网络信息安全管理规定

网络信息安全管理规定第一章总则第一条为加强本单位网络信息安全管理，保障计算机网络、信息系统的正常运行和数据安全，根据国家有关法律、法规，结合本单位实际，制定本规定。第二条本规定适用于本单位及所属各单位网络信息安全管理。第三条本单位网络信息安全工作的总体方针是：统一部署，分级落实，预防为主，确保安全。第四条本单位网络信息安全工作的策略是：以达到信息安全等级保护有关标准为目标，以技术保障为主导，以日常管理为抓手，以教育培训为手段，统一规划，重点部署；全员参与，分级负责；完善制度，严抓落实，构建网络信息安全的综合防御体系。第二章组织领导与岗位职责第五条本单位信息化工作领导小组是本单位网络信息安全工作的最高领导机构，负责本单位网络信息安全工作的组织领导、安全制度体系的建立与运行审议以及其他重大事项的决策，并负责对本单位成员企业的网络信息安全工作进行指导和监督。第六条各单位信息化工作领导小组是本单位网络信息安全工作的最高领导机构，对本单位网络信息安全工作全面负责。第七条各级信息化工作领导小组应设领导小组办公室。各级信息化工作领导小组办公室分别是本级单位网络信息安全工作的实施机构，应设置安全主管、安全管理员、网络管理员、系统管理员、计算机管理员等专业岗位，主要负责管理制度制定、专业人员管理、安全教育与培训、日常维护与安全事件处置等工作。第八条安全主管职责：1、负责组织协调各专业岗位开展网络信息安全有关日常工作，并负责建立协调与内外部相关部门及机构的沟通联系；2、负责定期组织全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；3、负责定期对安全管理员等专业岗位人员进行考核，并向上级领导汇报考核情况。第九条安全管理员负责网络信息安全日常工作的落实，由专人负责，具体职责有：1、负责定期对网络设备、信息系统及办公计算机的日常运行、系统漏洞和数据备份等情况进行安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报;2、负责对网络边界设备、网络管理设备、防病毒软件、防恶意代码软件的日常监控和管理，对异常情况及时分析处理，并形成书面记录和处理报告；3、负责对网络和系统用户进行安全意识教育，负责对相关专业人员进行岗位技能培训和相关安全技术培训；4、负责对安全事件的报告和响应，在处理过程中分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训L制定防止再次发生的补救措施，对过程形成的所有文件和记录妥善保存；5、负责对安全审计信息进行综合评估和分析。第十条网络管理员主要负责网络机房及网络设备方面的信息安全有关工作。第十一条系统管理员主要负责信息系统从开发到运行维护整个阶段的信息安全工作。第十二条计算机管理员主要负责用户终端计算机的维护和管理方面所涉及的信息安全工作。第三章专业人员管理第十三条应严格规范专业人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核，对录用人员应签署保密协议。第十四条网络主管及网络管理员等关键岗位须从单位内部选拔，并签署岗位安全协议。第十五条安全管理机构内部各类岗位人员之间要定期或根据临时、紧急、重大等特殊情况不定时召开内部沟通协调会议,共同协作处理信息安全问题。第十六条应定期对各个岗位的人员进行安全技能及安全认知的考核，同时应对关键岗位的人员进行全面、严格的安全审查和技能考核。第十七条严格规范人员离岗程序，及时终止离岗员工的所有访问权限；取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；办理严格的调离手续，关键岗位人员须承诺调离后的保密义务后方可离岗。第四章安全制度管理第十八条建立健全网络信息安全体系。针对计算机网络管理与使用、信息系统开发与运维、机房管理等各项网络信息管理活动，制定安全策略，建立安全管理制度和操作规程。第十九条应定期组织对网络信息安全制度体系的合理性和适用性进行评价和审议。应定期或不定期对管理制度进行检查和审定，对存在不足或需要改进的管理制度进行修订。第五章安全事件管理第二十条根据企业实际制定适宜的网络信息安全应急预案,并根据环境变化、威胁升级、处置效果及政府主管部门要求及时进行调整。第二十一条发生网络信息安全事件时，应第一时间按照应急预案要求进行处置，保留处置记录，以备事后分析。第二十二条发生重大网络信息安全事故，应根据实际情况，及时报告上级主管部门或公安机关。第六章教育培训管理第二十三条应定期对员工进行网络信息安全意识教育，并根据业务部门及人员工作性质及工作内容有针对性地进行信息安全操作及相关技术培训。第二十四条专业岗位人员每半年进行一次网络信息安全基础知识和岗位操作规程的培训。第二十五条每年