水务集团有限公司网络与信息系统安全管理制度（试行）

XXXXX水务集团有限公司网络与信息系统安全管理制度（试行）第一章总纲第一条为加强XXXX水务集团有限公司网络与信息系统安全管理，提高应急防范意识，采取应对防护措施，确保网络与信息系统安全稳定运行，特制定本制度。第二条网络与信息系统安全以“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责”为原则。第三条本制度中的网络与信息系统是指生产运营系统、网站系统、移动终端系统及业务辅助系统，包含信息系统各要素（人员、软件、服务器、网络、数据、终端等）在运行、维护、开发、建设等过程中的安全管理活动。第二章安全保护事项第四条安全保护工作分为技术体系和管理体系，共十个部分构成网络与信息系统安全等级保护体系。（一）物理环境安全包括：周边环境安全，门禁检查，防火、防水、防潮、防雷击、防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；（二）网络安全包括：网络的拓扑结构，网络的布线和防护，网络设备的管理和报警，网络攻击的监察和处理；（三）主机安全包括：主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等；（四）应用安全包括：应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等；（五）数据安全包括：数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等；（六）安全管理制度是网络与信息系统安全策略、方针性文件，规定信息安全工作的总体目标、范围、原则和安全框架；（七）构建和完善信息安全组织架构，明确不同安全组织和不同安全角色的定位、职责以及相互关系，强化信息安全的专业化管理；（八）人员安全管理包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等方面；（九）系统建设管理根据信息密级、系统重要性和安全策略确定不同的信息安全保护等级，决定系统方案的设计、实施、安全措施、运行维护等系统建设各环节；（十）运维管理需保障信息系统运行稳定，对重要数据资源进行监控保护，确保密码防护、病毒防护、系统变更等事件按照安全管理策略执行。第五条对落实网络与信息系统安全管理不到位，擅自修改、删除系统功能及网络数据造成数据资产损失的进行严肃追责问责，取消当事人绩效奖励、评先树优、职称晋升等资格，造成经济损失的按网络安全法规定进行处罚，情节严重的依法追究刑事责任。第三章信息化建设管理第六条遵循“统一规划，统一建设，资源共享”原则，集团负责信息化建设规划、数据资源管理、大数据中心建设、软硬件维护等，切实保障数据资产安全，应用系统运行稳定。第七条子（分）公司在统一制定的信息标准及信息化架构下建设信息化项目，负责项目实施管理、开发管理、运维管理，制定各项实施细则和具体管理办法。（一）需求分析，信息化项目需满足网络安全等级保护要求，充分考虑扩展方案（包括本系统扩容、功能增强和与第三方系统对接等）。（二）开发管理，开发人员需制定代码编写安全规范并在开发过程中对安全性进行测试，软件安装前对可能存在的恶意代码进行检测，对程序资源库的修改、更新、发布需上报调度指挥中心。（三）实施管理，信息化项目建设应制定实施方案和进度计划，成立项目成员小组，负责检查和落实建设期间各项控制目标的实现。（四）运维管理1.应用系统上线前管理：对应用系统进行漏洞扫描，及时发现问题并修补解决，对系统进行内部测试、压力评测和进程检查，对系统安全进行安全评估及加固，承建单位需对账号进行清理，由系统管理员对密码进行重置、分配、管理；具备日志系统功能，系统日志是事后诊断和追查的重要线索和证据，对于业务系统上线后由于软件后门及木马程序等引发的安全事件追溯其法律责任。2.应用系统试运行管理：加强系统试运行期间的安全监控，定期记录系统运行情况，避免对其他系统造成影响，加强跟踪支持和系统优化，不得降低试运行期间系统的安全级别。3.验收及交付：需详细记录验收过程并形成验收报告，对于项目中曾经使用过的临时账号应该立刻删除或修改密码。系统交付时应制定详细的系统交付清单，并对交接的设备、软件和文档等进行逐项清点，包括：测试报告、操作维护手册、故障处理手册、开放端口、应用系统代码及使用的通信协议等。第四章安全教育和培训第八条集团制定网络与信息安全培训计划，对各岗位员工进行定期培训，提高安全防护意识，对从事网络与信息安全工作的员工提供专业的安全技术培训和认证培训。第九条集团每半年组织一