由信息化部负责解释和修订。第二十九条本规定自发布之日起执行。第三十条附件附件一：外部人员保密协议（示例）附件二：网络设备维修记录单附件一：

外部人员保密协议（示例）本协议中涉及的项目是：涉及到的单位信息(信息系统、文档、数据等)包括：为了保证XXX公司（以下简称“公司）的专有信息不被泄露人员(承诺) 所属公承诺如下保密内容：限于如下所列：工作秘密、技术秘密、通信或与其相关的其他信息；无论是书面的、口头的、图形的、电磁的或其它任何形式的信息，包括（但不限于）数据、模型、技术、方法和其它信息均为承诺保密的专有信息。/的任何人；不得为本合同规定目的之外的其他目的使用专有信息；例外情况必须以如下形式确定：获得书面授权，承诺人可以披露的专有信息。通过其他途径公开披露的专有信息。的信息；102专有信息的交回：当公司 以书面形式要求承诺人交回专有信息时，承人应当立即交回所有书面的或其他有形的专有信息以及所有描述和概括该专有信息的文件。没有公的书面许可承诺人不得丢弃和处理任何面的或其他有形的专有信息。否认许可：除非公司明确地授权，承